10
VLAN Routing Problem
Hallo zusammen,
ich habae folgendes Problem bei der EInrichtung von VLAN's.
Ich habe einen Layer-3-Switch von HP (HP 2920-48G) und habe auf diesem bereits die VLAN's eingerichtet.
Bsp.: VLAN 99
ip address 10.180.99.254
ip helper-address 10.180.191.5
untagged 1
IP's sollen durch einen DHCP-Server an die VLAN's übergeben werden-
Nun wollte ich das ganze Testen.
Bsp.: VLAN 99 - IP: 10.180.99.254 SM: 255.255.255.0
VLAN 01 - IP: 10.180.191.7 SM: 255.255.255.0
Im VLAN 01 (PVID) befindet sich aktuell der DHCP Server.
Im VLAN 99 hängt ein Rechner (ein Port als untagged). Dieser bekommt jedoch keine IP-Adresse.
Der DHCP Discover und DHCO Offer funktionieren mehr oder weniger.
Das Problem ist, dass der DHCP Server die Anfrage direkt aus dem VLAN Bereich bekommt und nicht vom Switch.
Bsp: DHCP Discover Source Address: 10.180.99.254 (IP des VLAN 99) an Destination Adress: 10.180.191.5 (IP-Adrese des DHCP-Servers)
DHCP Offer Source Address: 10.180.191.5 an Destination Adress: 10.180.99.254
Nur kann der DHCP-Server das VLAN ja nicht kennen. Anstelle der IP vom VLAN müsste doch die IP des Switches (10.180.191.7) auftauschen oder nicht?
Was muss ich konfigurieren damit dies funktioniert? oder muss ich zwingend einen Layer-2-Switch an der Layer-3-Switch anschließen?
Auszug aus der Config:
Running configuration:
; J9728A Configuration Editor; Created on release #WB.15.12.0010
; Ver #04:01.ff.35.0d:c2
hostname "HP-2920-48G"
module 1 type j9728a
snmp-server community "public" unrestricted
oobm
ip address dhcp-bootp
exit
vlan 1
name "DEFAULT_VLAN"
no untagged 1
untagged 2-48,A1-A2,B1-B2
ip address 10.180.191.7 255.255.255.0
exit
vlan 10
ip address 10.180.10.254 255.255.255.0
exit
vlan 50
ip address 10.180.50.254 255.255.255.0
exit
vlan 99
untagged 1
ip address 10.180.99.254 255.255.255.0
ip helper-address 10.180.191.5
exit
vlan 100
ip address 10.180.100.254 255.255.255.0
exit
vlan 191
no ip address
exit
vlan 1012
no ip address
exit
vlan 1112
no ip address
exit
no tftp server
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
Besten Dank
ich habae folgendes Problem bei der EInrichtung von VLAN's.
Ich habe einen Layer-3-Switch von HP (HP 2920-48G) und habe auf diesem bereits die VLAN's eingerichtet.
Bsp.: VLAN 99
ip address 10.180.99.254
ip helper-address 10.180.191.5
untagged 1
IP's sollen durch einen DHCP-Server an die VLAN's übergeben werden-
Nun wollte ich das ganze Testen.
Bsp.: VLAN 99 - IP: 10.180.99.254 SM: 255.255.255.0
VLAN 01 - IP: 10.180.191.7 SM: 255.255.255.0
Im VLAN 01 (PVID) befindet sich aktuell der DHCP Server.
Im VLAN 99 hängt ein Rechner (ein Port als untagged). Dieser bekommt jedoch keine IP-Adresse.
Der DHCP Discover und DHCO Offer funktionieren mehr oder weniger.
Das Problem ist, dass der DHCP Server die Anfrage direkt aus dem VLAN Bereich bekommt und nicht vom Switch.
Bsp: DHCP Discover Source Address: 10.180.99.254 (IP des VLAN 99) an Destination Adress: 10.180.191.5 (IP-Adrese des DHCP-Servers)
DHCP Offer Source Address: 10.180.191.5 an Destination Adress: 10.180.99.254
Nur kann der DHCP-Server das VLAN ja nicht kennen. Anstelle der IP vom VLAN müsste doch die IP des Switches (10.180.191.7) auftauschen oder nicht?
Was muss ich konfigurieren damit dies funktioniert? oder muss ich zwingend einen Layer-2-Switch an der Layer-3-Switch anschließen?
Auszug aus der Config:
Running configuration:
; J9728A Configuration Editor; Created on release #WB.15.12.0010
; Ver #04:01.ff.35.0d:c2
hostname "HP-2920-48G"
module 1 type j9728a
snmp-server community "public" unrestricted
oobm
ip address dhcp-bootp
exit
vlan 1
name "DEFAULT_VLAN"
no untagged 1
untagged 2-48,A1-A2,B1-B2
ip address 10.180.191.7 255.255.255.0
exit
vlan 10
ip address 10.180.10.254 255.255.255.0
exit
vlan 50
ip address 10.180.50.254 255.255.255.0
exit
vlan 99
untagged 1
ip address 10.180.99.254 255.255.255.0
ip helper-address 10.180.191.5
exit
vlan 100
ip address 10.180.100.254 255.255.255.0
exit
vlan 191
no ip address
exit
vlan 1012
no ip address
exit
vlan 1112
no ip address
exit
no tftp server
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
Besten Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 220630
Url: https://administrator.de/contentid/220630
Printed on: April 18, 2024 at 17:04 o'clock
10 Comments
Latest comment
Grundsätzlich sieht dein Konfig richtig aus und die Vorgehensweise ist auch OK.
Es gibt allerdings 2 Ungereimtheiten:
1.) "Der DHCP Discover und DHCO Offer funktionieren mehr oder weniger."
Was meinst du genau damit ?? Als ITler weisst du ja das es solche Aussagen wie "mehr oder weniger" nicht gibt. Was also bitte ist "mehr oder weniger" ??
2.) "...der DHCP Server die Anfrage direkt aus dem VLAN Bereich bekommt und nicht vom Switch."
Das ist ein klares Indiz dafür das grundsätzlich etwas in der Switch Konfig generell nicht stimmt ! Der Konfig Auszug oben zeigt das aber nicht, dort sieht soweit alles korrekt aus.
Niemals darf der DHCP Server in VLAN 1 UDP Broadcasts aus dem VLAN 99 direkt sehen (also die DHCP Repquest).
Das kann aus 2 Gründen niemals sein:
a.) VLANs sind vollkommen physisch getrennt auf dem Switch ! Niemals kannst du Frames aus dem VLAN 1 im VLAN 99 und umgekehrt sehen z.B. mit einem Wireshark.
b.) Ein Router (und das ist dein L3 Switch ja) forwardet niemals per se UDP Broadcasts, die bleiben immer erhalten einzig nur innerhalb des VLANs !
Bie dir umgeht das das Kommando "ip helper-address 10.180.191.5" wobei die 10.180.191.5 ja die IP des DHCP Servers in VLAN 1 ist.
Die helper Adresse bewirkt das der Switch eingehende UDP Broadcasts auf dem VLAN 99 Segment erkennt und statt sie zu ignorieren ersetzt er mit der Helper Adresse die originale Absender IP mit seiner eigenen VLAN IP als Absenderadresse und der in der helper Adresse angegebenen IP als Zieladresse.
Damit wird diese Broadcast dann an den DHCP Server geschickt.
Der "sieht" anhand der Absender IP (VLAN 99 Switch IP) das das ein Request aus dem VLAN 99 ist.
Nun sieht er in seinen Scope und du hast ihm hoffentlich auch einen eingetragen für das 10.180.99.0 /24 er IP Segment und benatwortet den Request mit einem Offer aus diesem Segment an den Switch.
Der hat die original Adresse im Cache und forwardet diesen Frame dann wieder ans anfragende Endgerät in VLAN 99 et voila...schon hat der seine IP Adresse.
So funktioniert das millionenfach weltweit und sollte es auch bei dir tun.
Wichtig ist eben das du auch den entspr. Scope im DHCP Server konfiguriert hast und das der Pakte aus anderen Netzen zulässt (lokale Firewall)
Nimm dir einen Wireshark Sniffer und dann solltest du das auch genau so sehen !
Niemals darf dir der Wireshark Paktet aus dem VLAN 99 am VLAN 1 Port zeigen. Das würde bedeutetn das beide VLANs nicht getrennt sind was sie aber sein müssten.
Oder du hast das oben fehlerhaft beschrieben ?!
Es gibt allerdings 2 Ungereimtheiten:
1.) "Der DHCP Discover und DHCO Offer funktionieren mehr oder weniger."
Was meinst du genau damit ?? Als ITler weisst du ja das es solche Aussagen wie "mehr oder weniger" nicht gibt. Was also bitte ist "mehr oder weniger" ??
2.) "...der DHCP Server die Anfrage direkt aus dem VLAN Bereich bekommt und nicht vom Switch."
Das ist ein klares Indiz dafür das grundsätzlich etwas in der Switch Konfig generell nicht stimmt ! Der Konfig Auszug oben zeigt das aber nicht, dort sieht soweit alles korrekt aus.
Niemals darf der DHCP Server in VLAN 1 UDP Broadcasts aus dem VLAN 99 direkt sehen (also die DHCP Repquest).
Das kann aus 2 Gründen niemals sein:
a.) VLANs sind vollkommen physisch getrennt auf dem Switch ! Niemals kannst du Frames aus dem VLAN 1 im VLAN 99 und umgekehrt sehen z.B. mit einem Wireshark.
b.) Ein Router (und das ist dein L3 Switch ja) forwardet niemals per se UDP Broadcasts, die bleiben immer erhalten einzig nur innerhalb des VLANs !
Bie dir umgeht das das Kommando "ip helper-address 10.180.191.5" wobei die 10.180.191.5 ja die IP des DHCP Servers in VLAN 1 ist.
Die helper Adresse bewirkt das der Switch eingehende UDP Broadcasts auf dem VLAN 99 Segment erkennt und statt sie zu ignorieren ersetzt er mit der Helper Adresse die originale Absender IP mit seiner eigenen VLAN IP als Absenderadresse und der in der helper Adresse angegebenen IP als Zieladresse.
Damit wird diese Broadcast dann an den DHCP Server geschickt.
Der "sieht" anhand der Absender IP (VLAN 99 Switch IP) das das ein Request aus dem VLAN 99 ist.
Nun sieht er in seinen Scope und du hast ihm hoffentlich auch einen eingetragen für das 10.180.99.0 /24 er IP Segment und benatwortet den Request mit einem Offer aus diesem Segment an den Switch.
Der hat die original Adresse im Cache und forwardet diesen Frame dann wieder ans anfragende Endgerät in VLAN 99 et voila...schon hat der seine IP Adresse.
So funktioniert das millionenfach weltweit und sollte es auch bei dir tun.
Wichtig ist eben das du auch den entspr. Scope im DHCP Server konfiguriert hast und das der Pakte aus anderen Netzen zulässt (lokale Firewall)
Nimm dir einen Wireshark Sniffer und dann solltest du das auch genau so sehen !
Niemals darf dir der Wireshark Paktet aus dem VLAN 99 am VLAN 1 Port zeigen. Das würde bedeutetn das beide VLANs nicht getrennt sind was sie aber sein müssten.
Oder du hast das oben fehlerhaft beschrieben ?!
1) Die Erklärung sollte in diesem Fall weiter unten stehen.
Der DHCP Discover kommt an, jedoch sieht WireShark direkt die IP 10.180.99.254 statt ide IP des Routers 10.180.191.7.
Deswegen meinte ich das mehr oder weniger, es kommt zwar an, jedoch falsch!
2) Der gleichen Meinung bin ich auch, für mich sieht die Konfig jedoch richtig aus.
Die Scopes sind auf dem DHCP-Server selbstverständlich eingerichtet.
Für jedes VLAN ein Scope. Anhand von WireShark konnte ich auch entnehmen, dass dieser beim DHCP Offer die IP aus dem richtigen Scope nutzen will. Da jedoch statt die IP des Routers die des VLAN 99 ankommt, kann der Offer natürlich nicht ankommen.
So wie du es beschreibst, kenne ich es auch und so verstehe ich es auch.
Ich habe nur absolut keine Ahnung, warum dies so nicht hier funktioniert wo die Konfig ja auch richtig ausschaut!
Der DHCP Discover kommt an, jedoch sieht WireShark direkt die IP 10.180.99.254 statt ide IP des Routers 10.180.191.7.
Deswegen meinte ich das mehr oder weniger, es kommt zwar an, jedoch falsch!
2) Der gleichen Meinung bin ich auch, für mich sieht die Konfig jedoch richtig aus.
Die Scopes sind auf dem DHCP-Server selbstverständlich eingerichtet.
Für jedes VLAN ein Scope. Anhand von WireShark konnte ich auch entnehmen, dass dieser beim DHCP Offer die IP aus dem richtigen Scope nutzen will. Da jedoch statt die IP des Routers die des VLAN 99 ankommt, kann der Offer natürlich nicht ankommen.
So wie du es beschreibst, kenne ich es auch und so verstehe ich es auch.
Ich habe nur absolut keine Ahnung, warum dies so nicht hier funktioniert wo die Konfig ja auch richtig ausschaut!
..."jedoch sieht WireShark direkt die IP 10.180.99.254"
WO bitte sehr misst du denn mit dem Wireshark ??
Nur das das klar ist: Wenn du einen Mirroroport im VLAN 99 hast ist es ja sonnenklar und logisch das du den siehst, denn das ist ein UDP Broadcast.
Taucht also auch ohne Mirroroport am Switch auf allen VLAN 99 Ports auf, da das ein Broadcast Frame ist und der Switch sowas fluten muss im VLAN 99 an alle Ports in dem VLAN.
Aber auch nur da !!
Niemals darf der Switch diese DHCP Broadcasts des Clients im VLAN 99 im VLAN 1 forwarden bzw. sind sie dort sichtbar !
Sinnvoll wäre also mal am DHCP Server selber zu sniffern ob dort die DHCP Offer Pakete die der Switch abgewandelt hat durch seine ip helper Adresse dort auch ankommen ??
Genau dort müssen die VLAN 99 Client Requests mit der VLAN 99 IP des Switches als Absender ankommen !
"...für mich sieht die Konfig jedoch richtig aus."
Niemand hat hier je die Konfg in Frage gestellt das die fehlerhaft ist. Die Konfig ist auch so banal das man da nicht viel falsch machen kann. (...sofern Billigheimer HP keinen Bug in seiner Firmware hat ?!)
Nur mal so die grundsätzlichen Dinge:
WO bitte sehr misst du denn mit dem Wireshark ??
Nur das das klar ist: Wenn du einen Mirroroport im VLAN 99 hast ist es ja sonnenklar und logisch das du den siehst, denn das ist ein UDP Broadcast.
Taucht also auch ohne Mirroroport am Switch auf allen VLAN 99 Ports auf, da das ein Broadcast Frame ist und der Switch sowas fluten muss im VLAN 99 an alle Ports in dem VLAN.
Aber auch nur da !!
Niemals darf der Switch diese DHCP Broadcasts des Clients im VLAN 99 im VLAN 1 forwarden bzw. sind sie dort sichtbar !
Sinnvoll wäre also mal am DHCP Server selber zu sniffern ob dort die DHCP Offer Pakete die der Switch abgewandelt hat durch seine ip helper Adresse dort auch ankommen ??
Genau dort müssen die VLAN 99 Client Requests mit der VLAN 99 IP des Switches als Absender ankommen !
"...für mich sieht die Konfig jedoch richtig aus."
Niemand hat hier je die Konfg in Frage gestellt das die fehlerhaft ist. Die Konfig ist auch so banal das man da nicht viel falsch machen kann. (...sofern Billigheimer HP keinen Bug in seiner Firmware hat ?!)
Nur mal so die grundsätzlichen Dinge:
- Switch hat aktuellste Firmware geflasht ?
- Endgeräte haben alle die HP VLAN IP Adressen als Gateway eingetragen ?
- HP Switch hat default Route auf den Internet Router ?
Sorry, das Thema ist noch recht neu für mich und vllt drücke ich mich auch falsch aus.
Also jetzt noch mal genau meine Vorgehensweise:
Layer 3 Switch:
Hat alle VLANs konfiguriert wie in der Konfig zu sehen ist. Hier interessiert zunächst nur das VLAN 99.
DHCP-Relay ist aktiviert (default)
IP helper-address im VLAN auf 10.180.191.5 gesetzt
IP Routing aktiviert
VLAN 99 hat zunächst nur den Port 1 als untagged
Alle anderen Ports sind untagged auf PVID 1, also dem default-VLAN
Layer 2 Switch (bisher nicht genannt, da ich ausgehe, dass dies zunächst unwichtig ist):
Hier sind aktuell keine VLANs (außer PVID 1) konfiguriert.
Hier ist auch der DHCP Server angeschlossen.
Der Switch ist mittels SFP an den Layer 3 Switch angeschlossen (Switche befinden sich an unterschiedlichen Orten - ca 100m Luftlinie)
Auch hier sind alle Ports im PVID 1 auf untagged
DHCP-Server:
DHCP hat die Scopes der einzelnen VLAN konfiguriert
Als Router sind jeweils die IP Ports der VLANs (hier die 10.180.99.254 des VLAN 99) eingetragen.
DNS/WINS sind die Server hinzugefügt die sich ebenfalls im PVID 1 befinden (10.180.191.100)
WireShark wird auf dem DHCP-Server ausgeführt und nach DHCP gefiltert.
Rechner der im VLAN 99 angeschlossen wurde, versucht nun die IP zu erhalten.
Auf dem DHCP kommt der Discover direkt von der 10.180.99.254
Der DHCP-Server schickt den Offer an die 10.180.99.254.
Dieser Vorgang wiederholt sich ein paar mal.
Bislang nahm ich an, dass auf dem DHCP Server der Discover von der IP des Switches (10.180.191.7) kommen sollte, aber nach deiner Antwort lag ich da wohl falsch.
Ich hoffe das dies nun ein wenig Licht ins dunkle bringt.
Achja:
Beide Switche haben die aktuellste Firmeware drauf.
Sollten die Endgeräte nicht die Daten vom DHCP Server erhalten (diese stehen auf Automatisch, habe jedoch auch statische zuweisung versucht.)
Default Route ist noch nicht gesetzt, da dies erst einmal zweitrangig ist.
Also jetzt noch mal genau meine Vorgehensweise:
Layer 3 Switch:
Hat alle VLANs konfiguriert wie in der Konfig zu sehen ist. Hier interessiert zunächst nur das VLAN 99.
DHCP-Relay ist aktiviert (default)
IP helper-address im VLAN auf 10.180.191.5 gesetzt
IP Routing aktiviert
VLAN 99 hat zunächst nur den Port 1 als untagged
Alle anderen Ports sind untagged auf PVID 1, also dem default-VLAN
Layer 2 Switch (bisher nicht genannt, da ich ausgehe, dass dies zunächst unwichtig ist):
Hier sind aktuell keine VLANs (außer PVID 1) konfiguriert.
Hier ist auch der DHCP Server angeschlossen.
Der Switch ist mittels SFP an den Layer 3 Switch angeschlossen (Switche befinden sich an unterschiedlichen Orten - ca 100m Luftlinie)
Auch hier sind alle Ports im PVID 1 auf untagged
DHCP-Server:
DHCP hat die Scopes der einzelnen VLAN konfiguriert
Als Router sind jeweils die IP Ports der VLANs (hier die 10.180.99.254 des VLAN 99) eingetragen.
DNS/WINS sind die Server hinzugefügt die sich ebenfalls im PVID 1 befinden (10.180.191.100)
WireShark wird auf dem DHCP-Server ausgeführt und nach DHCP gefiltert.
Rechner der im VLAN 99 angeschlossen wurde, versucht nun die IP zu erhalten.
Auf dem DHCP kommt der Discover direkt von der 10.180.99.254
Der DHCP-Server schickt den Offer an die 10.180.99.254.
Dieser Vorgang wiederholt sich ein paar mal.
Bislang nahm ich an, dass auf dem DHCP Server der Discover von der IP des Switches (10.180.191.7) kommen sollte, aber nach deiner Antwort lag ich da wohl falsch.
Ich hoffe das dies nun ein wenig Licht ins dunkle bringt.
Achja:
Beide Switche haben die aktuellste Firmeware drauf.
Sollten die Endgeräte nicht die Daten vom DHCP Server erhalten (diese stehen auf Automatisch, habe jedoch auch statische zuweisung versucht.)
Default Route ist noch nicht gesetzt, da dies erst einmal zweitrangig ist.
OK, L3 und L2 Switch ist erstmal alles OK und sieht soweit gut aus.
DHCP Server:
Hier gibt es wieder eine Unklarheit ! Du schreibst das dort als "Router" am DHCP Server die VLAN 99 IP eingetragen ist.
Das meinst du sicherlich nicht im Ernst, oder ist falsch ausgedrückt oder ?
Fakt ist das es SO und nicht anders eingestellt sein muss:
Client in VLAN 99: (bzw. bekommt er vom DHCP Server)
IP Adresse: 10.180.99.254
Maske: 255.255.255.0
Gateway: 10.180.99.254
DHCP Server:
IP Adresse: 10.180.191.5
Maske: 255.255.255.0
Gateway: 10.180.191.100
ACHTUNG: In diesem Gateway (Router) an der IP 10.180.191.100 muss eine statische Route ins VLAN 99 fest eingetragen sein, sonst kann der DHCP Server das VLAN 99 nicht erreichen !
An diesem Router mit der IP 10.180.191.100 muss also in der statischen Route Konfig sowas stehen wie:
Zielnetz: 10.180.99.0 Maske: 255.255.255.0 Gateway: 10.180.191.7
Damit das wirklich wasserdicht ist, sollte der L3 Switch besser immer eine Default Route ip route 0.0.0.0 0.0.0.0 10.180.191.100 (bei dir) bekommen.
Das ist zwingend erforderlich, damit das Routing sauber funktioniert zwischen VLAN 1 und VLAN 99 !
Testen solltest du das indem du dem Client in VLAN 99 einmal eine temporäre statische IP aus dem VLAN 99 gibts und dann damit den DHCP Server anpingst.
Das MUSS fehlerfrei funktionieren !!
Erst wenn das der Fall ist kannst du den Client dann wieder auf "dynamische IP" sprich DHCP umstellen und wieder testen.
Nach deinem Sniffer Trace zu urteilen sieht es auch so aus also ob der Switch genau das was er tun sollte auch richtig macht ! (und das obwohls ein HP ist !) Das was du schreibst das der DHCP den Request mit der 10.180.191.7 bekommen soll ist natürlich Unsinn.
Lies dir besser nochmal die Funktion einer Helper IP genau durch: http://en.wikipedia.org/wiki/UDP_Helper_Address
Der Switch ersetzt die Absender IP immer mit der Interface IP des VLANs aus dem der Broadcast kommt also bei dir die 10.180.99.254 eben dem VLAN 99.
Ist ja auch logisch da der DHCP Server so ganz genau weiss aus welchem IP Subnetz dieser Request kommt und so den Scope richtig zuordnen kann. Würde es so sein wie du es dir dachtest ginge das ja logischerweise nicht, denn im Request selber steht keinerlei Hinweiss das der aus VLAN 99 kommt !
Wie bitte sehr sollte der DHCP Server also den richtigen Scope erkennen können wenn er nicht hellsehen kann ??
Es sieht also alles richtig aus was da passiert ! Vermutlich hast du aus Nachlässigkeit und/oder Unwissenheit die o.a. statische Route vergessen so das es schlicht und einfach deshalb nicht funktioniert ?!
Bedenke: Traceroute (tracert) und Pathping sind hier immer deine besten Freunde !!
DHCP Server:
Hier gibt es wieder eine Unklarheit ! Du schreibst das dort als "Router" am DHCP Server die VLAN 99 IP eingetragen ist.
Das meinst du sicherlich nicht im Ernst, oder ist falsch ausgedrückt oder ?
Fakt ist das es SO und nicht anders eingestellt sein muss:
Client in VLAN 99: (bzw. bekommt er vom DHCP Server)
IP Adresse: 10.180.99.254
Maske: 255.255.255.0
Gateway: 10.180.99.254
DHCP Server:
IP Adresse: 10.180.191.5
Maske: 255.255.255.0
Gateway: 10.180.191.100
ACHTUNG: In diesem Gateway (Router) an der IP 10.180.191.100 muss eine statische Route ins VLAN 99 fest eingetragen sein, sonst kann der DHCP Server das VLAN 99 nicht erreichen !
An diesem Router mit der IP 10.180.191.100 muss also in der statischen Route Konfig sowas stehen wie:
Zielnetz: 10.180.99.0 Maske: 255.255.255.0 Gateway: 10.180.191.7
Damit das wirklich wasserdicht ist, sollte der L3 Switch besser immer eine Default Route ip route 0.0.0.0 0.0.0.0 10.180.191.100 (bei dir) bekommen.
Das ist zwingend erforderlich, damit das Routing sauber funktioniert zwischen VLAN 1 und VLAN 99 !
Testen solltest du das indem du dem Client in VLAN 99 einmal eine temporäre statische IP aus dem VLAN 99 gibts und dann damit den DHCP Server anpingst.
Das MUSS fehlerfrei funktionieren !!
Erst wenn das der Fall ist kannst du den Client dann wieder auf "dynamische IP" sprich DHCP umstellen und wieder testen.
Nach deinem Sniffer Trace zu urteilen sieht es auch so aus also ob der Switch genau das was er tun sollte auch richtig macht ! (und das obwohls ein HP ist !) Das was du schreibst das der DHCP den Request mit der 10.180.191.7 bekommen soll ist natürlich Unsinn.
Lies dir besser nochmal die Funktion einer Helper IP genau durch: http://en.wikipedia.org/wiki/UDP_Helper_Address
Der Switch ersetzt die Absender IP immer mit der Interface IP des VLANs aus dem der Broadcast kommt also bei dir die 10.180.99.254 eben dem VLAN 99.
Ist ja auch logisch da der DHCP Server so ganz genau weiss aus welchem IP Subnetz dieser Request kommt und so den Scope richtig zuordnen kann. Würde es so sein wie du es dir dachtest ginge das ja logischerweise nicht, denn im Request selber steht keinerlei Hinweiss das der aus VLAN 99 kommt !
Wie bitte sehr sollte der DHCP Server also den richtigen Scope erkennen können wenn er nicht hellsehen kann ??
Es sieht also alles richtig aus was da passiert ! Vermutlich hast du aus Nachlässigkeit und/oder Unwissenheit die o.a. statische Route vergessen so das es schlicht und einfach deshalb nicht funktioniert ?!
Bedenke: Traceroute (tracert) und Pathping sind hier immer deine besten Freunde !!
1
Erst einmal vielen Dank, für die große Mühe und die Geduld.
Mit Router IP meinte ich in den einzelnen Scopes die Bereichsoptionen.
Das sind ja die Daten, der DHCP-Server den Clients übergibt.
Scope - VLAN 99 (10.180.99.0/24)
In den Bereichsoptionen sind für diesen Scope folgende Daten hinterlegt:
003 Router - 10.180.99.254
006 Dns-Server - 10.180.191.100
044 WINS-Server - 10.180.191.100
Hier ist der DNS ein reiner DNS-Server, fungiert also nicht als Internetzugang.
Der DHCP-Server hat als Gateway die 10.180.191.21
Und ja du hast recht, das ist in diesem Fall tatsächlich aus Unwissenheit passiert.
Mit Router IP meinte ich in den einzelnen Scopes die Bereichsoptionen.
Das sind ja die Daten, der DHCP-Server den Clients übergibt.
Scope - VLAN 99 (10.180.99.0/24)
In den Bereichsoptionen sind für diesen Scope folgende Daten hinterlegt:
003 Router - 10.180.99.254
006 Dns-Server - 10.180.191.100
044 WINS-Server - 10.180.191.100
Hier ist der DNS ein reiner DNS-Server, fungiert also nicht als Internetzugang.
Der DHCP-Server hat als Gateway die 10.180.191.21
Und ja du hast recht, das ist in diesem Fall tatsächlich aus Unwissenheit passiert.
OK, dann muss die statische Route ins VLAN 99 bei 10.180.191.21 eingetragen werden und die Default Route des L3 Switches muss auch auf 10.180.191.21 zeigen.
Klappts denn jetzt ?
Klappts denn jetzt ?
1
Ich bedanke mich sehr bei dir!
Endlich klappt es.
Das ist das erste mal das ich mich mit VLANs auseinandersetze!
Wie gesagt, mein Gedankengang war anders. Ich hatte vermutet, der Client fragt nach einer IP. Durch die ip-helper adresse kann der Switch es weiterleiten und ersetzt die IP-Adresse durch seine eigene. Meine Vermutung war, dass die Informationen extra gespeichert werden würden.
Ich weiß nicht wo ich meinen Kopf da hatte!
Vielen Dank
Endlich klappt es.
Das ist das erste mal das ich mich mit VLANs auseinandersetze!
Wie gesagt, mein Gedankengang war anders. Ich hatte vermutet, der Client fragt nach einer IP. Durch die ip-helper adresse kann der Switch es weiterleiten und ersetzt die IP-Adresse durch seine eigene. Meine Vermutung war, dass die Informationen extra gespeichert werden würden.
Ich weiß nicht wo ich meinen Kopf da hatte!
Vielen Dank
Wieso deine Vermutung ist doch richtig. So funktioniert es auch ! Nur du bist von einer falschen Absender IP ausgegangen.
Also beim nächsten Mal nicht "vermuten" sondern messen, lesen und verstehen. Vermutungen gibt es in der IT nicht wie du sicher selber weisst.
Und.....mit VLANs an sich hat das auch gar nichts zu tun, denn das Problem der UDP Broadcasts über Router Grenzen ist ein Grundsätzliches bzw. so funktioniert der TCP/IP Standard.
Auch eine Grundlage die man als Netzwerker eigentlich weiss...aber so hast du eben den Lerneffekt den dir niemand mehr nehmen kann.
Also beim nächsten Mal nicht "vermuten" sondern messen, lesen und verstehen. Vermutungen gibt es in der IT nicht wie du sicher selber weisst.
Und.....mit VLANs an sich hat das auch gar nichts zu tun, denn das Problem der UDP Broadcasts über Router Grenzen ist ein Grundsätzliches bzw. so funktioniert der TCP/IP Standard.
Auch eine Grundlage die man als Netzwerker eigentlich weiss...aber so hast du eben den Lerneffekt den dir niemand mehr nehmen kann.
Hallo aqui,
ich hoffe du kannst mir noch einmal helfen, auch wenn ich diesen Thread schon als gelöst markiert habe.
Folgendes Problem. Der L3 ist mittels LWL am L2 angeschlossen (Port 45 auf beiden Seiten).
Hänge ich einen Client am L2, am Port 2 VLAN 100, bekommt dieser keine gültigen IP-Adresse.
Kommt ein Client am L3 an Port (also der DMZ) bekommt auch dieser keine gültige IP. Zur Info. Eine Sonicwall stellt die DMZ bereit und ist direkt am L2 Port 23 angeschlossen.
Unten sind die Konfigs beider Switche.
Danke im voraus!
Layer-3-Switch
hostname "HP-2920-48G"
module 1 type j9728a
ip dns server-address priority 1 10.180.191.100
ip dns server-address priority 2 10.180.191.101
ip route 0.0.0.0 0.0.0.0 10.180.191.21
ip route 10.180.10.0 255.255.255.0 vlan 10
ip route 10.180.98.0 255.255.254.0 vlan 98
ip route 10.180.100.0 255.255.254.0 vlan 100
ip routing
snmp-server community "public" unrestricted
oobm
ip address dhcp-bootp
exit
vlan 1
name "DEFAULT_VLAN"
no untagged 1-3
untagged 4-48,A1-A2,B1-B2
ip address 10.180.191.7 255.255.255.0
exit
vlan 10
name "DMZ"
untagged 3
tagged 45
ip address 10.180.10.254 255.255.255.0
exit
vlan 98
name "WLAN-Office"
untagged 1
tagged 45
ip address 10.180.99.254 255.255.254.0
ip helper-address 10.180.191.5
exit
vlan 100
name "Client-LAN"
untagged 2
tagged 45
ip address 10.180.101.254 255.255.254.0
ip helper-address 10.180.191.5
exit
spanning-tree
no tftp server
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
Layer-2-Switch
hostname "HP-2510-48G"
ip default-gateway 10.180.191.21
snmp-server community "public" Unrestricted
vlan 1
name "DEFAULT_VLAN"
untagged 1-22,24-48
ip address 10.180.191.8 255.255.255.0
no untagged 23
exit
vlan 10
name "DMZ"
untagged 23
ip address 10.180.10.254 255.255.255.0
tagged 45
exit
vlan 100
name "Client-LAN"
ip address 10.180.100.254 255.255.254.0
tagged 45
exit
vlan 98
name "WLAN-Office"
tagged 45
exit
password manager
ich hoffe du kannst mir noch einmal helfen, auch wenn ich diesen Thread schon als gelöst markiert habe.
Folgendes Problem. Der L3 ist mittels LWL am L2 angeschlossen (Port 45 auf beiden Seiten).
Hänge ich einen Client am L2, am Port 2 VLAN 100, bekommt dieser keine gültigen IP-Adresse.
Kommt ein Client am L3 an Port (also der DMZ) bekommt auch dieser keine gültige IP. Zur Info. Eine Sonicwall stellt die DMZ bereit und ist direkt am L2 Port 23 angeschlossen.
Unten sind die Konfigs beider Switche.
Danke im voraus!
Layer-3-Switch
hostname "HP-2920-48G"
module 1 type j9728a
ip dns server-address priority 1 10.180.191.100
ip dns server-address priority 2 10.180.191.101
ip route 0.0.0.0 0.0.0.0 10.180.191.21
ip route 10.180.10.0 255.255.255.0 vlan 10
ip route 10.180.98.0 255.255.254.0 vlan 98
ip route 10.180.100.0 255.255.254.0 vlan 100
ip routing
snmp-server community "public" unrestricted
oobm
ip address dhcp-bootp
exit
vlan 1
name "DEFAULT_VLAN"
no untagged 1-3
untagged 4-48,A1-A2,B1-B2
ip address 10.180.191.7 255.255.255.0
exit
vlan 10
name "DMZ"
untagged 3
tagged 45
ip address 10.180.10.254 255.255.255.0
exit
vlan 98
name "WLAN-Office"
untagged 1
tagged 45
ip address 10.180.99.254 255.255.254.0
ip helper-address 10.180.191.5
exit
vlan 100
name "Client-LAN"
untagged 2
tagged 45
ip address 10.180.101.254 255.255.254.0
ip helper-address 10.180.191.5
exit
spanning-tree
no tftp server
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
Layer-2-Switch
hostname "HP-2510-48G"
ip default-gateway 10.180.191.21
snmp-server community "public" Unrestricted
vlan 1
name "DEFAULT_VLAN"
untagged 1-22,24-48
ip address 10.180.191.8 255.255.255.0
no untagged 23
exit
vlan 10
name "DMZ"
untagged 23
ip address 10.180.10.254 255.255.255.0
tagged 45
exit
vlan 100
name "Client-LAN"
ip address 10.180.100.254 255.255.254.0
tagged 45
exit
vlan 98
name "WLAN-Office"
tagged 45
exit
password manager
