Zum Inhalt springen

Cisco-Netz: DHCP-Snooping


Empfohlene Beiträge

Geschrieben

Salut ...

Ich habe Probleme beim Konfigurieren von DHCP-Snooping.

Netzwerk:


HSRP-Router (Cisco 2821)

¦¦

|--------|-- Client's VLAN 20: 172.16.18.51 - 172.16.18.199

| Switch |

| Cisco  |-- DHCP-Server VLAN 20: 172.16.18.200

| 2960   |

|--------|-- Clients VLAN 10: 172.16.17.51 - 172.16.18.199
Ohne DHCP-Snooping funktioniert die ganze IP-Zuweisung ohne Probleme, doch sobald ich DHCP-Snooping aktivieren, bekomme ich aus dem VLAN10 keine IP's mehr, VLAN20 funktioniert weiterhin, da dort wohl auch der DHCP-Server drinn ist. Auf den Routern wurde nicht umkonfiguriert. Danke für die Hilfe - gfagfa Konfigurationsauszug des Switches:
!

version 12.2

!

ip subnet-zero

no ip source-route

!

ip dhcp snooping vlan 10,20

ip dhcp snooping

!

errdisable recovery cause dhcp-rate-limit

!

spanning-tree mode pvst

spanning-tree extend system-id

spanning-tree backbonefast

!

vlan internal allocation policy ascending

!

interface FastEthernet0/1 - 12

 description Edge Port

 switchport access vlan 10

 spanning-tree portfast

!

interface FastEthernet0/13 - 19

 description Edge Port

 switchport access vlan 20

 spanning-tree portfast

!

interface FastEthernet0/20

 description DHCP-Server

 switchport access vlan 20

 spanning-tree portfast

 ip dhcp snooping trust

!

interface FastEthernet0/21 - 24

 switchport access vlan 20

 spanning-tree portfast

!

interface GigabitEthernet0/1 - 2

 description ** HSRP-Router 1 & 2 **

 switchport mode trunk

 speed 1000

 ip dhcp snooping trust

!

interface Vlan1

 description ** VLAN1 **

 ip address 172.16.16.11 255.255.255.0

 ip helper-address 172.16.18.200

 no ip redirects

 no ip route-cache

!

interface Vlan10

 description ** VLAN10 **

 no ip address

 ip helper-address 172.16.18.200

 no ip redirects

 ip directed-broadcast 101

 no ip route-cache

!

interface Vlan20

 description ** VLAN20 **

 no ip address

 ip helper-address 172.16.18.200

 no ip redirects

 ip directed-broadcast 101

 no ip route-cache

!

ip default-gateway 172.16.16.5

ip http server

ip http secure-server

access-list 101 permit udp 172.16.18.0 0.0.0.255 any

!

control-plane

Geschrieben

Hi,

folgendes Ausschnitte solltest du mal vergleichen:

interface FastEthernet0/1 - 12

description Edge Port

switchport access vlan 10

spanning-tree portfast --> vlan 10

interface FastEthernet0/20

description DHCP-Server

switchport access vlan 20

spanning-tree portfast

ip dhcp snooping trust --> vlan 20

Wenn ich die Config richtig gelesen habe, erkenne ich nirgendwo, dass du dem VLAN 10 sagst, dass die Ports von VLAN 10 auf trust stehen. Also kann das nicht funktionieren.

mfg

Geschrieben

Hi,

Die Ports von VLAN10 sollen ja auch nicht auf Trust stehen ... es existiert ja genau ein DHCP-Server im VLAN 20 Port 20

soweit ich das verstanden habe, müssen doch nur die Ports auf Trust stehen, welche vom Client zum DHCP-Server führen ... Diese laufen über Gi 0/1 und Gi 0/2, welche ja auf trust stehen ...

wenn ich alle Ports auf Trust Stelle, dann ist es wieder möglich, eine IP von einem andern DHCP-Server im Subnet zu bekommen, der schneller Antwortet ... und dies will ich ja genau mit dem Snooping verhindern ... oder verstehe ich die Funktion von DHCP-Snooping falsch?

Danke für die Hilfe

Gruss gfagfa

Geschrieben

So ich nochmal,

soweit ich es verstehe aktivierst du das Spoofing, indem du es den VLANs zuordnest.

Wenn ich dich jetzt richtig verstehe hast du das in der Conf so geregelt, dass du sagst wo der Server steht und das dieser sich im VLAN20 befindet. Trotzdem musst du VLAN10 zuweisen damit er weis, dass du diese beiden Netzte durch das Spoofing schützen willst.

mfg

Geschrieben

...

Laut der Cisco-Webseite aktiviere ich das Snooping mit folgendem:

ip dhcp snooping
Mit diesem sage ich nun, dass ich das Snooping auf den VLan's 10 und 20 aktivieren will:
ip dhcp snooping vlan 10,20
bei den drei Ports vertraue ich ihnen so:
ip dhcp snooping trust
Danach gibt es einen show-Befehl mit folgender Ausgabe:
Switch#show ip dhcp snooping

Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

10,20

DHCP snooping is operational on following VLANs:

10,20

DHCP snooping is configured on the following Interfaces:


Insertion of option 82 is enabled

   circuit-id format: vlan-mod-port

    remote-id format: MAC

Option 82 on untrusted port is not allowed

Verification of hwaddr field is enabled

Verification of giaddr field is enabled

DHCP snooping trust/rate is configured on the following Interfaces:

Interface                    Trusted     Rate limit (pps)

------------------------     -------     ---------------- 

FastEthernet0/20             yes         unlimited

GigabitEthernet0/1           yes         unlimited

GigabitEthernet0/2           yes         unlimited

Switch#

Das sagt mir, dass es sowohl im VLAN10 als auch im VLAN20 aktiv ist ...

Geschrieben

... und wenn cisco das empfiehlt, damit löse ich mein Problem trotzdem nicht ...

Habe das Problem nun selber beheben können ...

bin auf folgendes im Internet gestossen:

In residential, metropolitan Ethernet-access environments, DHCP can centrally manage the IP address assignments for a large number of subscribers. When the DHCP snooping option-82 feature is enabled on the switch, a subscriber device is identified by the switch port through which it connects to the network (in addition to its MAC address). Multiple hosts on the subscriber LAN can be connected to the same port on the access switch and are uniquely identified.

Nun habe ich folgende Konfiguration geändert:

no ip dhcp snooping information option

nun funktioniert es plötzlich ...

Danke für die Hilfe ...

Gruss - gfagfa

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...