heinrichm
Goto Top

DHCP immer voll

Moin Moin zusammen,

es geht um ein Netzwerk mit einem DC inkl. DHCP Server und das ganze mit einem Subnetz von 255.255.255.0 . Im Netzwerk sind rund 100 Geräte mit festen IP Adressen somit sind also noch rund 150 Adressen für den DHCP frei. Jetzt gibt es im Netz IP-Telefone, Handys, Tabletts usw. Das Leas ist mittlerweile auf 1 Minute eingestellt und trotzdem läuft der DHCP immer voll. Es scheint, als würde das Leas nicht geleert.
Wie würdet Ihr hier vorgehen? Netzwerk einfach erweitern auf z.B. 255.255.254.0?
Oder gibt es eine Möglichkeit den DHCP vollständig zu bereinigen in einem gewissen zeitlichen Abstand?

Dank und Gruß HeinrichM

Content-ID: 3318557230

Url: https://administrator.de/forum/dhcp-immer-voll-3318557230.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

2423392070
2423392070 12.07.2022 um 09:09:30 Uhr
Goto Top
Wer macht denn im Moment den DHCP und was ist dort eingestellt?
HeinrichM
HeinrichM 12.07.2022 um 09:15:23 Uhr
Goto Top
Auf dem DC ist der DHCP installiert Server 2019 Standard. Eingestellt ist, dass er die Adressen von 1-254 mit Ausnahme von 100-200 verteilen darf, was er auch tut.
aqui
aqui 12.07.2022 aktualisiert um 09:15:41 Uhr
Goto Top
Warum steht so eine Frage in der Foren Rubrik "Off Topic" ???
itisnapanto
itisnapanto 12.07.2022 um 09:19:52 Uhr
Goto Top
Gibt ja nur 2 Möglichkeiten.

A: Netz vergrößern
B: Zweites Netz schaffen.

Gruss
DerSchorsch
DerSchorsch 12.07.2022 um 09:22:49 Uhr
Goto Top
Morgen,

Und über die Lease-Tabelle des DHCP-Servers solltest du eigentlich sehen, wer die Adressen bekommt.

  • Der erste grundlegende Schritt wäre das Netzwerk sauber zu segmentieren.
  • Wenn das Firmen-Handys/Tablets sind, dann sollten die ja auch über ein MDM verwaltet werden. Dort im WLAN-Profil die Mac-Randomization für das Firmennetz ausschalten.
  • Private Geräte müssen sowieso in ein eigenes Netz
  • IP-Telefone ebenso

Gruß
nachgefragt
nachgefragt 12.07.2022 um 09:29:12 Uhr
Goto Top
Moin,
segmentieren, d.h. IP-Telefone, Handys, Tabletts usw. in ein eigenes Netz packen. Du kannst ja sehen wer sich immer eine (neue) IP holt.
2423392070
2423392070 12.07.2022 um 09:46:34 Uhr
Goto Top
Zitat von @HeinrichM:

Auf dem DC ist der DHCP installiert Server 2019 Standard. Eingestellt ist, dass er die Adressen von 1-254 mit Ausnahme von 100-200 verteilen darf, was er auch tut.

WS hat tolle Logs.
Was ist die Erkenntnis bei auswerten der Logs?
DerMaddin
DerMaddin 12.07.2022 um 09:50:10 Uhr
Goto Top
Es gibt einige Lösungsansätze, die aber von eurer Infrastruktur abhängig sind. Ein LAN durch die Maske zu erweitern wäre eine Option. Ist aber mMn nicht optimal, da die Gefahr groß ist, dass man dann ein großes Netz für alles hat.

Wie oben einige schreiben, wäre eine Segmentierung, physisch oder virtuell (VLAN) je nach Switch/Firewall möglich. Prinzipiell bei 100+ Netzwerkgeräten verschiedener Art sollte man das schon allein aus Sicherheitsgründen machen.

DHCP kann ja weiterhin auf dem DC bleiben und verschiedene Zonen und Netze versorgen. L2/L3 DHCP Relay bzw. Option 82 helfen hier weiter.
Lochkartenstanzer
Lochkartenstanzer 12.07.2022 aktualisiert um 10:10:37 Uhr
Goto Top
Moin,

Ganz einfach: Wenn die Tabelle immer voll ist, hast Du zuviele Geräte in dem Segment. Schau wer alles eine Adresse will und segmentiere Dein Netz sinnvoll. Dann löst sich das Problem in Luft auf.

lks

PS: wenn Du schon 100 Geräte mit statischen IP-Adressen in Deinem Netz drin hast, ist das schon mehr als genug. Da wird es höchste Zeit, zu Segmentieren.
Franz-Josef-II
Franz-Josef-II 12.07.2022 um 11:25:54 Uhr
Goto Top
Hello

Zitat von @HeinrichM:
Jetzt gibt es im Netz IP-Telefone, Handys, Tabletts usw.


Wieviele? 200? 😂

Solange ein Gerät eingeschalten ist, wird die IP nicht freigegeben. Schau einfach nach, welche Geräte gleichzeitig eine IP haben.
Visucius
Visucius 12.07.2022 um 11:26:47 Uhr
Goto Top
vlans?!
108012
108012 12.07.2022 um 12:26:22 Uhr
Goto Top
Hallo,

Warum steht so eine Frage in der Foren Rubrik "Off Topic" ???
Naja dann kann man hinterher sagen "Stand ja auch bzw. sowieso im "Off Topic!"

vlans?!
Warum das Fragezeichen? Nicht so schüchtern!

In VLANs segmentieren wäre hier die Lösung.
- VLAN0 Admin - 192.168.1.0/24
- VLAN1 PCs - 192.168.2.0/24 statische IPs
- VLAN2 Server - 192.168.3.0/24 statische IPs
- VLAN3 Drucker - 192.168.4.0/24 statische IPs
- VLAN4 WLAN (Firma) - 192.168.5.0/24 statische IPs
- VLAN5 WLAN Gäste - 192.168.6.0/24 dynamische IPs
- VLAN6 VOIP - 192.168.7.0/24 statische IPs
- VLAN7 Kameras - 192.168.8.0/24 statische IPs

Statische IPs entweder händisch oder per DHCP (Klient bekommt immer wieder die selbe IP)
oder aber via Radius Zertifikat wenn denn so herum möglich.

Per LDAP und/oder Radius Server mit Zertifikaten die dann den Klienten in das "richtige" VLAN "packen"
würde ich hier mal raten wollen. Es sei denn die Switche ermöglichen das nicht oder sind zu schwach.


Dobby
aqui
aqui 12.07.2022 aktualisiert um 12:41:19 Uhr
Goto Top
In VLANs segmentieren wäre hier die Lösung.
Generell richtig!
Intelligenter ist es dann aber bei einem /24er Prefix die VLAN ID ins 3te Byte zu "kodieren". Das erleichtert das Management... face-wink
- VLAN1 PCs - 192.168.1.0/24 statische IPs
- VLAN2 Server - 192.168.2.0/24 statische IPs
- VLAN3 Drucker - 192.168.3.0/24 statische IPs usw.

VLAN ID 0 gibt es nicht bzw. ist nicht definiert genau wie die IDs über 4090 sind das funktionale IDs die Tabu sind.
Segementieren in VLANs ist aber generell der richtige Weg. Kollege @itisnapanto hat es schon gesagt. Goldene Netzwerker Regel die jeder kennt: In einer L2 Broadcast Domain sollten nie mehr als max. 150 Client (plus/minus) sein!
Wenn der TO nicht mehr als diese 200 Adressen benötigt sollte er die Lease Time auf max. 12 Stunden stellen so werden ungenutzte IPs nach einem Arbeitstag sofort in den Pool der freien Adressen zurückgegeben.
alex1984
alex1984 12.07.2022 um 12:43:06 Uhr
Goto Top
  • Hast du den DHCP mit einem FailoverServer? Vielleicht verbraucht der deine Adressen denn der behält sich auch 5-10%.

  • Sicher das du keine Netzbereiche ausgeschlossen hast?

  • Du könntest die Datenbank sichern und wiederherrstellen hat bei mir schon mal geholfen.
TwistedAir
TwistedAir 12.07.2022 um 19:47:32 Uhr
Goto Top
Hallo,

dass Netzwerksegmentierung sinnvoll ist, darauf haben die Kollegen weiter oben schon mehrfach hingewiesen. Dieses macht aus netzwerktechnischer ("Faustregel: nicht mehr als 100-150 Geräte pro Netzwerksegment", um den Broadcast niedrig zu halten) wie sicherheitstechnischer Sicht (der BSI-Grundschutz spricht sinngemäß davon Geräte mit ähnlichem Schutzniveau in separate (V)LANs zu stecken; also bspw. kein Rechner mit Personaldaten im gleichen Netzwerk wie ein Drucker oder BYOD) Sinn.

Zu deinem eigentlichen Problem:
  • Gibt es in der Adressleases-Tabelle doppelte Einträge bei "Client-IP-Adresse", "Name" oder "Eindeutige ID" (aka MAC-Adresse)? Sollte nicht sein. Wenn dir die Tabelle zu unübersichtlich/unhandlich ist, kannst du sie exportieren ("weitere Aktionen") und mit dem Werkzeug deiner Wahl beackern. (z. B. mit Excel nach Spalten sortieren, doppelte Einträge hervorheben, etc.)
  • Sind Reservierungen vorgenommen worden und die Geräte existieren vielleicht nicht mehr? Diese nicht mehr verwendeten Reservierungen reduzieren die im Pool zur Verfügung stehenden IPs.
  • Ist der Haken bei "A- und PTR-Einträge beim Löschen der Lease verwerfen" auf den Reitern DNS gesetzt?

Auch würde ich die Lease-Zeit von 1 Minute (das ist sicherlich nur zum Test, um den Fehler einzugrenzen) überdenken, da schon nach Hälfte der Zeit, also alle 30 Sekunden, der Client einen DHCP-Refresh anfordert. Viel DHCP-Traffic. Kann natürlich auch für den Moment Sinn machen, um ein gewünschtes Verhalten zu provozieren, wenn beispielsweise Wireshark was aufzeichnen soll und man nicht den ganzen Tag darauf warten kann. face-wink

Grüße
TA
HeinrichM
HeinrichM 13.07.2022 um 07:35:21 Uhr
Goto Top
Zitat von @TwistedAir:
  • Ist der Haken bei "A- und PTR-Einträge beim Löschen der Lease verwerfen" auf den Reitern DNS gesetzt?
Ja der ist gesetzt.

Danke für die vielen Antworten. Ich denke wir werden das mit dem VLAN mal verfolgen um das ganze Netzt zu entzerren.

Gruß HeinrichM
Franz-Josef-II
Franz-Josef-II 13.07.2022 um 07:54:49 Uhr
Goto Top
Guten Morgäähhhn

Ich würde trotzdem schauen, warum die Leases nicht freigegeben werden. Sonst laufen Dir auch VLANs voll. Zuviele Clients und zuwenig IPs? .... oder werden die IPs nicht freigeben, wenn es den Client nicht (mehr) gibt? .... oder .....
HeinrichM
HeinrichM 13.07.2022 um 08:39:07 Uhr
Goto Top
Zitat von @Franz-Josef-II:

Guten Morgäähhhn

Ich würde trotzdem schauen, warum die Leases nicht freigegeben werden. Sonst laufen Dir auch VLANs voll. Zuviele Clients und zuwenig IPs? .... oder werden die IPs nicht freigeben, wenn es den Client nicht (mehr) gibt? .... oder .....

Ja klar muss ich auch machen. Jetzt müssen wir uns aber erstmal um das VLAN kümmern. Da gibt es ja auch viele Beiträge hier im Forum und viel was man falsch machen kann. Muss mich da mal einlesen.

Gruß HeinrichM
aqui
aqui 13.07.2022 um 08:47:46 Uhr
Goto Top
und viel was man falsch machen kann.
Bei VLANs eher nicht, das ist ja nur pur Layer 2. face-wink
Die beiden VLAN Tutorials für eine Layer 2 und Layer 3 Lösung helfen und auch die VLAN Schnellschulung. 😉
Layer 2 VLAN Konzept:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Layer 3 VLAN Konzept:
Verständnissproblem Routing mit SG300-28
NixVerstehen
NixVerstehen 13.07.2022 um 09:04:50 Uhr
Goto Top
Zitat von @aqui:
Intelligenter ist es dann aber bei einem /24er Prefix die VLAN ID ins 3te Byte zu "kodieren". Das erleichtert das Management... face-wink
@aqui: Müsste das nicht drittes Oktett anstatt drittes Byte lauten?

Gruß NV
HeinrichM
HeinrichM 13.07.2022 um 09:07:35 Uhr
Goto Top
Zitat von @aqui:

und viel was man falsch machen kann.
Bei VLANs eher nicht, das ist ja nur pur Layer 2. face-wink
Die beiden VLAN Tutorials für eine Layer 2 und Layer 3 Lösung helfen und auch die VLAN Schnellschulung. 😉
Layer 2 VLAN Konzept:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Layer 3 VLAN Konzept:
Verständnissproblem Routing mit SG300-28

Das ist doch mal ne Sammlung! DANKE!

Gruß HeinrichM
Visucius
Visucius 13.07.2022 aktualisiert um 09:13:33 Uhr
Goto Top
@NixVerstehen:
Ich wäre ja für Quartil 😉

@108012:
Weil ich doch eher der introvertierte, zurückhaltende Psychopath aus der Nachbarschaft bin 😉
Lochkartenstanzer
Lochkartenstanzer 13.07.2022 um 11:50:25 Uhr
Goto Top
Zitat von @NixVerstehen:

@aqui: Müsste das nicht drittes Oktett anstatt drittes Byte lauten?


Das ist synonym. Oktett ist die Bezeichnung für die Binärdarstellung, Byte für Sedezimal- oder Dezimaldarstelung.

lks