06.10.2019

7998

DHCP im VLAN und L3 Switch

Hallo,

ich bin Neuling auf dem Gebiet VLAN und die Einarbeitung in das Thema DHCP im VLAN stockt gerade ein wenig und Dr. Google weiß leider auch keinen Rat für mein DHCP-Problem, daher hier meine Frage an die Spezialisten.
Für mein Heimnetzwerk habe eine VLAN Struktur wie wie im Bild aufgebaut.

Der Hauptgrund für diesen Aufbau ist die netzwerktechnische Isolierung der Einliegerwohnung (VLAN120) von meiner Wohnung im VLAN160. Es sind noch ein paar zusätzliche VLAN´s eingerichtet wie z.B. "Kinder" , "VOIP" und "Firma" was aber unter die Rubrik "Spielerei" fällt. Ich denke der grundsätzliche Netzwerkaufbau ist verständlich und für die meisten hier sogar ziemlich banal

Auf dem Switch sind entsprechend VLAN IP´s vergeben, IP4 Routing ist aktiviert und ACL´s steuern den Zugriff auf Subnetze. Das Inter VLAN-Routing funktioniert so wie es soll denke ich und die Clients kommen ins Internet über den Router 192.168.1.1.

Ich möchte nun im VLAN160 die statische IP Vergabe an den Clients vermeiden. Die IP-Vergabe soll durch den DHCP-Server auf 192.168.1.1 erfolgen. Dazu habe ich im Router 192.168.1.1 einen entsprechenden Scope für das VLAN angelegt:

DHCP Name: vlan160
Subnet: 192.168.160.0/24
Range Start: 192.168.160.101
Range Stop: 192.168.160.200
Router: 192.168.160.254
DNS 1: 192.168.1.1

Auf dem Switch habe ich DHCP Relay im VLAN 160 aktiviert. Es wird automatisch die 192.168.160.254 als "DHCP Relay-Router" angegeben. DHCP ist auch global aktiviert und der DHCP Server 192.168.1.1. ist eingetragen. Ich bekomme einfach keine IP zugewiesen. Ich habe dem DHCP Scope Router probehalber die 192.168.1.254 vergeben, auch ohne Erfolg.

Nun habe ich mehrfach gelesen, das ein einziger DHCP Server in verschiedene VLAN´s "transferieren" kann. Was mache ich falsch? Muss ein 802.q Trunk zwischen Switch und Router dafür aufgesetzt werden? Das würde allerdings bedeuten, dass der Router zwischen den VLAN´s routen muss und im Switch deaktiviert wird, was ich aus Performancegründen vermeiden möchte.
Ich hoffe Ihr könnt mir helfen.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 502073

Url: https://administrator.de/contentid/502073

Ausgedruckt am: 24.11.2024 um 05:11 Uhr

15 Kommentare

Neuester Kommentar

Servus. Lassen Deine ACL denn DHCP zu ?
Wireshark anschmeissen und Du siehst mehr.

Henere

Moin,

einen Trunk brauchst du dafür nicht, aber einen Helper... Wenn dein Rechner im VLAN160 am Anfang nen Broadcast macht um seinen DHCP zu finden is ja im eignen Netz nix. Der Helper sorgt dafür das dein DHCP gefunden wird.
Im DHCP musst du dann natürlich noch die passende Range anlegen - sonst wird der auch nich glücklich...

Hi,

im DHCP habe ich wie beschrieben die Range angelegt:

Subnet: 192.168.160.0/24
Range Start: 192.168.160.101
Range Stop: 192.168.160.200
Router: 192.168.160.254
DNS 1: 192.168.1.1

Den IP Helper (Bei Cisco heißt der offensichtlich DHCP Relay) habe ich auf dem Switch angelegt im VLAN160.

Der Switch weiß auch wo der DHCP Server zu finden ist:

Ich befürchte ich muss mich bei Gelegenheit mit dem Wireshark beschäftigen, wie Henere vorschlägt...

Deine Konfig ist soweit genau richtig. Sie entspricht auch dem hier im Tutorial beschriebenen Standard Layer 3 Switchkonzept:
Verständnissproblem Routing mit SG300-28
Also erstmal alles richtig gemacht !
Das Einzige was etwas verwirrend ist, ist die Tatsache das in der Skizze oben das VLAN 132 und 232 benannt ist welche aber im gesamten Netzwerk nicht vorkommen. Vermutlich soll das wohl eine Planung sein oder was auch immer..?!

Ich denke der grundsätzliche Netzwerkaufbau ist verständlich und für die meisten hier sogar ziemlich banal

So ist es aber dennoch hast du alles genau richtig gemacht und dein Weg der Segmentierung ist in jedem Falle der richtige !!

Auf dem Switch habe ich DHCP Relay im VLAN 160 aktiviert.

Das ist auch richtig !

Nun habe ich mehrfach gelesen, das ein einziger DHCP Server in verschiedene VLAN´s "transferieren" kann.

Auch das ist richtig. Alles andere wäre ja sinnfrei. Stell dir eine Firma vor mit 20 VLANs. Da willst du ja nicht in jedem einzelnen VLAN einen DHCP Server am werkeln haben !
Das macht man dann logischerweise mit einem zentralen DHCP Server und den entsprechenden Scopes.
Siehe dazu auch hier: Netzwerk Management Server mit Raspberry Pi
Das ist also ein klassisches und auch gängiges Design und du hast bei dir alles richtig konfiguriert.
Man kann nur vermuten das der DHCP Server im ER das nicht supportet und nur IP Adresen rausgibt für Netze die an ihm selber auch direkt angeschlossen sind. Bei solchen Billigroutern die von Firmen kommen dessen Kernkompetenz eben gerade NICHT das Routing oder Firewalling ist muss man sich da dann nicht groß wundern....

Erleuchtung wird dir in der Tat sofort der Wireshark geben.
Sieh dir die DHCP Pakete an die der Switch mit seiner Helper IP an den DHCP Server 192.168.1.1 forwardet und ganz wichtig, ob der Server da dann auch überhaupt ein DHCP Offer als Antwort schickt zu diesem IP Netz:
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#Ablauf ...
Vermutlich empfängt der Server die geforwardeten DHCP Requests des Switches aber schickt dann aus dem obigen Grund keine Offers.
Das siehst du genau wenn du den Wireshark in das Kabel zum Router mal einschleifst.
Dazu genierierst du einen Mirror (Spiegel) Port mit dem Switch um den Router Port auf den Wireshark Port zu spiegeln.
Das nennt man "SPAN" Port (Switched Port ANalyzer)
https://www.cisco.com/c/dam/en/us/td/docs/switches/lan/csbss/sf_sg250/ad ...
Seite 45, Kapitel 4
Damit kannst du den Router Port komplett auf einen freien Port am Switch spiegeln und hier genau sehen was am Router ankommt. (Und nebenbei wer so alles in deinem Netz ins Internet "telefoniert" !)
Ideal ist es wenn du im Wireshark Capture Filter (Aufzeichnungs Filter) noch auf DHCP filterst:
https://en.wikiversity.org/wiki/Wireshark/DHCP
Damit blendest du dann allen anderen Traffic aus den du nicht sehen willst und der ggf. verwirrt.

Der Buhmann wird vermutlich der ER Router bzw. dessen DHCP Funktion sein...
Kannst du testweise ja mal verifizieren wenn du mal einen Raspberry Pi als zentralen DHCP Server im VLAN 110 aufsetzt nach dem o.a. Tutorial.

Idealerweise ist der RasPi dann zusätzlich gleich ein PiHole Server: Raspberry Pi Zero W als Pi-hole Adblocker der dir dein gesamtes Netzwerk dann gleich global von Malware, Trojanern und lästiger Werbung befreit !!!

Hallo aqui,

erstmal danke für Deine super detaillierten Ausführungen - das ist auch für mich als Neuling gut verständlich!
Der Tip bezüglich "SPAN" Port war auch sehr hilfreich, man lernt ja nie aus... Nach einigem Probieren mit Wireshark habe ich mir gedacht, ich sollte vielleicht den DHCP Server erstmal grundsätzlich in 192.168.1.0/24 testen und die Adressvergabe funktionierte wie erwartet im selben Netz mit diesem Scope:

Subnet: 192.168.1.0/24
Range Start: 192.168.1.101
Range Stop: 192.168.1.200
Router: 192.168.1.1
DNS 1: 192.168.1.1

Dann habe ich festgestellt, dass der PC im VLAN auch eine IP-Adresse bekommen hat

Die IP Adresse 192.168.160.101 im DHCP-Relay-VLAN wurde entsprechend dem zuvor erstellten Scope vergeben FREU FREU

Subnet: 192.168.160.0/24
Range Start: 192.168.160.101
Range Stop: 192.168.160.200
Router: 192.168.160.254
DNS 1: 192.168.1.1

Es musste quasi erstmal der DHCP auf 192.168.1.1 "global" aktiviert werden, bevor der ER-4 sich um die anderen Netze kümmert. Das erscheint mir momentan nicht ganz logisch aber es läuft! Der ER-4 scheint doch nur ein Semi-Billigrouter zu sein

Du hast recht, in der Skizze ist das VLAN 132 und 232 WAN seitig in Planung, da ich den Internet Provider nächstes Jahr wechseln werde und für Daten VLAN 132 und VOIP VLAN 232 verlangt wird (Innogy Highspeed Glasfaser). Dabei fällt mir eine weitere Unklarheit ein und zwar wie der switch/router z.B. die Voice Daten LAN seitig vom übrigen Internet-Traffic trennt und in die richtigen VLANs schickt, da ich LAN seitig alles "ungetagged" zum Router schicke. Aber das könnte auch ein Thema für eine spätere Fragestellung werden

Vielen dank nochmal.

ich sollte vielleicht den DHCP Server erstmal grundsätzlich in 192.168.1.0/24 testen

Mit dem Ansatz hast du absolut recht !

Es musste quasi erstmal der DHCP auf 192.168.1.1 "global" aktiviert werden

Kleine Ursache, große.... Der Klassiker

Der ER-4 scheint doch nur ein Semi-Billigrouter zu sein

Na ja...kommt wie immer drauf an welche Erwartungshaltung man hat... Auf dem Niveau einer FritzBox dürfte er wohl sein.

Dabei fällt mir eine weitere Unklarheit ein und zwar wie der switch/router z.B. die Voice Daten LAN seitig vom übrigen Internet-Traffic trennt und in die richtigen VLANs schickt

Wieso ?
Die Fragestellung ist etwas unklar ??
Du weist doch am Switch dediziert den Endgeräte Ports das VoIP VLAN 232 zu. Folglich sind also diese Endgeräte zwangsweise immer dediziert in diesem VLAN und nirgendwo anders.
Den Ports denen du die VLAN Information an den Paketen zwangsweise mitgeben musst, die Taggst du dann in diesem VLAN. Sprich versiehst sie mit einem 802.1q konformen VLAN Tag im Paket:
https://de.wikipedia.org/wiki/IEEE_802.1Q
Damit haben dann ausgehende Pakete aus diesem VoIP VLAN ein 802.1q VLAN Tag am Paket und können von einem empfangenden Switch oder Router so wieder einem VLAN zugeordnet werden und in diesem geforwardet werden. Eigentlich doch ganz logisch und einfach.

Nur um es nochmals klarzustellen:
VLANs ist eine reine Layer 2 Technologie und spielt sich auf Mac Adress Ebene ab !
Niemals auf IP Ebene. Sihe Wiki Eintrag oben zu 802.1q.
Mit Routing hat das rein gar nix zu tun und kann auch deshalb niemals über Routing Grenzen übertragen werden, da es eben ein reines Layer 2 Merkmal ist. Grundlagen erklärt auch das hiesige VLAN Tutorial und seine weiterführenden Links:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Möglich das du evtl. das Tagging am WAN Port meinst wie z.B. hier beschrieben:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Das ist aber wieder eine ganz andere Baustelle, wenn auch mit der gleichen Technik.

Möglich das du evtl. das Tagging am WAN Port meinst wie z.B. hier beschrieben:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Das ist aber wieder eine ganz andere Baustelle, wenn auch mit der gleichen Technik.

Ja genau ich beziehe mich auf das zukünftige Internet-VLAN-Tagging (VLAN 232 für VOIP und VLAN 132 für Internetdaten) und habe mich gefragt, wie VOIP und Internetdaten im Heimnetz separiert werden. Mal angenommen, ich möchte im Büro im VLAN 140 zusätzlich zum PC/Notebook ein IP Telefon betreiben. Dazu mache ich den entsprechenden Switchport (hier GE5) Mitglied von VLAN140 untagged und VLAN232 tagged? Dazu muss ich den Interface VLAN Mode auf „General“ stellen und erhalte für GE5 folgende Mitgliedschaft: 140U, 140P, 232T. Was hat es mit der PVID auf sich?

Für die Voice Daten sieht es nun so aus, dass die VLAN Mitgliedschaft durch ein 802.1q Tag sowieso in den entsprechenden Paketen mitgeliefert wird und das Paket verlässt den Switch über die Default Route am Access Port zum ER-4 (nicht als Trunk Uplink). Der ER-4 ist in der Lage die Pakete wieder einem VLAN zuzuordnen und das Paket in diesem zu forwarden, Richtig?

Nebenbei ist mir aufgefallen, dass ich beim Cisco Switch nicht extra ein Voice VLAN erstellen muss, sondern unter Voive VLAN -> Properties kann ich die VLAN ID 232 eintragen und „Auto Voice VLAN“ aktivieren.

und habe mich gefragt, wie VOIP und Internetdaten im Heimnetz separiert werden.

Normal erstmal gar nicht. Das wäre ja auch von Fritzchen Müller ohne IT Kenntnisse etwas viel verlangt und aus normaler Sicht wenn es da um ein oder 2 Telefone in der heimischen Wohnung geht ja auch nicht zwingend nötig.
Oft sind das alte analoge Telefone oder welche mit ISDN die dann so oder an im Router integrierte Medienwandler angeschlossen sind weil sich auch die VoIP Telefonanlage meist integriert im Router findet.
So sieht ja das Gros der Heiminstallation aus. Der Router tagged dann die ausgehenden Voice Pakete und gut iss.
Nur etwas anspruchsvollere Nutzer machen sich ja oft dann auch zu recht Gedanken über eine sinnvollere Segmentierung und den Einsatz von VoIP Telefonen oder auch Anlagen im lokalen LAN.
Aber auch da ist es sehr einfach. Man klassifiziert den Voice Traffic dann aus dem lokalen Netzwerk sei es geroutet oder flach mit einer Access Liste im Router und sagt selbigem dann das er diesen Traffic dann bitte mit Tag xy am Ausgangsport raussenden soll.
Eigentlich ganz einfach

Was hat es mit der PVID auf sich?

Guckst du hier:
Warum gibt es PVID bei VLANs?
Weitere VLAN Grundlagen wie immer auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Ich sehe mich auch nicht als Fritzchen Müller ohne IT-Kenntnisse. Ich versuche die Thematik zu verstehen und hier zu hinterfragen, weil ich u.U. IP Telefone einsetzen möchte. Deine Antwort hat mir aber leider nicht wirklich weiter geholfen – sorry für meine Hartnäckigkeit

Ich habe hier im Forum dazu heute einige Beiträge gelesen zum Thema VOIP Priorisierung/Segmentierung und folgendes verstanden (bitte korrigier mich falls nötig):
1) LLDP MED Network Policy ist erste Wahl. Also war meine „Auto Voice VLAN“ Einstellung im Switch erstmal nicht so schlecht.
2) Das 802.1q Tag für VLAN 232 muss an dem Port nur gemacht werden, wenn 802.1p Priorisierung auf den Telefonen gemacht werden soll.
3) Bei DSCP wird das Paket nicht mit einem 802.1q VLAN Tag versehen. Folglich muss der Port nicht VLAN232 getagged werden.
4) Die Einstellung im Switch macht dann auch Sinn: Quality of Service -> QoS Basic Mode -> Global settings -> Trust Mode = DSCP
5) Bei DSCP sind diese Port Mitgliedschaften einzustellen: VLAN 140 Untagged, VLAN 232 untagged als „General“ Port. Es ist also das vorher beschriebene VLAN232 Tag zu entfernen.
6) LLDP im ER-4 am entsprechenden Interface aktivieren und schon läuft VOIP wie geschmiert. CDP wird im ER-4 übrigens auch angeboten

Im switch ist auch CDP aktiv. Das scheint ein spezielles Cisco Ding neben LLDP zu sein und kann deaktiviert werden, da LLDP schon aktiv ist?

Was hat es mit der PVID auf sich?

Guckst du hier:
Warum gibt es PVID bei VLANs?
Weitere VLAN Grundlagen wie immer auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Zu 95% verstanden denke ich! Mir ist nur nicht ganz klar, bei welcher Konstellation die PVID vom eigentlichen VLAN abweichen sollte/muss. Bei meiner VLAN Vorstellung stimmt sie immer mit dem VLAN überein - aber ich muss auch nicht alles verstehen.

sorry für meine Hartnäckigkeit

Kein Problem, dafür ist ja ein Forum da das man technische Fragen final klären kann. Allerdings bleibt unklar WELCHE der zahllosen Antworten dir nicht weitergeholfen hat...aber egal.
Zu deinen Punkten:
1.) LLDP ist primär keine Lösung zur Priorisierung der Voice Daten im Netz. Das machen L2 QoS Policies mit 802.1p oder eben Layer 3 Policies mit DSCP. Letztlich ist das davon abhängig WIE deine Voice Endgeräte eingestellt sind und welche Priorisierung sie nutzen. Richtig ist das LLDP zu Klassifizierung und Übermittling des Voice VLANs unsw. quasi Standard ist und ein Einsatz natürlich sinnvoll sofern deine Endgeräte es supporten.
2.) Ja ! .1p QoS ist immer ein Teil des .1q Tags. Sprich also keine .1p Layer 2 Priorisierung ohne ein .1q Tag am Paket. Layer 2 Priorisierung erzwingt dann immer ein .1q Tagging der Voice Daten.

3.) Richtig ! DSCP ist immer Teil des IP Headers ! Nimm dir einen Wireshark wie oben, dann siehst du es !

4.) Richtig !
5.) Jein. Muss nicht sein, wenn man generell in allen VLANs ein DSCP Honouring konfiguriert.
Normal macht man das abe rniemals global sondern immer Port bezogen, sprich man gibt explizit an wo an welchem Port man möchte das der Switch eine Priorisierung auf DSCP Basis machen soll.
Switch arbeiten ja normal auf Layer 3, sehen also niemals in den Layer 3. Deshalb muss man ihnen explizit sagen: Siehe in den Layer 3 und lese die Priorisierungs Settings dort !. Da ist es dann egal ob Tag oder No Tag an diesen Ports und egal welches VLAN.
6.) Ja, CDP (Cisco Discovery Protokoll) ist Cisco proprietär, das kann also nicht jeder. Viele Mitbewunderer im netzwerk Markt haben sich da aber angeschlossen und es mehr oder minder vollständig ebenfalls implementiert. Letztlich ist das aber tot, da es eine Abhängigkeit schafft. Wenn dann sollte man den Standard benutzen, wie immer, und das ist LLDP.

Mir ist nur nicht ganz klar, bei welcher Konstellation die PVID vom eigentlichen VLAN abweichen sollte/muss.

Gar nicht. Die PVID zeigt immer auf die VLAN ID in das ungetaggte Pakete an diesem Port geforwardet werden. Viele Hersteller haben das intelligent mit Auto PVID implementiert, die meisten Billigheimer aber nicht (kla,r kostet Geld was der normale Blödmarkt Verbrauche nicht zahlen will). Da muss es dann immer explizit nochmal gesetzt werden am Port.

Bei meiner VLAN Vorstellung stimmt sie immer mit dem VLAN überein

Das ist auch richtig und so sollte es auch immer sein. Man kann aber natürlich an verschiedenen Ports auch verschiedene PVID sprich Native VLAN Settings haben.

Danke! Ich habe einiges dazu gelernt und bin erstmal fit gut für mein Heimnetz. Alles andere wird einfach ausprobiert.
Cooles Forum mit sehr kompetenten Admins

So sollte es auch sein in einem "Administrator" Forum

Viel Erfolg weiterhin !

Hallo nochmal!
Hab da nochmal eine Frage zum Thema VOIP und QoS an die Admins.Wenn mein Telefon nun LLDP und Layer 3 mit DSCP priorisiert und dies entsprechend im Switch konfiguriert ist, dann sind die notwendigen Schritte getan, so habe ich das verstanden.
QoS Einstellungen im Router wie z.B. shaping um für VOIP eine bestimmte Bandbreite zu gewährleisten, sollten damit überflüssig werden, da der Traffic im Switch ja schon entsprechend an einem Punkt im Netzwerk „eingestellt“ wird oder?

Es gibt z.B. im EdgeOS diese Optionen wenn Shaping konfiguriert wird:

class Match on a certain traffic type (for example a DSCP value).
queue-type Can be either set to Fair Queue, Tail Drop, RED or Priority queuing.
bandwidth The guaranteed bandwidth set as a flat rate or percentage.
ceiling The bandwidth limit set as a flat rate or percentage.

dies entsprechend im Switch konfiguriert ist, dann sind die notwendigen Schritte getan, so habe ich das verstanden.

Ja, was den Daten Transport der VoIP Daten rein nur im Switch anbetrifft. Auf jedem anderen Gerät sieht das natürlich wieder anders aus. Den die wissen ja nicht was du am Switch eingestellt hast. Der Internet Router macht also keine Priorisierung wenn die Voice Pakete da ankommen und er keine entsprechende DSCP Konfig hat.
Das geht immer pro Hop.

da der Traffic im Switch ja schon entsprechend an einem Punkt im Netzwerk „eingestellt“ wird oder?

Nein !
"Eingestellt" wird das ja logischerweise am Endgerät ! DAS sendet die Voice Pakete mit einem entsprechend gesetztem DSCP Wert. Jeder Hop der das Paket "sieht" und eine Forwarding Entscheidung dafür treffen muss musst du explizit sagen das er den DSCP Wert ansehen soll und je nach Wert etwas mit dem Paket machen muss. Hellsehen können solche Geräte nicht.
Wenn du es also nur am Switch eingestellt hast aber nicht am Router priorisiert es der Switch, der Router aber weiss logischerweise von nix und "sieht" nur die IP Adressen, nicht aber den DSCP Wert. Für ihn ist das also ein stinknormales IP Paket wie alles anderen auf was mit best efford geforwardet wird ohne entsprechendes DSCP Honoring !
Eigentlich doch eine gaz einfache Logik !

Fazit: Auch der Router braucht, wie jedes Gerät im Netz was eine Forwarding Entscheidung treffen muss, immer eine entsprechende QoS Konfig. Hop by Hop eben.