marco-83
Goto Top

DHCP Snooping und DHCP Relay Verständnisfrage

Guten Abend zusammen,

ich hätte da einmal eine klitzekleine Verständnisfrage zu DHCP Snooping / DHCP Relay. Ich habe in unserem Netzwerk DHCP Snooping aktiviert, um den Bösewichten, die einfach Router einstecken um diese zu konfigurieren oder sonst etwas das Handwerk zu legen.

Wir haben einen Rack Switch, an diesem hängen unsere Server. Einen weiteren Core auf dem wir alles routen und "verbinden" und halt die Access Switche auf dem Firmengelände.

Ich habe auf dem Server Switch den Port auf trusted gestellt, an welchem unser DHCP Server hängt. Des Weiteren habe ich die Trunks zu dem Access Switchen auf trusted gestellt. Die Ports der Switche sind alle auf untrusted. Diese Konfiguration funktioniert und scheint mir auch so zunächst korrekt zu sein. (DHCP Snooping habe ich in den betroffenen VLANS aktiviert)


Soweit so gut. Schalte ich nun auf dem Server Switch den Uplink auf untrusted, so bekommen meine Clients keine IP mehr vom DHCP. Soweit verständlich. Gibt es eine Möglichkeit auf dem Lan Access Switches nur einige Ports zu aktivieren bzw. für DHCP freizuschalten? Im Grunde sollen in unserem Netzwerk bis auf bestimmte Personen keine IP vom DHCP bekommen, sondern die IP ist fest eingestellt. Heißt, ich möchte euf einem Client Access Switch z.B nur 5 Ports erlauben eine IP über DHCP zu beziehen. Wie lösen ich das am besten? Über ein extra VLAN ?

Danke für eure Antworten

Content-ID: 245218

Url: https://administrator.de/forum/dhcp-snooping-und-dhcp-relay-verstaendnisfrage-245218.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

Alchimedes
Alchimedes 31.07.2014 um 20:19:18 Uhr
Goto Top
Hallo ,

Im Grunde sollen in unserem Netzwerk bis auf bestimmte Personen keine IP vom DHCP bekommen, sondern die IP ist fest
eingestellt.

Beides loest Du in der dhcpd.conf ,bei Windows entsprechend in der Konfigurationsdatei.
Kannst Du feste Adressen auf mac-adresse bezogen vergeben und machst fuer den rest ne ip-range die Dir passt.
Fertig ist der Lack.

Gruss
Marco-83
Marco-83 31.07.2014 um 21:37:28 Uhr
Goto Top
Naaabend,

Stimmt. Da hast du Recht. Ich hatte das auch einst so gelöst. Allerdings gibt es da ein kleines Problem. Der Dhcp Server (2008 R2) Server verwaltet mehrere Bereiche. Unter anderem für das WLAN. Wenn ich da nun einen global deny einbringe und nur div. Clients per Mac erlaube, zieht das über alle Bereiche. Aber im WLAN soll ja jeder beliebige User eine ip bekommen.
Alchimedes
Alchimedes 01.08.2014 um 15:30:23 Uhr
Goto Top
hallo,

das kannst Du doch super auf dem DHCP-Server loesen.
Global deny nein !
Sondern entsprechend Ranges einrichten !

Die Wlanfutzis sollen ja nicht auf das interne Netzwerk der Firma zugreifen ?
da nutzt Du dann ein shared Netzwerk mit nen IP Bereich der sich mit den anderen nicht ueberschneidet.

Gruss