Cisco SG550 ACL - DHCP funktioniert nicht
Hallo zusammen,
mir fehlt (vermutlich) nur ein kleines Detail in meiner Konfiguration, ich hoffe auf ein wenig Hilfe von euch:
SG550XG-8F8T (2er Stack) => Core als Router
verbunden mit LAG LACP mit
SG550X-48MP (2x 2er Stack)
Einige wenige VLANs vergeben (1-5)
Wifi AP Gastnetzwerk in VLAN4 (192.168.4.x) an den Client Switches
DHCP Server dafür im Core SG550XG-8F8T (192.168.4.20)
ACL sieht folgendes vor (Ziel: Gast soll in kein anderes Subnetz, nur Internet)
ip access-list extended Gastnetz
deny ip 192.168.4.0 0.0.0.255 192.168.0.0 0.0.0.255 ace-priority 10
deny ip 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255 ace-priority 20
deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255 ace-priority 30
deny ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255 ace-priority 40
deny ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0.255 ace-priority 50
permit ip 192.168.4.0 0.0.0.255 any ace-priority 100
Ich bekomme in der Konfiguration aber keine IP Adresse vom DHCP obwohl der sich ja mit 192.168.4.20 im VLAN 4 befindet.
Wenn ich das VLAN ACL Binding auf "permit all" stelle klappt es - "deny all" klappt nicht.
Damit müsste ja nur eine Regel fehlen oder?
LG
Marco
mir fehlt (vermutlich) nur ein kleines Detail in meiner Konfiguration, ich hoffe auf ein wenig Hilfe von euch:
SG550XG-8F8T (2er Stack) => Core als Router
verbunden mit LAG LACP mit
SG550X-48MP (2x 2er Stack)
Einige wenige VLANs vergeben (1-5)
Wifi AP Gastnetzwerk in VLAN4 (192.168.4.x) an den Client Switches
DHCP Server dafür im Core SG550XG-8F8T (192.168.4.20)
ACL sieht folgendes vor (Ziel: Gast soll in kein anderes Subnetz, nur Internet)
ip access-list extended Gastnetz
deny ip 192.168.4.0 0.0.0.255 192.168.0.0 0.0.0.255 ace-priority 10
deny ip 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255 ace-priority 20
deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255 ace-priority 30
deny ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255 ace-priority 40
deny ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0.255 ace-priority 50
permit ip 192.168.4.0 0.0.0.255 any ace-priority 100
Ich bekomme in der Konfiguration aber keine IP Adresse vom DHCP obwohl der sich ja mit 192.168.4.20 im VLAN 4 befindet.
Wenn ich das VLAN ACL Binding auf "permit all" stelle klappt es - "deny all" klappt nicht.
Damit müsste ja nur eine Regel fehlen oder?
LG
Marco
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 487553
Url: https://administrator.de/contentid/487553
Ausgedruckt am: 13.11.2024 um 06:11 Uhr
2 Kommentare
Neuester Kommentar
mir fehlt (vermutlich) nur ein kleines Detail in meiner Konfiguration
Wie immer... Ich bekomme in der Konfiguration aber keine IP Adresse vom DHCP
Denk mal ein klein wenig selber nach....!!! Dann siehst du dir mal deine IP ACL an und denkst nochmal nach !Siehst du den Fehler ? Nein ? Warum nicht...?
Welche IP Absender Adresse hat denn ein DHCP Request ?? Richtig...die 0.0.0.0 ! Wireshark ist dein Freund....
Siehst du die irgendwo in deiner ACL ?? Wir nicht und deshalb kommen auch keine DHCP Requests durch diese ACL, logisch !
Ein permit udp any eq bootps any am Anfang der ACL sollte dich erlösen !
Guckst du auch hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV