gfagfa Geschrieben 12. November 2009 Geschrieben 12. November 2009 Salut ... Ich habe Probleme beim Konfigurieren von DHCP-Snooping. Netzwerk: HSRP-Router (Cisco 2821) ¦¦ |--------|-- Client's VLAN 20: 172.16.18.51 - 172.16.18.199 | Switch | | Cisco |-- DHCP-Server VLAN 20: 172.16.18.200 | 2960 | |--------|-- Clients VLAN 10: 172.16.17.51 - 172.16.18.199 Ohne DHCP-Snooping funktioniert die ganze IP-Zuweisung ohne Probleme, doch sobald ich DHCP-Snooping aktivieren, bekomme ich aus dem VLAN10 keine IP's mehr, VLAN20 funktioniert weiterhin, da dort wohl auch der DHCP-Server drinn ist. Auf den Routern wurde nicht umkonfiguriert. Danke für die Hilfe - gfagfa Konfigurationsauszug des Switches: ! version 12.2 ! ip subnet-zero no ip source-route ! ip dhcp snooping vlan 10,20 ip dhcp snooping ! errdisable recovery cause dhcp-rate-limit ! spanning-tree mode pvst spanning-tree extend system-id spanning-tree backbonefast ! vlan internal allocation policy ascending ! interface FastEthernet0/1 - 12 description Edge Port switchport access vlan 10 spanning-tree portfast ! interface FastEthernet0/13 - 19 description Edge Port switchport access vlan 20 spanning-tree portfast ! interface FastEthernet0/20 description DHCP-Server switchport access vlan 20 spanning-tree portfast ip dhcp snooping trust ! interface FastEthernet0/21 - 24 switchport access vlan 20 spanning-tree portfast ! interface GigabitEthernet0/1 - 2 description ** HSRP-Router 1 & 2 ** switchport mode trunk speed 1000 ip dhcp snooping trust ! interface Vlan1 description ** VLAN1 ** ip address 172.16.16.11 255.255.255.0 ip helper-address 172.16.18.200 no ip redirects no ip route-cache ! interface Vlan10 description ** VLAN10 ** no ip address ip helper-address 172.16.18.200 no ip redirects ip directed-broadcast 101 no ip route-cache ! interface Vlan20 description ** VLAN20 ** no ip address ip helper-address 172.16.18.200 no ip redirects ip directed-broadcast 101 no ip route-cache ! ip default-gateway 172.16.16.5 ip http server ip http secure-server access-list 101 permit udp 172.16.18.0 0.0.0.255 any ! control-plane Zitieren
Gammagandolf Geschrieben 12. November 2009 Geschrieben 12. November 2009 Hi, folgendes Ausschnitte solltest du mal vergleichen: interface FastEthernet0/1 - 12 description Edge Port switchport access vlan 10 spanning-tree portfast --> vlan 10 interface FastEthernet0/20 description DHCP-Server switchport access vlan 20 spanning-tree portfast ip dhcp snooping trust --> vlan 20 Wenn ich die Config richtig gelesen habe, erkenne ich nirgendwo, dass du dem VLAN 10 sagst, dass die Ports von VLAN 10 auf trust stehen. Also kann das nicht funktionieren. mfg Zitieren
gfagfa Geschrieben 12. November 2009 Autor Geschrieben 12. November 2009 Hi, Die Ports von VLAN10 sollen ja auch nicht auf Trust stehen ... es existiert ja genau ein DHCP-Server im VLAN 20 Port 20 soweit ich das verstanden habe, müssen doch nur die Ports auf Trust stehen, welche vom Client zum DHCP-Server führen ... Diese laufen über Gi 0/1 und Gi 0/2, welche ja auf trust stehen ... wenn ich alle Ports auf Trust Stelle, dann ist es wieder möglich, eine IP von einem andern DHCP-Server im Subnet zu bekommen, der schneller Antwortet ... und dies will ich ja genau mit dem Snooping verhindern ... oder verstehe ich die Funktion von DHCP-Snooping falsch? Danke für die Hilfe Gruss gfagfa Zitieren
Gammagandolf Geschrieben 12. November 2009 Geschrieben 12. November 2009 Ja du hast recht, sorry das war dann mal ein Verständnisproblem von mir. ich guck mal ob ich dann noch was anderes finde. mfg Zitieren
Gammagandolf Geschrieben 12. November 2009 Geschrieben 12. November 2009 Ich find jetzt auf den ersten Blick nicht woran das liegt. Aber ich schau weiter. Du kannst dich ja auf der Cisco Support Seite schleich machen. Der Link ist hier. mfg Zitieren
Gammagandolf Geschrieben 12. November 2009 Geschrieben 12. November 2009 So ich nochmal, soweit ich es verstehe aktivierst du das Spoofing, indem du es den VLANs zuordnest. Wenn ich dich jetzt richtig verstehe hast du das in der Conf so geregelt, dass du sagst wo der Server steht und das dieser sich im VLAN20 befindet. Trotzdem musst du VLAN10 zuweisen damit er weis, dass du diese beiden Netzte durch das Spoofing schützen willst. mfg Zitieren
gfagfa Geschrieben 12. November 2009 Autor Geschrieben 12. November 2009 ... Laut der Cisco-Webseite aktiviere ich das Snooping mit folgendem: ip dhcp snooping Mit diesem sage ich nun, dass ich das Snooping auf den VLan's 10 und 20 aktivieren will: ip dhcp snooping vlan 10,20 bei den drei Ports vertraue ich ihnen so: ip dhcp snooping trust Danach gibt es einen show-Befehl mit folgender Ausgabe: Switch#show ip dhcp snooping Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 10,20 DHCP snooping is operational on following VLANs: 10,20 DHCP snooping is configured on the following Interfaces: Insertion of option 82 is enabled circuit-id format: vlan-mod-port remote-id format: MAC Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled Verification of giaddr field is enabled DHCP snooping trust/rate is configured on the following Interfaces: Interface Trusted Rate limit (pps) ------------------------ ------- ---------------- FastEthernet0/20 yes unlimited GigabitEthernet0/1 yes unlimited GigabitEthernet0/2 yes unlimited Switch# Das sagt mir, dass es sowohl im VLAN10 als auch im VLAN20 aktiv ist ... Zitieren
Gammagandolf Geschrieben 12. November 2009 Geschrieben 12. November 2009 Und wenn du im VLAN10 jeden EDGEPort extra auf Trusted setz? Das wird jedenfalls von Cisco empfohlen. Zitieren
gfagfa Geschrieben 12. November 2009 Autor Geschrieben 12. November 2009 ... und wenn cisco das empfiehlt, damit löse ich mein Problem trotzdem nicht ... Habe das Problem nun selber beheben können ... bin auf folgendes im Internet gestossen: In residential, metropolitan Ethernet-access environments, DHCP can centrally manage the IP address assignments for a large number of subscribers. When the DHCP snooping option-82 feature is enabled on the switch, a subscriber device is identified by the switch port through which it connects to the network (in addition to its MAC address). Multiple hosts on the subscriber LAN can be connected to the same port on the access switch and are uniquely identified. Nun habe ich folgende Konfiguration geändert: no ip dhcp snooping information option nun funktioniert es plötzlich ... Danke für die Hilfe ... Gruss - gfagfa Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.