12
DHCP per Switchport
Hallo zusammen,
ich habe (für mich) folgende Herausforderung:
SOLL:
In einem Netz zur Konfiguration und Installation von Clients werden immer wieder wechselnde Geräte angeschlossen, welche sich per DHCP eine immer gleiche IP ziehen sollen. Die Geräte sollen dann von einem MGMT- Server erreichbar sein.
IST:
Die wechselnden Geräte wie auch der MGMT- Server befinden sich in einem VLAN welches über einen HPe OfficeConnect 1950 Layer 3 Switch organisiert wird. Die zuständige Sophos Firewall XGS3300 stellt zur Zeit den DHCP in dem Netz bereit.
Neu angeschlossene Geräte bekommen eine IP aus dem definierten Bereich zugewiesen.
Lösungsansätze:
Mein erster Gedanke war, dass ich auf dem zuständigen Switch den DHCP Dienst (per VLAN) aktiviere und die einzelnen Netzwerkports in kleine VLANs packe mit dementsprechend kleinen Scopes des DHCPs aber ehrlich gesagt wird mich wahrscheinlich das nötige routing dann überfordern.
Hat jemand eine Idee für einen eleganteren Weg oder könnte mich vielleicht jemand in die richtige Richtung schubsen?
Ich danke euch vorab für die Hilfe. Sollten noch wichtige Infos fehlen, reiche ich diese gerne nach.
LG
ich habe (für mich) folgende Herausforderung:
SOLL:
In einem Netz zur Konfiguration und Installation von Clients werden immer wieder wechselnde Geräte angeschlossen, welche sich per DHCP eine immer gleiche IP ziehen sollen. Die Geräte sollen dann von einem MGMT- Server erreichbar sein.
IST:
Die wechselnden Geräte wie auch der MGMT- Server befinden sich in einem VLAN welches über einen HPe OfficeConnect 1950 Layer 3 Switch organisiert wird. Die zuständige Sophos Firewall XGS3300 stellt zur Zeit den DHCP in dem Netz bereit.
Neu angeschlossene Geräte bekommen eine IP aus dem definierten Bereich zugewiesen.
Lösungsansätze:
Mein erster Gedanke war, dass ich auf dem zuständigen Switch den DHCP Dienst (per VLAN) aktiviere und die einzelnen Netzwerkports in kleine VLANs packe mit dementsprechend kleinen Scopes des DHCPs aber ehrlich gesagt wird mich wahrscheinlich das nötige routing dann überfordern.
Hat jemand eine Idee für einen eleganteren Weg oder könnte mich vielleicht jemand in die richtige Richtung schubsen?
Ich danke euch vorab für die Hilfe. Sollten noch wichtige Infos fehlen, reiche ich diese gerne nach.
LG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 91209768724
Url: https://administrator.de/contentid/91209768724
Printed on: April 28, 2024 at 04:04 o'clock
12 Comments
Latest comment
Hi,
würde den DHCP die Adressen reservieren lassen.
würde den DHCP die Adressen reservieren lassen.
Das wird wohl nicht gehen wenn die Geräte hinter dem Anschluss, und damit auch die MAC-Adresse, ständig wechselt. Es sei denn du kennst alle MAC-Adressen aller Geräte.
Außer der Idee mit den getrennten VLANs pro Port fällt mir da auch nichts ein. Mit der Sophos müsste das aber gehen, die kann sowohl VLAN spezifische DHCPs machen als auch das Routing übernehmen. Ich nutze noch SG aber ich vermute mal auch in XG kann man die verschiedenen Netze dann zu Gruppen zusammen fassen so das man nicht ständig Firewall-Regeln anfassen muss wenn ein neues Netz hinzu kommt.
Der Switch muss dann mehrere VLANs über einen Trunk (=HP LAG) an die Sophos durchreichen, auch das habe ich bei mir laufen. Einzig die Menge des Traffics könnte dann ein Problem werden, die Netze teilen sich alle den LAG und alles muss durch den LAG und zurück oder ins WAN.
Außer der Idee mit den getrennten VLANs pro Port fällt mir da auch nichts ein. Mit der Sophos müsste das aber gehen, die kann sowohl VLAN spezifische DHCPs machen als auch das Routing übernehmen. Ich nutze noch SG aber ich vermute mal auch in XG kann man die verschiedenen Netze dann zu Gruppen zusammen fassen so das man nicht ständig Firewall-Regeln anfassen muss wenn ein neues Netz hinzu kommt.
Der Switch muss dann mehrere VLANs über einen Trunk (=HP LAG) an die Sophos durchreichen, auch das habe ich bei mir laufen. Einzig die Menge des Traffics könnte dann ein Problem werden, die Netze teilen sich alle den LAG und alles muss durch den LAG und zurück oder ins WAN.
Hi,
laut der bekannten Suchmaschine kann man dafür die DHCP Option 82 nutzen, wenn das Switch und DHCP-Server gleichermaßen können.
https://techhub.hpe.com/eginfolib/networking/docs/switches/K-KA-KB/15-18 ...
Hab ich selbst aber noch nicht umgesetzt.
Gruß
Drohnald
laut der bekannten Suchmaschine kann man dafür die DHCP Option 82 nutzen, wenn das Switch und DHCP-Server gleichermaßen können.
https://techhub.hpe.com/eginfolib/networking/docs/switches/K-KA-KB/15-18 ...
Hab ich selbst aber noch nicht umgesetzt.
Gruß
Drohnald
Von welcher Art Gerät reden wir?
Wäre es eine Option ein paar USB-Netzwerkadapter zu besorgen und während der Konfiguration an die Geräte anzuschließen? Damit hättest du bekannte MAC-Adressen und könntest dann per DHCP je Adapter immer die gleiche IP zuweisen.
Manuel
Wäre es eine Option ein paar USB-Netzwerkadapter zu besorgen und während der Konfiguration an die Geräte anzuschließen? Damit hättest du bekannte MAC-Adressen und könntest dann per DHCP je Adapter immer die gleiche IP zuweisen.
Manuel
1
Moin,
Ich würde die Leasetime auf 5min setzen und die Range auf eine Adresse beschränken.
Separates Netz vorausgesetzt.
Gruß
Spirit
Ich würde die Leasetime auf 5min setzen und die Range auf eine Adresse beschränken.
Separates Netz vorausgesetzt.
Gruß
Spirit
Hallo zusammen,
danke erst einmal für den Input.
Die Geräte die angeschlossen werden, sind verschiedenster Natur wobei ein USB Adapter leider keine Option ist.
Ich werde den Gedanken mit den VLANs noch etwas weiter verfolgen und an einer Lösung arbeiten.
danke erst einmal für den Input.
Die Geräte die angeschlossen werden, sind verschiedenster Natur wobei ein USB Adapter leider keine Option ist.
Ich werde den Gedanken mit den VLANs noch etwas weiter verfolgen und an einer Lösung arbeiten.
Ja, es ist möglich. Ob mit deiner Sophis-Kiste kann ich nicht sagen, aber mittels DHCP-Snooping im Switch und einem DHCP-Server der die Option 82 auswerten kann, geht es.
Mit einem Linux-DHCP geht es, der DHCP-Server in einem Cisco IOS-Router kann es und ich habe es mit einem Windows DHCP bei uns in der Logistik betrieben.
Der Switch meldet in der Option 82 die Port-ID, wie genau muss man der Anleitung entnehmen oder konfigurieren und im DHCP-Server wertet man es über Richtlinien (unter Windows läuft es so) aus, gibt über die Richtlinie die IP(s) und evtl. abweichende Optionen mit.
So hab ich defekte Drucker benutzertauschbar gemacht.
Mit einem Linux-DHCP geht es, der DHCP-Server in einem Cisco IOS-Router kann es und ich habe es mit einem Windows DHCP bei uns in der Logistik betrieben.
Der Switch meldet in der Option 82 die Port-ID, wie genau muss man der Anleitung entnehmen oder konfigurieren und im DHCP-Server wertet man es über Richtlinien (unter Windows läuft es so) aus, gibt über die Richtlinie die IP(s) und evtl. abweichende Optionen mit.
So hab ich defekte Drucker benutzertauschbar gemacht.
1
Moin. Die Sophos kann das rein theoretisch:
"Sophos Firewall supports all the specified DHCP options (1 to 255). For a complete list of the options, see DHCP options. Sophos Firewall supports the following standards:"
https://doc.sophos.com/nsg/sophos-firewall/19.0/Help/en-us/webhelp/onlin ...
"Sophos Firewall supports all the specified DHCP options (1 to 255). For a complete list of the options, see DHCP options. Sophos Firewall supports the following standards:"
https://doc.sophos.com/nsg/sophos-firewall/19.0/Help/en-us/webhelp/onlin ...
Zitat von @pifpof:
Moin. Die Sophos kann das rein theoretisch:
"Sophos Firewall supports all the specified DHCP options (1 to 255). For a complete list of the options, see DHCP options. Sophos Firewall supports the following standards:"
https://doc.sophos.com/nsg/sophos-firewall/19.0/Help/en-us/webhelp/onlin ...
Moin. Die Sophos kann das rein theoretisch:
"Sophos Firewall supports all the specified DHCP options (1 to 255). For a complete list of the options, see DHCP options. Sophos Firewall supports the following standards:"
https://doc.sophos.com/nsg/sophos-firewall/19.0/Help/en-us/webhelp/onlin ...
Der DHCP-Server muss nicht Option 82 liefern sondern auswerten und entsprechend reagieren. Die Option 82 setzt der DHCP-Snooping-Agent des Switches.
Das können leider die wenigsten Klickibunti-DHCP-Server, da dies eine enorme Komplexität mit sich bringt.
Hallo,
danke nochmal für die Hinweise. Bei der Sophos sehe ich keine Möglichkeit etwas Ähnliches wie die Richtlinien beim Windows DHCP einzurichten. Ich denke ich werde die Geräte auf einen Windows DHCP lenken und dann dort die Richtlinienvergabe testen.
Ich gebe Feedback
danke nochmal für die Hinweise. Bei der Sophos sehe ich keine Möglichkeit etwas Ähnliches wie die Richtlinien beim Windows DHCP einzurichten. Ich denke ich werde die Geräte auf einen Windows DHCP lenken und dann dort die Richtlinienvergabe testen.
Ich gebe Feedback
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt markieren!
How can I mark a post as solved?
How can I mark a post as solved?
