maik20
Goto Top

VLAN und DHCP

Hallo,

ich habe mal eine grundlegende Frage zum Thema VLAN und DHCP. Ich habe hier 3 VLANs:

VLAN2: Internet
VLAN5: Administration
VLAN10:Server
VLAN90: Gastnetz

Sowie einen L3 Switch den SG300 von Cisco.

Für das VLAN2, 5 und 10 ist auf dem Switch eine IP-Adresse konfiguriert. Somit routen der Switch die Netze untereinander. Das VLAN90 verfügt über keine IP, dieses wird auf den Router (tagged) durchgereicht.

Daneben gibt es eine ACL die Zugriff von VLAN5 nach VLAN10 erlaubt, jedoch 10 nicht nach 5 darf.

Im VLAN10 läuft ein DHCP Server auf Basis von Windows 2016. Ich würde gerne über den DHCP-Server auch die Adressvergabe für die VLANs 5 und 90 durchführen. Wenn ich es richtig verstehe lege ich einfach ein entsprechenden Scope pro VLAN an.

Meine Frage bezieht sich auf das VLAN10 und 90 bzgl. dem DHCP Server.

Kann der Server im 90er VLAN überhaupt Adressen vergeben? Da der Switch ja nicht direkt routet?
Gleiche Frage bzgl. VLAN 10. Hier gibt es besagte ACL.

Muss ich also für die Netze eigene DHCP-Server aufsetzen?

Gruß

Maik

Content-ID: 348983

Url: https://administrator.de/forum/vlan-und-dhcp-348983.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

Pjordorf
Pjordorf 13.09.2017 um 17:16:49 Uhr
Goto Top
Hallo,

Zitat von @Maik20:
Im VLAN10 läuft ein DHCP Server auf Basis von Windows 2016. Ich würde gerne über den DHCP-Server auch die Adressvergabe für die VLANs 5 und 90 durchführen. Wenn ich es richtig verstehe lege ich einfach ein entsprechenden Scope pro VLAN an.
Si und natürlich müssen deine Clients wiisen WO denn dein DHCP werkelt. Ein DHCP helper (DHCP Relay) ist also unausweichlich. Nur bei dein VLAN90 siehst schwarz aus und du solltest Clients aus VLAN10 schon erlauben sich IPs dort abzuholen/erneuern. Ports 67/68 UDP helfen da.
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol
http://www.techieshelp.com/cisco-switches-setup-dhcp-relay/

Muss ich also für die Netze eigene DHCP-Server aufsetzen?
Muss? Nein, können ja

Gruß,
Peter
chgorges
chgorges 13.09.2017 aktualisiert um 20:53:39 Uhr
Goto Top
Zitat von @Maik20:
Das VLAN90 verfügt über keine IP, dieses wird auf den Router (tagged) durchgereicht.

Kann der Server im 90er VLAN überhaupt Adressen vergeben? Da der Switch ja nicht direkt routet?

Dann hast du einen groben Designfehler begangen.
Wenn man einen Layer3-Switch hat und plant, Inter-VLAN-Routing einzusetzen, nimmt man niemals zu keiner Zeit einen zusätzlichen Router fürs Routing, sondern überlässt das dem Layer3-Switch.

Aus einem einfachen Grund: Du musst in jedem DHCP-Scope einen Router/Gateway mit IP-Adresse angeben, welche hinterher das Gateway für die jeweiligen Clients in den VLANs ist.
Also gibst du die jeweiligen VLAN-IPs des SG300 an.
Aber halt, der SG300 routet ja gar nicht, also können die VLAN-IPs nicht als Scope-Gateways angegeben werden.

-> Designcrash
Maik20
Maik20 13.09.2017 um 21:09:21 Uhr
Goto Top
Dann hast du einen groben Designfehler begangen.
Wenn man einen Layer3-Switch hat und plant, Inter-VLAN-Routing einzusetzen, nimmt man niemals zu keiner Zeit einen zusätzlichen Router fürs Routing, sondern überlässt das dem Layer3-Switch.

Der o.g. Router ist die PA220 und dient als Firewall und stellt die Verbindung mit dem Modem her. Mir ist nicht bekannt, dass der SG300 in der Lage direkt ein Modem zu bedienen. Daneben bietet die Firewall eine ganz andere Stufe als der Cisco Switch. Somit reiche ich das Gastnetz und die DMZ zur PA220 durch. Die "internen" Netze werden direkt über den Switch geroutet. Warum da ein Flaschenhals aufbauen? Aber ich lasse mich hier gerne von einer anderen Lösung überzeugen.


Aus einem einfachen Grund: Du musst in jedem DHCP-Scope einen Router/Gateway mit IP-Adresse angeben, welche hinterher das Gateway für die jeweiligen Clients in den VLANs ist.
Also gibst du die jeweiligen VLAN-IPs des SG300 an.
Aber halt, der SG300 routet ja gar nicht, also können die VLAN-IPs nicht als Scope-Gateways angegeben werden.

-> Designcrash

Das sehe ich anders. Der Switch routet die internen Netze. Für diese müsste also definitiv eine Adressvergabe über den DHCP-Server funktionieren. DHCP-Relay auf dem Switch vorausgesetzt. Beim Gastnetz bin ich mir eben nicht sicher ob das so funktioniert. Vermutlich nicht über den L3-Switch sondern wenn dann mittels DHCP-Relay über die PA220.

Die entscheidende Frage ist für mich aber ob eine Zugriffsbeschränkung zwischen den VLANs mittels ACL auch die DHCP Adressvergabe betrifft. Oder ob die DHCP-Adressvergabe die ACL sozusagen überspringt? Oder ob ich ggf. auf dem SG300 Einstellungen vornehmen muss, damit die DHCP-Adressvergabe nicht durch die ACL behindert wird.
chgorges
chgorges 13.09.2017 um 21:19:21 Uhr
Goto Top
Zitat von @Maik20:
Die "internen" Netze werden direkt über den Switch geroutet. Warum da ein Flaschenhals aufbauen? Aber ich lasse mich hier gerne von einer > anderen Lösung überzeugen.

Das sehe ich anders. Der Switch routet die internen Netze.

Das ist letztendlich das, was ich meine, was für mich aus deiner Eingangsdefinition aber nicht herauslesbar war face-smile
maretz
maretz 14.09.2017 um 07:02:13 Uhr
Goto Top
Ich finde es immer wieder schön wenn Personen meinen "ein Konzept passt immer für alles" - und dann gleich sagen das macht man "niemals, zu keiner Zeit". Einmal irgendwo "Best Practices" gelesen und immer schön wiederholen - leider die Einleitung dazu übersprungen in der üblicherweise steht das diese passen können, aber nicht müssen und man das auf die jeweiligen Anforderungen abstimmen muss.

Hier ist das z.B. grad Standard das beides gemacht wird - da es interne Netze gibt die aufgrund von Entertainment-Systemen auch grosse Datenmengen übertragen (TV-Streams, Video on Demand,...). Das möchtest du dann nämlich nicht erst durch den Router schaufeln müssen - der bräuchte dann gleich eine ganze Reihe von Interfaces mehr (was dann auch entsprechend kostet). Und auch die Leistung müsste direkt einige Klassen höher gehen - was auch wieder den Preis hochzieht.

Andersrum gibt es aber auch mehrere Gateways nach aussen (SAT, Mobilnetz, Richtfunkstrecke). Ich denke da könnte es für den Switch (auch L3) ein Problem werden vernünftige Routing-Regeln zu bauen inkl. automatisches Umschalten...

Und schon hast du deinen "groben Designfehler" als ganz normale Umgebung...
aqui
aqui 14.09.2017 um 11:32:17 Uhr
Goto Top
Ich würde gerne über den DHCP-Server auch die Adressvergabe für die VLANs 5 und 90 durchführen
Das ist problemlos möglich.
lege ich einfach ein entsprechenden Scope pro VLAN an.
Das wäre der erste Schritt
Kann der Server im 90er VLAN überhaupt Adressen vergeben?
Generell gesehen kann der Server in allen VLANs DHCP IP Adressen vergeben.
DHCP basiert auf UDP Broadcast. Also Client macht einen All Net UDP Broadcast an die IP 255.255.255.255 und fragt nach einem DHCP Server in dem Netz. Der antwortet und vergibt die IP.
Normal sind diese Broadcasts immer lokal auf das jeweilige Netz bezogen. Router forwarden per se generell keinerlei Broadcasts. Deshalb muss man das also etwas cistomizen, das der DHCP Server auch diese DHCP Broadcasts erhält.
Das erledigt ein sog. DHCP Relay oder DHCP Helper Adresse
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#DHCP_R ...
auf dem Router. Der erkennt diese DHCP Broadcasts im jeweiligen Segment, ersetzt die Absender IP mit der eigenen aus dem Segment und forwardet das an die ihm konfigurierte DHCP Server Adresse.
So erreichen den Server diese Requests und er kann dann mit dem richtigen Scope antworten.
Was du jetzt also machen musst ist den DHCP Helper an den IP VLAN Segmenten zu aktivieren wo DHCP Broadcasts geforwardet werden müssen also die VLANs 5 und ggf. 2 sofern in 2 DHCP Endgeräte sind. Sonst nur 5.
VLAN 10 kann logischerweise entfallen, da ist der Server ja selber drin.
Eine Besonderheit ist das VLAN 90 das Gastnetz, da du hier ja richtigerweise keine IP am Switch hast und das Routing der Gäste am Router direkt passiert.
Hier musst du also für das VLAN 90 den DHCP Helper am Router definieren, das der diese 90er Requests an den Server forwardet. Ein simple Frage der Konfiguration !
Was die ACLs anbetrifft musst du natürlich dafür sorgen das die ACL so eingestellt ist das UDP Pakete mit Ziel Port 67 die ACL passieren dürfen. Logisch, denn sonst würden die DHCP Requests der Clients gar nicht ankommen.
Im Grunde ein einfaches Unterfangen und klassicsch wenn man einen zentralen DHCP Server betreibt.