Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VLAN und DHCP

Mitglied: Maik20

Maik20 (Level 1) - Jetzt verbinden

13.09.2017 um 16:52 Uhr, 2560 Aufrufe, 6 Kommentare

Hallo,

ich habe mal eine grundlegende Frage zum Thema VLAN und DHCP. Ich habe hier 3 VLANs:

VLAN2: Internet
VLAN5: Administration
VLAN10:Server
VLAN90: Gastnetz

Sowie einen L3 Switch den SG300 von Cisco.

Für das VLAN2, 5 und 10 ist auf dem Switch eine IP-Adresse konfiguriert. Somit routen der Switch die Netze untereinander. Das VLAN90 verfügt über keine IP, dieses wird auf den Router (tagged) durchgereicht.

Daneben gibt es eine ACL die Zugriff von VLAN5 nach VLAN10 erlaubt, jedoch 10 nicht nach 5 darf.

Im VLAN10 läuft ein DHCP Server auf Basis von Windows 2016. Ich würde gerne über den DHCP-Server auch die Adressvergabe für die VLANs 5 und 90 durchführen. Wenn ich es richtig verstehe lege ich einfach ein entsprechenden Scope pro VLAN an.

Meine Frage bezieht sich auf das VLAN10 und 90 bzgl. dem DHCP Server.

Kann der Server im 90er VLAN überhaupt Adressen vergeben? Da der Switch ja nicht direkt routet?
Gleiche Frage bzgl. VLAN 10. Hier gibt es besagte ACL.

Muss ich also für die Netze eigene DHCP-Server aufsetzen?

Gruß

Maik
Mitglied: Pjordorf
13.09.2017 um 17:16 Uhr
Hallo,

Zitat von Maik20:
Im VLAN10 läuft ein DHCP Server auf Basis von Windows 2016. Ich würde gerne über den DHCP-Server auch die Adressvergabe für die VLANs 5 und 90 durchführen. Wenn ich es richtig verstehe lege ich einfach ein entsprechenden Scope pro VLAN an.
Si und natürlich müssen deine Clients wiisen WO denn dein DHCP werkelt. Ein DHCP helper (DHCP Relay) ist also unausweichlich. Nur bei dein VLAN90 siehst schwarz aus und du solltest Clients aus VLAN10 schon erlauben sich IPs dort abzuholen/erneuern. Ports 67/68 UDP helfen da.
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol
http://www.techieshelp.com/cisco-switches-setup-dhcp-relay/

Muss ich also für die Netze eigene DHCP-Server aufsetzen?
Muss? Nein, können ja

Gruß,
Peter
Bitte warten ..
Mitglied: chgorges
13.09.2017, aktualisiert um 20:53 Uhr
Zitat von Maik20:
Das VLAN90 verfügt über keine IP, dieses wird auf den Router (tagged) durchgereicht.
Kann der Server im 90er VLAN überhaupt Adressen vergeben? Da der Switch ja nicht direkt routet?

Dann hast du einen groben Designfehler begangen.
Wenn man einen Layer3-Switch hat und plant, Inter-VLAN-Routing einzusetzen, nimmt man niemals zu keiner Zeit einen zusätzlichen Router fürs Routing, sondern überlässt das dem Layer3-Switch.

Aus einem einfachen Grund: Du musst in jedem DHCP-Scope einen Router/Gateway mit IP-Adresse angeben, welche hinterher das Gateway für die jeweiligen Clients in den VLANs ist.
Also gibst du die jeweiligen VLAN-IPs des SG300 an.
Aber halt, der SG300 routet ja gar nicht, also können die VLAN-IPs nicht als Scope-Gateways angegeben werden.

-> Designcrash
Bitte warten ..
Mitglied: Maik20
13.09.2017 um 21:09 Uhr
Dann hast du einen groben Designfehler begangen.
Wenn man einen Layer3-Switch hat und plant, Inter-VLAN-Routing einzusetzen, nimmt man niemals zu keiner Zeit einen zusätzlichen Router fürs Routing, sondern überlässt das dem Layer3-Switch.

Der o.g. Router ist die PA220 und dient als Firewall und stellt die Verbindung mit dem Modem her. Mir ist nicht bekannt, dass der SG300 in der Lage direkt ein Modem zu bedienen. Daneben bietet die Firewall eine ganz andere Stufe als der Cisco Switch. Somit reiche ich das Gastnetz und die DMZ zur PA220 durch. Die "internen" Netze werden direkt über den Switch geroutet. Warum da ein Flaschenhals aufbauen? Aber ich lasse mich hier gerne von einer anderen Lösung überzeugen.


Aus einem einfachen Grund: Du musst in jedem DHCP-Scope einen Router/Gateway mit IP-Adresse angeben, welche hinterher das Gateway für die jeweiligen Clients in den VLANs ist.
Also gibst du die jeweiligen VLAN-IPs des SG300 an.
Aber halt, der SG300 routet ja gar nicht, also können die VLAN-IPs nicht als Scope-Gateways angegeben werden.

-> Designcrash

Das sehe ich anders. Der Switch routet die internen Netze. Für diese müsste also definitiv eine Adressvergabe über den DHCP-Server funktionieren. DHCP-Relay auf dem Switch vorausgesetzt. Beim Gastnetz bin ich mir eben nicht sicher ob das so funktioniert. Vermutlich nicht über den L3-Switch sondern wenn dann mittels DHCP-Relay über die PA220.

Die entscheidende Frage ist für mich aber ob eine Zugriffsbeschränkung zwischen den VLANs mittels ACL auch die DHCP Adressvergabe betrifft. Oder ob die DHCP-Adressvergabe die ACL sozusagen überspringt? Oder ob ich ggf. auf dem SG300 Einstellungen vornehmen muss, damit die DHCP-Adressvergabe nicht durch die ACL behindert wird.
Bitte warten ..
Mitglied: chgorges
13.09.2017 um 21:19 Uhr
Zitat von Maik20:
Die "internen" Netze werden direkt über den Switch geroutet. Warum da ein Flaschenhals aufbauen? Aber ich lasse mich hier gerne von einer > anderen Lösung überzeugen.

Das sehe ich anders. Der Switch routet die internen Netze.

Das ist letztendlich das, was ich meine, was für mich aus deiner Eingangsdefinition aber nicht herauslesbar war
Bitte warten ..
Mitglied: maretz
14.09.2017 um 07:02 Uhr
Ich finde es immer wieder schön wenn Personen meinen "ein Konzept passt immer für alles" - und dann gleich sagen das macht man "niemals, zu keiner Zeit". Einmal irgendwo "Best Practices" gelesen und immer schön wiederholen - leider die Einleitung dazu übersprungen in der üblicherweise steht das diese passen können, aber nicht müssen und man das auf die jeweiligen Anforderungen abstimmen muss.

Hier ist das z.B. grad Standard das beides gemacht wird - da es interne Netze gibt die aufgrund von Entertainment-Systemen auch grosse Datenmengen übertragen (TV-Streams, Video on Demand,...). Das möchtest du dann nämlich nicht erst durch den Router schaufeln müssen - der bräuchte dann gleich eine ganze Reihe von Interfaces mehr (was dann auch entsprechend kostet). Und auch die Leistung müsste direkt einige Klassen höher gehen - was auch wieder den Preis hochzieht.

Andersrum gibt es aber auch mehrere Gateways nach aussen (SAT, Mobilnetz, Richtfunkstrecke). Ich denke da könnte es für den Switch (auch L3) ein Problem werden vernünftige Routing-Regeln zu bauen inkl. automatisches Umschalten...

Und schon hast du deinen "groben Designfehler" als ganz normale Umgebung...
Bitte warten ..
Mitglied: aqui
14.09.2017 um 11:32 Uhr
Ich würde gerne über den DHCP-Server auch die Adressvergabe für die VLANs 5 und 90 durchführen
Das ist problemlos möglich.
lege ich einfach ein entsprechenden Scope pro VLAN an.
Das wäre der erste Schritt
Kann der Server im 90er VLAN überhaupt Adressen vergeben?
Generell gesehen kann der Server in allen VLANs DHCP IP Adressen vergeben.
DHCP basiert auf UDP Broadcast. Also Client macht einen All Net UDP Broadcast an die IP 255.255.255.255 und fragt nach einem DHCP Server in dem Netz. Der antwortet und vergibt die IP.
Normal sind diese Broadcasts immer lokal auf das jeweilige Netz bezogen. Router forwarden per se generell keinerlei Broadcasts. Deshalb muss man das also etwas cistomizen, das der DHCP Server auch diese DHCP Broadcasts erhält.
Das erledigt ein sog. DHCP Relay oder DHCP Helper Adresse
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#DHCP_R ...
auf dem Router. Der erkennt diese DHCP Broadcasts im jeweiligen Segment, ersetzt die Absender IP mit der eigenen aus dem Segment und forwardet das an die ihm konfigurierte DHCP Server Adresse.
So erreichen den Server diese Requests und er kann dann mit dem richtigen Scope antworten.
Was du jetzt also machen musst ist den DHCP Helper an den IP VLAN Segmenten zu aktivieren wo DHCP Broadcasts geforwardet werden müssen also die VLANs 5 und ggf. 2 sofern in 2 DHCP Endgeräte sind. Sonst nur 5.
VLAN 10 kann logischerweise entfallen, da ist der Server ja selber drin.
Eine Besonderheit ist das VLAN 90 das Gastnetz, da du hier ja richtigerweise keine IP am Switch hast und das Routing der Gäste am Router direkt passiert.
Hier musst du also für das VLAN 90 den DHCP Helper am Router definieren, das der diese 90er Requests an den Server forwardet. Ein simple Frage der Konfiguration !
Was die ACLs anbetrifft musst du natürlich dafür sorgen das die ACL so eingestellt ist das UDP Pakete mit Ziel Port 67 die ACL passieren dürfen. Logisch, denn sonst würden die DHCP Requests der Clients gar nicht ankommen.
Im Grunde ein einfaches Unterfangen und klassicsch wenn man einen zentralen DHCP Server betreibt.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Cisco SRW2024, VLAN, DHCP
Frage von RuckolaRouter & Routing9 Kommentare

Hi, vorneweg, ich bin leider kein Cisco-Freak, Experte oder was auch immer, sondern mehr Anwender im Sinne von einstecken ...

Netzwerkgrundlagen
Windows DHCP Server und VLAN
gelöst Frage von KnettenbrechNetzwerkgrundlagen16 Kommentare

Hallöle! :) Da mir hier bei meinem Einstieg in die VLAN Welt super geholfen wurde, möchte ich mich wieder ...

Netzwerkmanagement
Cisco SG300 DHCP an VLAN
gelöst Frage von Maik82Netzwerkmanagement17 Kommentare

Guten Tag, Ich bin ganz neu in der Cisco Wellt. Ich habe mir einen CISCO SG300 /28 Zugelegt um ...

Hyper-V
VLAN, DHCP und Hyper-V
gelöst Frage von KodaCHHyper-V7 Kommentare

Guten Abend Ich baue mir gerade eine kleine Übungsumgebung auf Windows Server 2019 in der Evaluierungsversion. Dabei habe ich ...

Neue Wissensbeiträge
Microsoft
The Premier Field Engineering Blog is MOVING!
Information von Dani vor 1 StundeMicrosoft

Hello to all of our AWESOME readers that have helped us build the Premier Field Engineering TechCommunity blog up ...

Sicherheit
Alexa un Co. TU-Darmstadt entwickelt Anti-Spy Tool
Information von the-buccaneer vor 21 StundenSicherheit3 Kommentare

Moinsen! HR-Info hatte heute ein Feature in dem das "LeakyPick" der TH-Darmstadt vorgestellt wurde. Das Tool existiert bisher nur ...

Linux Tools
Rsync datenvolumen reduzieren mit -fuzzy
Anleitung von NetzwerkDude vor 3 TagenLinux Tools

Moin, aus der Kategorie "Häufig übersehene Parameter": Meistens benutzt kaum jemand den fuzzy Parameter von rsync, und er taucht ...

Sicherheit

Citrix ADC, Gateway u. SD-Wan: Schwachstellen patchen

Information von kgborn vor 5 TagenSicherheit

Keine Ahnung, wie viele Admins von Citrix-Applicances hier unterwegs sind und ob die Versorgung mit Advisories klappt. Aber im ...

Heiß diskutierte Inhalte
Windows Server
Anmelden via RDP bringt "Passwort fehlerhaft" - lokale Anmeldung möglich
Frage von it-froschWindows Server21 Kommentare

Hallo Kollegen, Windows Server 2012 Wir haben einen Server, an dem wir uns mit einem lokalen Account anmelden. Die ...

Festplatten, SSD, Raid
Backup einer an die FRITZBox angeschlossenen Festplatte
Frage von DJ-KeyFestplatten, SSD, Raid19 Kommentare

Habe eine Frstplatte, die mehrere Partitionen beherbergt. Die Festplatte die an der FRITZ!Box als NAS dient ist schon älter ...

Exchange Server
Exchange CAL Lizenzen?
gelöst Frage von KleinProfiExchange Server16 Kommentare

Hallo Jungs, wir sind in der Firma 10 Mann, haben aber auf dem Exchange 15 Postfächer bzw. 15 User ...

Mac OS X
Komische Namen und Dateiendungen
gelöst Frage von Michael71Mac OS X14 Kommentare

Moin zusammen, wir haben in unserer Firma nur Mac Rechner und Speichern unsere Daten in einer Senology Nas worauf ...