DHCP Snooping und DHCP Relay Verständnisfrage
Guten Abend zusammen,
ich hätte da einmal eine klitzekleine Verständnisfrage zu DHCP Snooping / DHCP Relay. Ich habe in unserem Netzwerk DHCP Snooping aktiviert, um den Bösewichten, die einfach Router einstecken um diese zu konfigurieren oder sonst etwas das Handwerk zu legen.
Wir haben einen Rack Switch, an diesem hängen unsere Server. Einen weiteren Core auf dem wir alles routen und "verbinden" und halt die Access Switche auf dem Firmengelände.
Ich habe auf dem Server Switch den Port auf trusted gestellt, an welchem unser DHCP Server hängt. Des Weiteren habe ich die Trunks zu dem Access Switchen auf trusted gestellt. Die Ports der Switche sind alle auf untrusted. Diese Konfiguration funktioniert und scheint mir auch so zunächst korrekt zu sein. (DHCP Snooping habe ich in den betroffenen VLANS aktiviert)
Soweit so gut. Schalte ich nun auf dem Server Switch den Uplink auf untrusted, so bekommen meine Clients keine IP mehr vom DHCP. Soweit verständlich. Gibt es eine Möglichkeit auf dem Lan Access Switches nur einige Ports zu aktivieren bzw. für DHCP freizuschalten? Im Grunde sollen in unserem Netzwerk bis auf bestimmte Personen keine IP vom DHCP bekommen, sondern die IP ist fest eingestellt. Heißt, ich möchte euf einem Client Access Switch z.B nur 5 Ports erlauben eine IP über DHCP zu beziehen. Wie lösen ich das am besten? Über ein extra VLAN ?
Danke für eure Antworten
ich hätte da einmal eine klitzekleine Verständnisfrage zu DHCP Snooping / DHCP Relay. Ich habe in unserem Netzwerk DHCP Snooping aktiviert, um den Bösewichten, die einfach Router einstecken um diese zu konfigurieren oder sonst etwas das Handwerk zu legen.
Wir haben einen Rack Switch, an diesem hängen unsere Server. Einen weiteren Core auf dem wir alles routen und "verbinden" und halt die Access Switche auf dem Firmengelände.
Ich habe auf dem Server Switch den Port auf trusted gestellt, an welchem unser DHCP Server hängt. Des Weiteren habe ich die Trunks zu dem Access Switchen auf trusted gestellt. Die Ports der Switche sind alle auf untrusted. Diese Konfiguration funktioniert und scheint mir auch so zunächst korrekt zu sein. (DHCP Snooping habe ich in den betroffenen VLANS aktiviert)
Soweit so gut. Schalte ich nun auf dem Server Switch den Uplink auf untrusted, so bekommen meine Clients keine IP mehr vom DHCP. Soweit verständlich. Gibt es eine Möglichkeit auf dem Lan Access Switches nur einige Ports zu aktivieren bzw. für DHCP freizuschalten? Im Grunde sollen in unserem Netzwerk bis auf bestimmte Personen keine IP vom DHCP bekommen, sondern die IP ist fest eingestellt. Heißt, ich möchte euf einem Client Access Switch z.B nur 5 Ports erlauben eine IP über DHCP zu beziehen. Wie lösen ich das am besten? Über ein extra VLAN ?
Danke für eure Antworten
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 245218
Url: https://administrator.de/forum/dhcp-snooping-und-dhcp-relay-verstaendnisfrage-245218.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
3 Kommentare
Neuester Kommentar
Hallo ,
Beides loest Du in der dhcpd.conf ,bei Windows entsprechend in der Konfigurationsdatei.
Kannst Du feste Adressen auf mac-adresse bezogen vergeben und machst fuer den rest ne ip-range die Dir passt.
Fertig ist der Lack.
Gruss
Im Grunde sollen in unserem Netzwerk bis auf bestimmte Personen keine IP vom DHCP bekommen, sondern die IP ist fest
eingestellt.
eingestellt.
Beides loest Du in der dhcpd.conf ,bei Windows entsprechend in der Konfigurationsdatei.
Kannst Du feste Adressen auf mac-adresse bezogen vergeben und machst fuer den rest ne ip-range die Dir passt.
Fertig ist der Lack.
Gruss
hallo,
das kannst Du doch super auf dem DHCP-Server loesen.
Global deny nein !
Sondern entsprechend Ranges einrichten !
Die Wlanfutzis sollen ja nicht auf das interne Netzwerk der Firma zugreifen ?
da nutzt Du dann ein shared Netzwerk mit nen IP Bereich der sich mit den anderen nicht ueberschneidet.
Gruss
das kannst Du doch super auf dem DHCP-Server loesen.
Global deny nein !
Sondern entsprechend Ranges einrichten !
Die Wlanfutzis sollen ja nicht auf das interne Netzwerk der Firma zugreifen ?
da nutzt Du dann ein shared Netzwerk mit nen IP Bereich der sich mit den anderen nicht ueberschneidet.
Gruss