11
DHCP Server bekannten und unbekannten MAC Adressen unterschiedliche Subnetze im selben physikalischen Netz zuweisen
In einem physikalischen Netz sollen bekannte MAC Adressen dynamisch IPs aus Subnetz A und unbekannte MAC Adressen dynamisch aus Subnetz B erhalten.
Hallo zusammen,
ich möchte gerne innerhalb eines physikalischen Netzes (VLAN nicht möglich) bekannte und unbekannte (meist Gäste oder private Devices) Geräte trennen.
Bisher wird in der SBS03 Umgebung der MS DHCP verwendet.
Innerhalb einer Bereichsgruppierung wurden dazu zwei Bereiche angelegt (beispielhaft):
Bereich A 192.168.1.0/24
Bereich B 192.168.2.0/24
Bereich A ist aktiviert und hat alle Adressen des Bereiches von der Verteilung ausgeschlossen. In den Reservierungen wurden alle Firmenclients eingetragen.
Das funktioniert ganz gut, alle eingetragenen MAC Adressen erhalten die fest eingetragene IP aus Bereich A, unbekannte MAC Adressen erhalten eine dynamische Adresse aus Bereich B.
Das Problem ist nun, dass die IP Adressen in Bereich A knapp werden, was aber kein Problem wäre, wenn sie automatisch vergeben würden, da höchsten ein Drittel der Clients gleichzeitig online ist.
MIt dem MS DHCP ist das nicht zu lösen, darum meine Frage an euch: Habt ihr Ideen oder wisst ihr von einem DHCP Server, der das handeln kann?
Bisher stieß ich zwar auf Möglichkeiten MAC Adressen zu filtern, dort ging es aber immer nur darum unbekannte MAC Adressen von der IP Vergabe auszuschließen.
Die Zuweisung zu unterschiedlichen Subnetzen anhand der Fragestellung bekannt/ unbekannt konnte ich bisher nirgends als Feature entdecken.
Danke für eure Ideen...
Hallo zusammen,
ich möchte gerne innerhalb eines physikalischen Netzes (VLAN nicht möglich) bekannte und unbekannte (meist Gäste oder private Devices) Geräte trennen.
Bisher wird in der SBS03 Umgebung der MS DHCP verwendet.
Innerhalb einer Bereichsgruppierung wurden dazu zwei Bereiche angelegt (beispielhaft):
Bereich A 192.168.1.0/24
Bereich B 192.168.2.0/24
Bereich A ist aktiviert und hat alle Adressen des Bereiches von der Verteilung ausgeschlossen. In den Reservierungen wurden alle Firmenclients eingetragen.
Das funktioniert ganz gut, alle eingetragenen MAC Adressen erhalten die fest eingetragene IP aus Bereich A, unbekannte MAC Adressen erhalten eine dynamische Adresse aus Bereich B.
Das Problem ist nun, dass die IP Adressen in Bereich A knapp werden, was aber kein Problem wäre, wenn sie automatisch vergeben würden, da höchsten ein Drittel der Clients gleichzeitig online ist.
MIt dem MS DHCP ist das nicht zu lösen, darum meine Frage an euch: Habt ihr Ideen oder wisst ihr von einem DHCP Server, der das handeln kann?
Bisher stieß ich zwar auf Möglichkeiten MAC Adressen zu filtern, dort ging es aber immer nur darum unbekannte MAC Adressen von der IP Vergabe auszuschließen.
Die Zuweisung zu unterschiedlichen Subnetzen anhand der Fragestellung bekannt/ unbekannt konnte ich bisher nirgends als Feature entdecken.
Danke für eure Ideen...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 169073
Url: https://administrator.de/contentid/169073
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
11 Kommentare
Neuester Kommentar
Hi,
die Idee ist doch erst mal nicht schlecht und lässt sich auch mit dem MS DHCP realisieren.
Stichwort: Relay Agent. Der muss auf einem anderen Switch/Router/Server als der DHCP Server selbst installiert sein.
Das Problem ist nämlich, dass dein Server sicher nur eine Netzwerkkarte im .1.er Netz hat und daher nicht ins .2.er Netz schieben kann, weil er keine Antwort mehr bekommen würde vom Client.
VG
die Idee ist doch erst mal nicht schlecht und lässt sich auch mit dem MS DHCP realisieren.
Stichwort: Relay Agent. Der muss auf einem anderen Switch/Router/Server als der DHCP Server selbst installiert sein.
Das Problem ist nämlich, dass dein Server sicher nur eine Netzwerkkarte im .1.er Netz hat und daher nicht ins .2.er Netz schieben kann, weil er keine Antwort mehr bekommen würde vom Client.
VG
Bedenke aber immer das das ein im TCP/IP nicht spezifiziertes "Basteldesignn" ist ! Auch wenn es vielleicht mit etwas "Verbiegen" mehr schlecht als Recht funktioniert ist es funktional nicht supportet mit 2 IP Netzen "auf einem Draht" zu operieren ! DHCP basiert auf Broadcast Technologien die einen Lösung so oder so unmöglich machen ohne VLANs.
Allein die Probleme die du mit dem ICMP Protokoll dann hast verbieten solche "Bastel" Designs in Produktivumgebungen !
Allein die Probleme die du mit dem ICMP Protokoll dann hast verbieten solche "Bastel" Designs in Produktivumgebungen !
Zitat von @aqui:
Bedenke aber immer das das ein im TCP/IP nicht spezifiziertes "Basteldesignn" ist ! Auch wenn es vielleicht mit etwas
"Verbiegen" mehr schlecht als Recht funktioniert ist es funktional nicht supportet mit 2 IP Netzen "auf einem
Draht" zu operieren ! DHCP basiert auf Broadcast Technologien die einen Lösung so oder so unmöglich machen ohne
VLANs.
Allein die Probleme die du mit dem ICMP Protokoll dann hast verbieten solche "Bastel" Designs in Produktivumgebungen !
Bedenke aber immer das das ein im TCP/IP nicht spezifiziertes "Basteldesignn" ist ! Auch wenn es vielleicht mit etwas
"Verbiegen" mehr schlecht als Recht funktioniert ist es funktional nicht supportet mit 2 IP Netzen "auf einem
Draht" zu operieren ! DHCP basiert auf Broadcast Technologien die einen Lösung so oder so unmöglich machen ohne
VLANs.
Allein die Probleme die du mit dem ICMP Protokoll dann hast verbieten solche "Bastel" Designs in Produktivumgebungen !
Das stimmt natürlich
Murxig ohne VLANs - so viel hab ich von aqui hier inzwischen auch gelernt - ach und bei mir gehts inzwischen mit nem Relayagent aut der Astaro problemlos
VG
Ein gravierender Nachteil ist aber z.B. das es niemals eine direkte Kommunikation dieser Clients gibt. Sie müssen immer über ein und denselben Draht geroutet werden, das den Traffic verdoppelt. Eben genau weil es u.a. kein ICMP Redirect gibt. Von anderen "Sideeffects" mal ganz zu schweigen.
Temporär in IP Adress Migrationsszenarien sicher OK, als Produktivnetzwerk ein klares NO GO !
Temporär in IP Adress Migrationsszenarien sicher OK, als Produktivnetzwerk ein klares NO GO !
Der Server ist virtualisiert, ihm eine zweite NIC zu geben wäre kein Thema. Zum Thema "DHCP verbiegen" sag ich nur: die Wünsche eines Admin müssen immer am Budgetkönig vorbei... ;)
Relay Agent hatte ich ganz vergessen, das muss ich wohl mal wieder anlernen. War iwo im RAS versteckt, wenn ich mich nicht irre.
Okay, dann stell ich noch eine andere Frage, eure Argumente seh ich ja ein, trotzdem muss ich mit dieser Umgebung klarkommen. Seht ihr eine Möglichkeit bekannte und unbekannte Clients anders als ich abzugrenzen, wenn ihr keine Kontrolle darüber habt wo sich die Clients physkalisch einstöpseln? - Es sind leider keine Schlösser für die Dosen vorhanden (
, nur zu schnell wird ein Client herausgezogen, der ausgeschalten ist und schnell ist ein Fremdclient angestöpselt.
Je nach Switch könntest du einen Macfilter einbauen und nur Firmenclients zulassen. Alles andere kann sich zwar anstöpseln, wird aber nie das "Licht der Welt erblicken"
Außerdem: Dienstanweisung an alle Mitarbeiter, dass keine fremden Geräte mitgebracht bzw. ins Firmennetz gehangen werden dürfen.
Wenn doch: Abmahnung.
VG
Außerdem: Dienstanweisung an alle Mitarbeiter, dass keine fremden Geräte mitgebracht bzw. ins Firmennetz gehangen werden dürfen.
Wenn doch: Abmahnung.
VG
Hmm, ich habe mir den DHCP vom WinSrv08 mal angesehen. HIer habe ich ja dank der Filter direkt nativ im DHCP die Möglichkeit nach MACs zu filtern. Leider nicht pro Scope, aber immerhin.
Daher die natürlich vollkommen verbotene Frage:
Erlaubt mir das zwei DHCP Server in einem Netz zu betreiben? Voraussetzung wäre natürlich, dass jeder Client in beiden Servern mit MAC Adresse eingetragen ist, je einmal auf Deny und Allow. In der Theorie dürfte der jeweilige Server dann ja nur noch den erlaubten MAC Adressen antworten, oder?
Daher die natürlich vollkommen verbotene Frage:
Erlaubt mir das zwei DHCP Server in einem Netz zu betreiben? Voraussetzung wäre natürlich, dass jeder Client in beiden Servern mit MAC Adresse eingetragen ist, je einmal auf Deny und Allow. In der Theorie dürfte der jeweilige Server dann ja nur noch den erlaubten MAC Adressen antworten, oder?
Hi,
also versteh ich echt nicht
Skope 1:
Alle Firmenrechner mit Reservierungen.
DHCP Bereich von x.x.x.1 - x.x.x.1 (wenn es geht - spielt auch keine Rolle, jedenfalls so klein wie möglich und am besten überschnitten mit den Reservierungen der Firmenrechner.
Skope 2:
Alle anderen.
DHCP Bereich nach Belieben...
Voraussetzung:
Relay - Agent
Zwei DHCP in einem Netz - pfui!
Ansonsten wie oben: Dienstanweisung! bzw. alle externen müssen angemeldet werden.
VG
also versteh ich echt nicht
Skope 1:
Alle Firmenrechner mit Reservierungen.
DHCP Bereich von x.x.x.1 - x.x.x.1 (wenn es geht - spielt auch keine Rolle, jedenfalls so klein wie möglich und am besten überschnitten mit den Reservierungen der Firmenrechner.
Skope 2:
Alle anderen.
DHCP Bereich nach Belieben...
Voraussetzung:
Relay - Agent
Zwei DHCP in einem Netz - pfui!
Ansonsten wie oben: Dienstanweisung! bzw. alle externen müssen angemeldet werden.
VG
Naja, entweder steh ich völlig auf dem Schlauch, oder der Relay Agent löst mein Problem nicht.
Du schreibst ja selbst "Reservierungen"... ich brauche aber abgesehen von den Servern eine dynamische Zuweisung und zwar sowohl für fremde als auch für Firmenrechner.
Das Problem dabei ist, dass ich beide gerne trennen würde. Und da es nicht physikalisch klappt muss ich wohl in die Trickkiste langen.
Aber ich seh schon, bevor ich mich in irgenwas verenne lasse ich lieber fremde und eigene Clients im gleichen Netz und setze an anderer Stelle an.
Du schreibst ja selbst "Reservierungen"... ich brauche aber abgesehen von den Servern eine dynamische Zuweisung und zwar sowohl für fremde als auch für Firmenrechner.
Das Problem dabei ist, dass ich beide gerne trennen würde. Und da es nicht physikalisch klappt muss ich wohl in die Trickkiste langen.
Aber ich seh schon, bevor ich mich in irgenwas verenne lasse ich lieber fremde und eigene Clients im gleichen Netz und setze an anderer Stelle an.
Stimmt, du brauchst VLANs ...
Mhh dennoch noch mal und zum Dritten: Was ist Sinn und Zweck? Eine Betriebsanordnung löst das Problem auf einfache, effektive Weise.
Wenn nun doch Rechner angeschlossen werden siehst du das im DHCP - wobei du auch zumindest die dynamische Verteilung einschränken kannst und die sich dann schon eine IP selbst geben müssen, was schon mal 90% ausscheiden lässt.
VG
Mhh dennoch noch mal und zum Dritten: Was ist Sinn und Zweck? Eine Betriebsanordnung löst das Problem auf einfache, effektive Weise.
Wenn nun doch Rechner angeschlossen werden siehst du das im DHCP - wobei du auch zumindest die dynamische Verteilung einschränken kannst und die sich dann schon eine IP selbst geben müssen, was schon mal 90% ausscheiden lässt.
VG
Als Feedback:
Das Ganze wurde nun mit Hilfe eines alten Switches, eines VLAN-fähigen Router und speziellen 'Gastdosen' gelöst.
Das Ganze wurde nun mit Hilfe eines alten Switches, eines VLAN-fähigen Router und speziellen 'Gastdosen' gelöst.
