DHCP immer voll
Moin Moin zusammen,
es geht um ein Netzwerk mit einem DC inkl. DHCP Server und das ganze mit einem Subnetz von 255.255.255.0 . Im Netzwerk sind rund 100 Geräte mit festen IP Adressen somit sind also noch rund 150 Adressen für den DHCP frei. Jetzt gibt es im Netz IP-Telefone, Handys, Tabletts usw. Das Leas ist mittlerweile auf 1 Minute eingestellt und trotzdem läuft der DHCP immer voll. Es scheint, als würde das Leas nicht geleert.
Wie würdet Ihr hier vorgehen? Netzwerk einfach erweitern auf z.B. 255.255.254.0?
Oder gibt es eine Möglichkeit den DHCP vollständig zu bereinigen in einem gewissen zeitlichen Abstand?
Dank und Gruß HeinrichM
es geht um ein Netzwerk mit einem DC inkl. DHCP Server und das ganze mit einem Subnetz von 255.255.255.0 . Im Netzwerk sind rund 100 Geräte mit festen IP Adressen somit sind also noch rund 150 Adressen für den DHCP frei. Jetzt gibt es im Netz IP-Telefone, Handys, Tabletts usw. Das Leas ist mittlerweile auf 1 Minute eingestellt und trotzdem läuft der DHCP immer voll. Es scheint, als würde das Leas nicht geleert.
Wie würdet Ihr hier vorgehen? Netzwerk einfach erweitern auf z.B. 255.255.254.0?
Oder gibt es eine Möglichkeit den DHCP vollständig zu bereinigen in einem gewissen zeitlichen Abstand?
Dank und Gruß HeinrichM
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3318557230
Url: https://administrator.de/forum/dhcp-immer-voll-3318557230.html
Ausgedruckt am: 22.12.2024 um 14:12 Uhr
23 Kommentare
Neuester Kommentar
Wer macht denn im Moment den DHCP und was ist dort eingestellt?
Morgen,
Und über die Lease-Tabelle des DHCP-Servers solltest du eigentlich sehen, wer die Adressen bekommt.
Gruß
Und über die Lease-Tabelle des DHCP-Servers solltest du eigentlich sehen, wer die Adressen bekommt.
- Der erste grundlegende Schritt wäre das Netzwerk sauber zu segmentieren.
- Wenn das Firmen-Handys/Tablets sind, dann sollten die ja auch über ein MDM verwaltet werden. Dort im WLAN-Profil die Mac-Randomization für das Firmennetz ausschalten.
- Private Geräte müssen sowieso in ein eigenes Netz
- IP-Telefone ebenso
Gruß
Zitat von @HeinrichM:
Auf dem DC ist der DHCP installiert Server 2019 Standard. Eingestellt ist, dass er die Adressen von 1-254 mit Ausnahme von 100-200 verteilen darf, was er auch tut.
Auf dem DC ist der DHCP installiert Server 2019 Standard. Eingestellt ist, dass er die Adressen von 1-254 mit Ausnahme von 100-200 verteilen darf, was er auch tut.
WS hat tolle Logs.
Was ist die Erkenntnis bei auswerten der Logs?
Es gibt einige Lösungsansätze, die aber von eurer Infrastruktur abhängig sind. Ein LAN durch die Maske zu erweitern wäre eine Option. Ist aber mMn nicht optimal, da die Gefahr groß ist, dass man dann ein großes Netz für alles hat.
Wie oben einige schreiben, wäre eine Segmentierung, physisch oder virtuell (VLAN) je nach Switch/Firewall möglich. Prinzipiell bei 100+ Netzwerkgeräten verschiedener Art sollte man das schon allein aus Sicherheitsgründen machen.
DHCP kann ja weiterhin auf dem DC bleiben und verschiedene Zonen und Netze versorgen. L2/L3 DHCP Relay bzw. Option 82 helfen hier weiter.
Wie oben einige schreiben, wäre eine Segmentierung, physisch oder virtuell (VLAN) je nach Switch/Firewall möglich. Prinzipiell bei 100+ Netzwerkgeräten verschiedener Art sollte man das schon allein aus Sicherheitsgründen machen.
DHCP kann ja weiterhin auf dem DC bleiben und verschiedene Zonen und Netze versorgen. L2/L3 DHCP Relay bzw. Option 82 helfen hier weiter.
Moin,
Ganz einfach: Wenn die Tabelle immer voll ist, hast Du zuviele Geräte in dem Segment. Schau wer alles eine Adresse will und segmentiere Dein Netz sinnvoll. Dann löst sich das Problem in Luft auf.
lks
PS: wenn Du schon 100 Geräte mit statischen IP-Adressen in Deinem Netz drin hast, ist das schon mehr als genug. Da wird es höchste Zeit, zu Segmentieren.
Ganz einfach: Wenn die Tabelle immer voll ist, hast Du zuviele Geräte in dem Segment. Schau wer alles eine Adresse will und segmentiere Dein Netz sinnvoll. Dann löst sich das Problem in Luft auf.
lks
PS: wenn Du schon 100 Geräte mit statischen IP-Adressen in Deinem Netz drin hast, ist das schon mehr als genug. Da wird es höchste Zeit, zu Segmentieren.
Hello
Wieviele? 200? 😂
Solange ein Gerät eingeschalten ist, wird die IP nicht freigegeben. Schau einfach nach, welche Geräte gleichzeitig eine IP haben.
Wieviele? 200? 😂
Solange ein Gerät eingeschalten ist, wird die IP nicht freigegeben. Schau einfach nach, welche Geräte gleichzeitig eine IP haben.
Hallo,
In VLANs segmentieren wäre hier die Lösung.
- VLAN0 Admin - 192.168.1.0/24
- VLAN1 PCs - 192.168.2.0/24 statische IPs
- VLAN2 Server - 192.168.3.0/24 statische IPs
- VLAN3 Drucker - 192.168.4.0/24 statische IPs
- VLAN4 WLAN (Firma) - 192.168.5.0/24 statische IPs
- VLAN5 WLAN Gäste - 192.168.6.0/24 dynamische IPs
- VLAN6 VOIP - 192.168.7.0/24 statische IPs
- VLAN7 Kameras - 192.168.8.0/24 statische IPs
Statische IPs entweder händisch oder per DHCP (Klient bekommt immer wieder die selbe IP)
oder aber via Radius Zertifikat wenn denn so herum möglich.
Per LDAP und/oder Radius Server mit Zertifikaten die dann den Klienten in das "richtige" VLAN "packen"
würde ich hier mal raten wollen. Es sei denn die Switche ermöglichen das nicht oder sind zu schwach.
Dobby
Warum steht so eine Frage in der Foren Rubrik "Off Topic" ???
Naja dann kann man hinterher sagen "Stand ja auch bzw. sowieso im "Off Topic!"vlans?!
Warum das Fragezeichen? Nicht so schüchtern!In VLANs segmentieren wäre hier die Lösung.
- VLAN0 Admin - 192.168.1.0/24
- VLAN1 PCs - 192.168.2.0/24 statische IPs
- VLAN2 Server - 192.168.3.0/24 statische IPs
- VLAN3 Drucker - 192.168.4.0/24 statische IPs
- VLAN4 WLAN (Firma) - 192.168.5.0/24 statische IPs
- VLAN5 WLAN Gäste - 192.168.6.0/24 dynamische IPs
- VLAN6 VOIP - 192.168.7.0/24 statische IPs
- VLAN7 Kameras - 192.168.8.0/24 statische IPs
Statische IPs entweder händisch oder per DHCP (Klient bekommt immer wieder die selbe IP)
oder aber via Radius Zertifikat wenn denn so herum möglich.
Per LDAP und/oder Radius Server mit Zertifikaten die dann den Klienten in das "richtige" VLAN "packen"
würde ich hier mal raten wollen. Es sei denn die Switche ermöglichen das nicht oder sind zu schwach.
Dobby
In VLANs segmentieren wäre hier die Lösung.
Generell richtig!Intelligenter ist es dann aber bei einem /24er Prefix die VLAN ID ins 3te Byte zu "kodieren". Das erleichtert das Management...
- VLAN1 PCs - 192.168.1.0/24 statische IPs
- VLAN2 Server - 192.168.2.0/24 statische IPs
- VLAN3 Drucker - 192.168.3.0/24 statische IPs usw.
VLAN ID 0 gibt es nicht bzw. ist nicht definiert genau wie die IDs über 4090 sind das funktionale IDs die Tabu sind.
Segementieren in VLANs ist aber generell der richtige Weg. Kollege @itisnapanto hat es schon gesagt. Goldene Netzwerker Regel die jeder kennt: In einer L2 Broadcast Domain sollten nie mehr als max. 150 Client (plus/minus) sein!
Wenn der TO nicht mehr als diese 200 Adressen benötigt sollte er die Lease Time auf max. 12 Stunden stellen so werden ungenutzte IPs nach einem Arbeitstag sofort in den Pool der freien Adressen zurückgegeben.
Hallo,
dass Netzwerksegmentierung sinnvoll ist, darauf haben die Kollegen weiter oben schon mehrfach hingewiesen. Dieses macht aus netzwerktechnischer ("Faustregel: nicht mehr als 100-150 Geräte pro Netzwerksegment", um den Broadcast niedrig zu halten) wie sicherheitstechnischer Sicht (der BSI-Grundschutz spricht sinngemäß davon Geräte mit ähnlichem Schutzniveau in separate (V)LANs zu stecken; also bspw. kein Rechner mit Personaldaten im gleichen Netzwerk wie ein Drucker oder BYOD) Sinn.
Zu deinem eigentlichen Problem:
Auch würde ich die Lease-Zeit von 1 Minute (das ist sicherlich nur zum Test, um den Fehler einzugrenzen) überdenken, da schon nach Hälfte der Zeit, also alle 30 Sekunden, der Client einen DHCP-Refresh anfordert. Viel DHCP-Traffic. Kann natürlich auch für den Moment Sinn machen, um ein gewünschtes Verhalten zu provozieren, wenn beispielsweise Wireshark was aufzeichnen soll und man nicht den ganzen Tag darauf warten kann.
Grüße
TA
dass Netzwerksegmentierung sinnvoll ist, darauf haben die Kollegen weiter oben schon mehrfach hingewiesen. Dieses macht aus netzwerktechnischer ("Faustregel: nicht mehr als 100-150 Geräte pro Netzwerksegment", um den Broadcast niedrig zu halten) wie sicherheitstechnischer Sicht (der BSI-Grundschutz spricht sinngemäß davon Geräte mit ähnlichem Schutzniveau in separate (V)LANs zu stecken; also bspw. kein Rechner mit Personaldaten im gleichen Netzwerk wie ein Drucker oder BYOD) Sinn.
Zu deinem eigentlichen Problem:
- Gibt es in der Adressleases-Tabelle doppelte Einträge bei "Client-IP-Adresse", "Name" oder "Eindeutige ID" (aka MAC-Adresse)? Sollte nicht sein. Wenn dir die Tabelle zu unübersichtlich/unhandlich ist, kannst du sie exportieren ("weitere Aktionen") und mit dem Werkzeug deiner Wahl beackern. (z. B. mit Excel nach Spalten sortieren, doppelte Einträge hervorheben, etc.)
- Sind Reservierungen vorgenommen worden und die Geräte existieren vielleicht nicht mehr? Diese nicht mehr verwendeten Reservierungen reduzieren die im Pool zur Verfügung stehenden IPs.
- Ist der Haken bei "A- und PTR-Einträge beim Löschen der Lease verwerfen" auf den Reitern DNS gesetzt?
Auch würde ich die Lease-Zeit von 1 Minute (das ist sicherlich nur zum Test, um den Fehler einzugrenzen) überdenken, da schon nach Hälfte der Zeit, also alle 30 Sekunden, der Client einen DHCP-Refresh anfordert. Viel DHCP-Traffic. Kann natürlich auch für den Moment Sinn machen, um ein gewünschtes Verhalten zu provozieren, wenn beispielsweise Wireshark was aufzeichnen soll und man nicht den ganzen Tag darauf warten kann.
Grüße
TA
und viel was man falsch machen kann.
Bei VLANs eher nicht, das ist ja nur pur Layer 2. Die beiden VLAN Tutorials für eine Layer 2 und Layer 3 Lösung helfen und auch die VLAN Schnellschulung. 😉
Layer 2 VLAN Konzept:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Layer 3 VLAN Konzept:
Verständnissproblem Routing mit SG300-28
@NixVerstehen:
Ich wäre ja für Quartil 😉
@108012:
Weil ich doch eher der introvertierte, zurückhaltende Psychopath aus der Nachbarschaft bin 😉
Ich wäre ja für Quartil 😉
@108012:
Weil ich doch eher der introvertierte, zurückhaltende Psychopath aus der Nachbarschaft bin 😉
Das ist synonym. Oktett ist die Bezeichnung für die Binärdarstellung, Byte für Sedezimal- oder Dezimaldarstelung.
lks