Vlan und Redundanzkonzept mit Brocade VSRP
Hallo zusammen,
folgende IST Situation:
1 x Firewall an der hängt
3 x HP 5130 an denen hängt
1 x Brocade ICX 6450 an dem hängt
1 x D-LInk DXS-1210 10GbE Switch
Firewall stellt Internetverbing + Layer 2 Direktanbingungen von weiteren Standorten her. Am Brocade hängen die Server (teilweise an einem D-Link 10GbE Switch). Die HPs sind für Rechner.
In Zukunft sollen alle Standortanbindungen über den Brocade laufen und die Firewall nur noch die Internetverbindung für alle herstellen. Des Weiteren sollen VLANs aufgebaut werden. Folgender Plan (IP Adressen lasse ich mal weg): (siehe Schaubild)
Vlan 100 an Port 1/1/1 für die Default Route zur Firewall
Vlan 200 an Port 1/1/2 für L2 Anbindung Firma A in Hamburg
Vlan 300 an Port 1/1/3 für L2 Anbindung Firma B in München
Vlan 400 an Port 1/1/4 usw
Vlan 20 - Server an Brocade Port 1/1/13 - 1/1/24
Vlan 30/50 WLAN (Aruba)
Vlan 40 - PCs und Drucker
Vlan 60 - Buchhaltung
Vlan 90 - Management
Für die Redundanz wurde ein zweiter Brocade angeschafft, aber, intelligenterweise, nicht die entsprechenden Lizenzen für VRRP. :/ Jetzt meine Fragen:
1.) Macht das ganze grundsätzlich erst mal so Sinn?
2.) Lässt sich das Redundanzkonzept mit VSRP zufriedenstellend realisieren? Und wie genau funktioniert das? Lege ich für jedes VLAN ein VRID an?
3.) Müssen die beiden Brocade direkt miteinander verbunden sein?
Vielen Dank und Gruß!
Len
folgende IST Situation:
1 x Firewall an der hängt
3 x HP 5130 an denen hängt
1 x Brocade ICX 6450 an dem hängt
1 x D-LInk DXS-1210 10GbE Switch
Firewall stellt Internetverbing + Layer 2 Direktanbingungen von weiteren Standorten her. Am Brocade hängen die Server (teilweise an einem D-Link 10GbE Switch). Die HPs sind für Rechner.
In Zukunft sollen alle Standortanbindungen über den Brocade laufen und die Firewall nur noch die Internetverbindung für alle herstellen. Des Weiteren sollen VLANs aufgebaut werden. Folgender Plan (IP Adressen lasse ich mal weg): (siehe Schaubild)
Vlan 100 an Port 1/1/1 für die Default Route zur Firewall
Vlan 200 an Port 1/1/2 für L2 Anbindung Firma A in Hamburg
Vlan 300 an Port 1/1/3 für L2 Anbindung Firma B in München
Vlan 400 an Port 1/1/4 usw
Vlan 20 - Server an Brocade Port 1/1/13 - 1/1/24
Vlan 30/50 WLAN (Aruba)
Vlan 40 - PCs und Drucker
Vlan 60 - Buchhaltung
Vlan 90 - Management
Für die Redundanz wurde ein zweiter Brocade angeschafft, aber, intelligenterweise, nicht die entsprechenden Lizenzen für VRRP. :/ Jetzt meine Fragen:
1.) Macht das ganze grundsätzlich erst mal so Sinn?
2.) Lässt sich das Redundanzkonzept mit VSRP zufriedenstellend realisieren? Und wie genau funktioniert das? Lege ich für jedes VLAN ein VRID an?
3.) Müssen die beiden Brocade direkt miteinander verbunden sein?
Vielen Dank und Gruß!
Len
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 304887
Url: https://administrator.de/forum/vlan-und-redundanzkonzept-mit-brocade-vsrp-304887.html
Ausgedruckt am: 06.04.2025 um 13:04 Uhr
29 Kommentare
Neuester Kommentar
Hi
Stack die Geräte einfach - über die 10Gb Ports, weniger Aufwand und kostet keine Lizenz extra
. Auf beiden dann einfach das Routerimage drauf und *fertig*. Damit hast auch 2 Endgeräte die das gleiche machen sparst dir aber die gesamte Config was VSRP angeht, bei einer FW ohnehin eher mit Kanonen auf Spatzen schießen.
Bedenke aber, dass STP 802.1W von Brocade nicht kompatibel mit deinen HP Geräten ist! Das "spuckt dir direkt in's Essen".
Wenn du das trotz alledem über VSRP machen willst, musst du den Routern mitteilen wer "Chef" von dem jeweiligen Interface ist und auf den anderen dann das Backup einrichten
z.B.
viel mehr ist das eigentlich nicht, aber für das Advanced Routing brauchst die Lizenz damit das funktioniert
.
Gruß
@clSchak
Edit/add:
Die ICX6450 sind aber nicht für Standortvernetzung ôÔ Das sind keine MPLS Router, dafür brauchst andere Geräte oder wie hast du das geplant? Im Regelfall macht man das, wenn kein MPLS vorhanden ist, über einen Side2Side VPN Verbindung die über die Firewalls hergestellt wird.
Stack die Geräte einfach - über die 10Gb Ports, weniger Aufwand und kostet keine Lizenz extra
Bedenke aber, dass STP 802.1W von Brocade nicht kompatibel mit deinen HP Geräten ist! Das "spuckt dir direkt in's Essen".
Wenn du das trotz alledem über VSRP machen willst, musst du den Routern mitteilen wer "Chef" von dem jeweiligen Interface ist und auf den anderen dann das Backup einrichten
z.B.
----- Router #1 -----
interface ve 70
ip address 192.168.70.29 255.255.255.0
ip helper-address 1 192.168.8.2
ip ospf area 0.0.0.0
ip vrrp-extended vrid 1
backup priority 80
advertise backup
ip-address 192.168.70.30
enable
!
------ Router #2 ------
interface ve 70
ip address 192.168.70.29 255.255.255.0
ip directed-broadcast
ip helper-address 1 192.168.8.2
ip ospf area 0.0.0.0
disable
ip vrrp-extended vrid 1
backup
advertise backup
ip-address 192.168.70.30
enable
!
viel mehr ist das eigentlich nicht, aber für das Advanced Routing brauchst die Lizenz damit das funktioniert
Gruß
@clSchak
Edit/add:
Die ICX6450 sind aber nicht für Standortvernetzung ôÔ Das sind keine MPLS Router, dafür brauchst andere Geräte oder wie hast du das geplant? Im Regelfall macht man das, wenn kein MPLS vorhanden ist, über einen Side2Side VPN Verbindung die über die Firewalls hergestellt wird.
Für die Redundanz wurde ein zweiter Brocade angeschafft,
Auch wieder ein 64er ??Die Dinger supporten Horizontal Stacking !
Das sinnvollste ist du stackst beide 64er in einen Stack so das sie quasi als ein Switch agieren.
Damit hast du alle Redundanzen erschlagen und musst dir um VSRP, STP, VRRP keine Sorgen mehr machen. Schon gar nicht um fehlende Lizenzen. Stacking ist inkludiert.
Das wäre in deinem Design die allereinfachste Lösung !
Kollege clSchak hats dir ja schon beschrieben und dem kann man nur absolut zustimmen. VSRP ist proprietär und nicht mehr strategisch bei Brocade im Zeitalter von Stacking.
Fazit: Gehe den Stacking Weg und alles wird gut.
Die Brocades machen keinen Vendor Check bei den Optiken, du kannst also preiswerte 10G Optiken vom freien Markt nehmen für 50 Euro Strassenpreis.
Stehen die Switches mit einer Entfernung von nicht mehr als 10m beeinander oder im Rack kannst du auch preiswerte 10G Twinax Kabel (DAC Kabel) nehmen fürs Stacking !
Die Konfig vom Kollegen clSchak oben hat übrigens einen gravierenden Fehler, denn beide Interface Adressen sind identisch !
Vermutlich ein Cut and Paste Fehler, denn das wäre fatal würde man das so machen.
Einer hat dann natürlich die .29 und der andere die .28 wenn die VRRP VIP die .30 hat
Abgesehen davon ist es kosmetisch immer besser Router nach ganz oben oder nach ganz unten im IP Adressbereich zu legen um Dopplungen zu vermeiden mit Hostadressen.
IP Directed Broadcasts sollte man besser auch deaktiviert lassen...das ist aber Ansichtssache.
OT
@aqui
dann funktioniert unser WOL allerdings nicht korrekt, die aktuelle Appliance zur Softwareverteilung kann leider keine direkt VLAN Adressierung :/ - naja das lustige an der Sache ist dann aber auch, bei manchen VLAN's geht es auch ohne die Einstellung -aber das ist ein anderes Thema
und ja, Copy&Paste Fehler, hatte beide Putty Fenster offen
28+29 sind es :> - und der Rest ist Ansichtsache ja, habe das "damals" so übernommen und bin der Linie "treu" geblieben, alle Router-Gateways auf x.x.x.30 zu legen 
/OT
@to
JA du kannst freie Module z.B. Finisar nehmen, das funktioniert anstandslos, wir verwenden nur im SAN & Core Bereich originale Optiken bzw. TWINAX Kabel von Brocade. Wenn du keine Port-Lizenz erworben hast sind im Regelfall nur Port x/2/1 + x/2/3 aktiv und die anderen beiden laufen nur im 1Gb Betrieb.
Was du evtl. noch machen könntest wäre, wenn die beiden Geräte in einem Rack hängen, eine ESP für redundante Stromversorgung anzuschaffen da die Switche ja nur Netzteil haben.
Gruß
@clSchak
@aqui
dann funktioniert unser WOL allerdings nicht korrekt, die aktuelle Appliance zur Softwareverteilung kann leider keine direkt VLAN Adressierung :/ - naja das lustige an der Sache ist dann aber auch, bei manchen VLAN's geht es auch ohne die Einstellung -aber das ist ein anderes Thema
und ja, Copy&Paste Fehler, hatte beide Putty Fenster offen
/OT
@to
JA du kannst freie Module z.B. Finisar nehmen, das funktioniert anstandslos, wir verwenden nur im SAN & Core Bereich originale Optiken bzw. TWINAX Kabel von Brocade. Wenn du keine Port-Lizenz erworben hast sind im Regelfall nur Port x/2/1 + x/2/3 aktiv und die anderen beiden laufen nur im 1Gb Betrieb.
Was du evtl. noch machen könntest wäre, wenn die beiden Geräte in einem Rack hängen, eine ESP für redundante Stromversorgung anzuschaffen da die Switche ja nur Netzteil haben.
Gruß
@clSchak
Nein, es geht auch Stacking mit 1G. Ob das Sinn macht den gesamten Backplane Traffic des Stacks dann durch ein 1G Nadelöhr zu zwängen kannst du dir selber beantworten.
Zum Testen ja, im Produktivbetrieb macht Stacking mit 1G sehr wenig Sinn und sollte man lassen.
Die SFP+ Ports des 64ers sind immer Dual Mode, können also 1G und 10G Optiken aufnehmen wie es gemeinhin für SFP+ Ports ja üblicher Standard ist !
Du brauchst die erweiterte Lizenz auch nicht wenn du 2 Ports je Switch lizensiert hast.
Wenn der 2te natürlich gar keine hat bleibt dir nur die Temp. Lizenz erstmal wenns schnell gehen soll oder 1G. Letzteres solltest du aber gut überlegen.

Zum Testen ja, im Produktivbetrieb macht Stacking mit 1G sehr wenig Sinn und sollte man lassen.
Die SFP+ Ports des 64ers sind immer Dual Mode, können also 1G und 10G Optiken aufnehmen wie es gemeinhin für SFP+ Ports ja üblicher Standard ist !
Die Kabel haben wir hier, aber leider nicht die erweiterte Lizenz für 2 und 4
Das ist kein Problem. Ruf den zuständigen Brocade IP Techniker an in deiner Region der kann dir eine zeitlich begrenzte Lizenz generieren (2 Monate) mit der du starten kannst. Hast dann 2 Monate Zeit deine nachzuinstallieren.Du brauchst die erweiterte Lizenz auch nicht wenn du 2 Ports je Switch lizensiert hast.
Wenn der 2te natürlich gar keine hat bleibt dir nur die Temp. Lizenz erstmal wenns schnell gehen soll oder 1G. Letzteres solltest du aber gut überlegen.
Zu Not könnte man ein System an die HPs hängen
Igitt....schön ist natürlich anders...
So ist es... Also Twinax SFP+ von Delock mag er scheinbar nicht.
Du musst aufpassen. Es gibt sog. aktive und auch passive DAC Kabel. Brocade supportet nur aktive DAC Kabel.Der Unterschied liegt darin das die Kabel dann in den Steckern noch Leitungsverstärker haben die den Signalpegel anheben.
Ein show media zeigt dir ob er die Kabel erkannt hat !
Bei der ersten Bildung des Stacks musst du auf folgendes Achten:
- Images müssen identisch sein in Version und Funktion !! R = Route Image S=Switch only Image. Versionsnummern und Patchlevel müssen übereinstimmen
- Konfig muss default sein (erase startup)
- Dann zusammenstecken und stacking enable eingeben
- Unbedingt hitless Failover aktivieren
Details findest du im Stacking Guide zu dem Produkt !
Du hast auch einen Fehler gemacht... Du musst ein Daisy Chaining machen beim Stacken !
Port 2/1 geht auf 2/3 usw. Nie gleiche Ports zusammenstacken in einer Stack Group.
Sieh immer in den Stacking Guide da ist das alles beschrieben !!
Beide sollten jungfräulich sein bevor man den Stack bildet. Wenn du den Master vor dem Stacking bestimmst geht es aber auch ohne, der "zwingt" dem Client dann die Konfig auf und resettet ihn zum Default.
Sind deine Interfaces denn jetzt erreichbar ??
Denk dran das du jetzt immer die korrekte Unit ID mitgeben musst um das richtige Interface zu erreichen !
Ein show int brief zeigt dir die aktuellen Interfaces im Stack und deren Zustand an !
Sind deine Interfaces denn jetzt erreichbar ??
Denk dran das du jetzt immer die korrekte Unit ID mitgeben musst um das richtige Interface zu erreichen !
Ein show int brief zeigt dir die aktuellen Interfaces im Stack und deren Zustand an !
Hi
Master wird im Regelfall der Switch der als erstes "stack enable" gemacht hat - bei dem bereits zusammengesteckten Konstrukt, kann man aber nachher verschieben, bei 2 Geräten eher irrelevant. Hitless-Failover ist dafür, dass der automatisch den Master verschiebt wenn der dir mal abgeraucht ist.
Und das STP, Brocade macht PVST 802.1W und das mag HP mal gar nicht
da kannst dann "bewundern" wie schnell so ein HP Switch auf 100% Last geht und dann aussteigt :>. Wir haben "damals" an allen Ports wo ein HP Switche dran hingen das STP deaktiviert (auf beiden Seiten) und es dann auf allen anderen Ports aktiviert gelassen, dann kommt sich das nicht in die Quere.
Gruß
@clSchak
Master wird im Regelfall der Switch der als erstes "stack enable" gemacht hat - bei dem bereits zusammengesteckten Konstrukt, kann man aber nachher verschieben, bei 2 Geräten eher irrelevant. Hitless-Failover ist dafür, dass der automatisch den Master verschiebt wenn der dir mal abgeraucht ist.
Und das STP, Brocade macht PVST 802.1W und das mag HP mal gar nicht
Gruß
@clSchak
Master wird im Regelfall der Switch der als erstes "stack enable" gemacht hat -
Nein, nicht ganz... Der mit der niedrigsten Mac Adresse im Stack wird es...sollte wenigstens.Wir haben "damals" an allen Ports wo ein HP Switche dran hingen das STP deaktiviert
Oder den Brocade auf Global Span stellen, oder beide auf MSTP ich habe natürlich die IDs nicht richtig vergeben.
Das musst du auch nicht, das kaspern die Switches dann selber aus. Besser ist dann wenn du zum Schluß einen feste "stack mac" definiert.Dazu solltest du immer die des Masters nehmen die du mit sh stacking sehen kannst !
Muss zwingen aber auch nicht sein.
ich stelle schon mal fest, STP ist träge.
Klar...normal nimmt man ja auch RSTP ! Das Brocade Kommando dafür lautet spanning-tree 8021wenn ich an den Verbindungen STP abschalte, dann bastel ich mit der zweiten Anbindung einen Loop
Das darfst du auch nicht !!!Immer STP bzw. besser noch RSTP anschalten und zwar auf Brocade Seite und auch D-Link Seite !
ACHTUNG: Den Brocade musst du vorher zwingend auf Global Spann bzw. Single Span SSTP umkonfigurieren, da er per Default PVSTP macht !
http://www.brocade.com/content/html/en/configuration-guide/FI_08030_L2/ ...
Bitte nutze beidseitig zwingend RSTP. spann-tree 8021w beim Brocade. RSTP hat ein sub Second Failover, sprich schlatet also unterbrechungsfrei auf die redundanten Links bzw. hilft so sicher Loops zu vermeiden im Netz.
Eine sinnvolle Priorisierung der Root und Backup Root Switche solltest du dann auch immer machen (modulo 4096).
so, läuft jetzt. RSTP konnte ich übrigens nur mit 802-1w aktivieren.
Ist auch genau richtig. Das alte rstp Kommando schaltet einen alten, nicht mehr benutzen Draft, vom RSTP ein !Syntaktisch leider etwas unglücklich, denn Laien würden vermutlich immer denken rstp wäre richtig, was bei Brocade Syntax leider ein Irrtum ist.
Dann Link Aggreagtion auf dem Brocade und D-Link.
Zusammenstecken
Sollte klappen ?!
show lacp bzw. show lag oder show link-aggregate (je nach Firmware) zeigt dir an ob der Trunk aktiv ist.
Dort muss auf Brocade Seite ein (Oper) wie Operational im Output stehen !
Mit dem Brocade macht es langsam richtig Spaß!
So sollte es sein An die HPs muss ich mich noch gewöhnen.
Besser nicht...macht wenig Sinn !Die Firewall (Securepoint v11) droppt alle eingehenden Verbindungen weg
Da sind dann wohl neue Regeln fällig. Ist ja auch vollkommen normal wenn man das FW Interface wechselt ?!wobei ich eth1 und eth2 gebridged habe,
Gebridged auf der Firewall meinst du ??Ist das innerhalb eines Netzes (VLAN) passiert ? Wenn ja hast du hier Spanning Tree beachtet, denn einen Bridge erzeugt einen Loop.
Ggf. hilft es eine kleinen Topologie Zeichnung hier zu posten damit man dein Design etwas besser versteht.
Das Router Uplink Interface ist 10.0.0.1
Das des Internet Routers bzw. der Internet Firewall ???Die Backroutes haben die Form Quelle: "/" Gateway: "10.0.0.1" Ziel: "entspr. VLAN"
Das wäre falsch !!!Wenn denn die 10.0.0.1 das Firewall oder Router Interface ist, oder deine Beschreibung ist etwas missverständlich.
Die Firewall / Router muss ja diese VLAN Netze kennen, also macht man sie dort mit einer lokalen Statischen Route bekannt und sagt ihr an welches Segment sie es schicken muss.
In der Regel wenn das netzwerk sauber designt ist hat man immer ein Transfernetz das den ISP Traffic isoliert von allen Produktivnetzen auf den L3 Switch bringt.
Dort lautet dann die Syntax für die statischen Routen:
Ziel: VLAN-Netz, Maske: VLAN Netzmaske, Gateway: IP Adresse Switch Transfer Netz
Oder war das damit gemeint..?
Das Brocade Interface ist 10.0.0.1/24
Was genau meinst du damit ?? Das ist etwas kryptisch Ist das die IP Adresse auf dem OOB (Management) Interface ?? Oder ist das ein VE Interface also ein L3 Interface in einem VLAN ??
Die Zeichnung hilft leider sehr wenig, denn sie...
- sagt nicht aus WIE eth 1/1/1 und eth 2/1/1 definiert sind im Switch ?? Ist das ein LAG (Link Aggregation) ?? oder 2 simple Ports in VLAN 20. Bei letzterem droht die Gefahr eines Loops
- sagt NICHT was du mit "Brocade Interface" meinst ?? Ist das das VE Interface in VLAN 20 ??
- Mna kann in einem Swicth keinen Route pro VLAN anlegen das ist Unsinn und technisch unmöglich. Die Routing Tabelle gilt für ALLE VLANs ! Ausnahme du arbeitest hier mit VRFs was ja nicht der Fall ist !
Vermutung:
Die Ports eth 1/1/1 und eth 2/1/1 sind untagged in VLAN 20 und bridges in der Firewall, damit hast du dir einen Loop kreiert im Netz !!
Das ist aber jetzt nur geraten.... Es fehlen leider die Details der Konfig ?!
Die Ports sind nicht im VLAN 20, sondern in einem eigenen VLAN 100.
OK, damit generierst du dann aber einen Loop im VLAN 100 und das Netz kollabiert. Bzw. wenn du STP aktiviert hast geht einer der Ports in den Blocking Mode und nur einer ist aktiv.Sehr unproduktiv
Es wäre besser Link Aggregation zu machen auf den Ports und auch auf der Firewall !
kein LAG, aber STP auf den Routern und der FW aktiviert. Keine gute Idee?
Wie befürchtet...STP sorgt dafür das einer der Ports in Blocking geht. Damit sind dann die 2 Links eh sinnfrei. Einer wartet dann nur das der andere kaputt geht was (fast) nie passiert. LAG wäre hier sinnvoller, denn der gibt dir Redundant und die doppelte Bandbreite.
Wäre ein Trunk und das Anlegen der VLANs auf der FW sinnvoller?
Nööö...VLANs nicht, wozu ?? Aber ein Trunk sollte zwingend sein im VLAN 100 aus den o.a. Gründen !
Hi
wieso im Standby? Das ist ein Stack also ein "logisches" Gerät, du kannst z.B. bei Trunks jeweils ein Port auf Switch A und ein Port auf Switch B anschliessen, dann hast eine Absicherung falls dir ein Gerät aussteigt.
In der Stack Anzeige "Active" und "Standby" wird nur dargestellt wer gerade das sagen hat. Im Fehlerfall geht der im Standby als Activer Master ins rennen wenn der primäre ausfällt. Du kannst beide Geräte zu 100% nutzen.
Gruß
@clSchak
wieso im Standby? Das ist ein Stack also ein "logisches" Gerät, du kannst z.B. bei Trunks jeweils ein Port auf Switch A und ein Port auf Switch B anschliessen, dann hast eine Absicherung falls dir ein Gerät aussteigt.
In der Stack Anzeige "Active" und "Standby" wird nur dargestellt wer gerade das sagen hat. Im Fehlerfall geht der im Standby als Activer Master ins rennen wenn der primäre ausfällt. Du kannst beide Geräte zu 100% nutzen.
Gruß
@clSchak
Das wollte ich dich auch noch Fragen: welchen Sinn hat eigentlich eine 10G Verbindung zwischen den Brocades im Stack,
Auf diesem Stack Link rennt ein spezielles Stacking Protokoll was Token basierend ist und kein Blocking macht.Die Firewall kann scheinbar tatsächlich kein LAG
Schwach... Das kann heutzutage jede beliebige Open Source Firewall ja schon !Dann musst du wohl oder übel mit der STP Krücke leben
ich würde gerne ein Gastnetz VLAN 50 einrichten, das vom DHCP Server mit der IP 10.20.1.207 IP Adressen bekommt
Kein Problem ! Muss ich jedes Netzwerk einzeln verbieten und am Ende ein "permit ip any any" setzen?
Nein !Wenn deine internen Netze alle 10.50er Netz sind reicht eine Summary Rule:
access-list 101 deny ip 10.50.1.0 0.0.0.255 10.0.0.0 0.31.255.255
Das blockt dann alle 10er Netz bis 10.31.0.0 (255.224.0.0 Maske)
Die .50.0 ist etwas unglücklich gewählt für eine optimirte CIDR Filterregel , denn es kann das 40er Netz nicht abdecken.
Pfiffiger wäre es du legst das Gastnetz auf die 10.64.0.0, dann kannst du mit einem einzigen Filter arbeiten
10er CIDR Suffix, 255.192.0.0 invers dann 0.63.255.255
Der filtert dann alles bis zur 10.63.x.x
access-list 101 deny ip 10.50.1.0 0.0.0.255 10.0.0.0 0.63.255.255
Für die DHCP Versorgung vom Server vergiss die IP Helper Adresse nicht auf dem VE 50 Layer3 Interface des Switches !! Ohne diesen UDP Forwarder landen die DHCP Requests nicht auf deinem zentralen DHCP Server. Der sollte natürlich dann auch einen Scope für das Segment haben...klar.
Die Helper IP zeigt zur DHCP Server IP.
Nochwas wichtiges !! Die beiden Filter Statements für DHCP:
access-list 101 permit udp 10.50.1.0 0.0.0.255 host 10.20.1.207 eq 67
access-list 101 permit udp 10.50.1.0 0.0.0.255 host 10.20.1.207 eq 68
Sind vollkommen wirkungslos !!
Denk mal etwas nach...
Ein Client der keine IP hat und eine haben will vom Server kann ja niemals eine 10.50.er Absender IP haben ! Wie auch, denn er will ja erst eine IP haben !!!
So ein Client sendet ein Paket logischerweise mit einer Absender IP 0.0.0.0 und einer Ziel IP von 255.255.255.255 (All Net Broadcast), denn DHCP basiert auf Broadcast.
Nimm einen Wireshark zur Hand, dann siehst du es !
Der IP lose Client kann ja niemals wissen das sich sein DHCP Server hinter einer dedizierten IP verbirgt. Folglich kann er also nur Broadcasten !!
Deine Access Liste musst du also entsprechend anpassen bzw. dahingehend korrigieren das DHCP Requests passieren können.