14
Cisco DHCP Broadcast unterbinden
Guten Morgen zusammen,
ich habe eine kleine Herausforderung für mich und bitte euch um Hilfe.
Wir haben ein Netzwerk mit fünf VLANs in drei von diesen fünf VLANs läuft ein DHCP Server.
VLAN 10: Kein DHCP Server (und darf auch nicht)
VLAN 20: Kein DHCP Server (und darf auch nicht)
VLAN 30: DHCP Server aktiv
VLAN 40: DHCP Server aktiv
VLAN 50: DHCP Server aktiv
Jetzt soll der Switch (Cisco Catalyst 2960x) so eingestellt werden das falls, jemand einen Router der einen aktivierten DHCP-Server hat diesen am Switch einsteckt den DHCP Broadcast nicht weitergibt.
Muss ich das auf dem VLANs einrichten oder an den dementsprechenden Ports am Switch?
Habe mich da schon mal auf der Cisco Website zum Thema DHCP Snopping eingelesen aber, ich werde noch nicht ganz schlau daraus.
Hat da jemand eine Idee wie ich das am besten umsetze.
Gruß
ich habe eine kleine Herausforderung für mich und bitte euch um Hilfe.
Wir haben ein Netzwerk mit fünf VLANs in drei von diesen fünf VLANs läuft ein DHCP Server.
VLAN 10: Kein DHCP Server (und darf auch nicht)
VLAN 20: Kein DHCP Server (und darf auch nicht)
VLAN 30: DHCP Server aktiv
VLAN 40: DHCP Server aktiv
VLAN 50: DHCP Server aktiv
Jetzt soll der Switch (Cisco Catalyst 2960x) so eingestellt werden das falls, jemand einen Router der einen aktivierten DHCP-Server hat diesen am Switch einsteckt den DHCP Broadcast nicht weitergibt.
Muss ich das auf dem VLANs einrichten oder an den dementsprechenden Ports am Switch?
Habe mich da schon mal auf der Cisco Website zum Thema DHCP Snopping eingelesen aber, ich werde noch nicht ganz schlau daraus.
Hat da jemand eine Idee wie ich das am besten umsetze.
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 514572
Url: https://administrator.de/contentid/514572
Printed on: April 18, 2024 at 02:04 o'clock
14 Comments
Latest comment
Moin,
DHCP Snooping muss auf allein Geräten aktiv sein und eben nur der vertrauenswürdige DHCP erlaubt sein.
Keine Ahnung wie das bei Cisco ist, aber im normal Fall wird das pro VLan konfiguriert.
Gruß
Spirit
DHCP Snooping muss auf allein Geräten aktiv sein und eben nur der vertrauenswürdige DHCP erlaubt sein.
Keine Ahnung wie das bei Cisco ist, aber im normal Fall wird das pro VLan konfiguriert.
Gruß
Spirit
1
Keine Ahnung wie das bei Cisco ist
Its all on the web...! 
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/software ...
http://www.nwlab.net/know-how/Cisco/dhcp-snooping.html
Ist in 2 Minuten auf dem Catalyst erledigt.
1
Hallo aqui,
Danke für die Links.
Wenn ich es richtig verstanden habe müsste es so sein.
Gruß
Danke für die Links.
Wenn ich es richtig verstanden habe müsste es so sein.
conf t
ip dhcp snooping
ip dhcp snooping vlan 10,20,30,40,50
int gi1/0/1
switchport access vlan 10
ip dhcp snooping untrust
int gi1/0/2
switchport access vlan 50
ip dhcp snooping trust
ip dhcp snooping limit rate 50Gruß
Jepp, richtig !
Danke, für das Feedback. 
Nur nochmal für mich als Erklärung:
ip dhcp snooping global aktivieren:
ip dhcp snooping blocken/unterbinden auf dem jeweiligen Port (wenn jemand einen Router mit aktiviertem DHCP Server einsteckt)
ip dhcp snooping erlauben auf dem jeweiligen Port (DHCP Server erlauben)
ip dhcp snooping erlauben auf dem jeweiligen Upink Port
Schlussendlich heißt es es werden auf Port 1 DHCP Anfragen nicht weitergegeben und somit keine IP Adressen vergeben.
Auf Port 2 werden dann DHCP Anfragen weitergegeben und somit IP Adressen vergeben.
Gruß
Nur nochmal für mich als Erklärung:
ip dhcp snooping global aktivieren:
ip dhcp snooping
ip dhcp snooping vlan 10,20,30,40,50ip dhcp snooping blocken/unterbinden auf dem jeweiligen Port (wenn jemand einen Router mit aktiviertem DHCP Server einsteckt)
int gi1/0/1
switchport access vlan 10
ip dhcp snooping untrustip dhcp snooping erlauben auf dem jeweiligen Port (DHCP Server erlauben)
int gi1/0/2
switchport access vlan 50
ip dhcp snooping trustip dhcp snooping erlauben auf dem jeweiligen Upink Port
int gi1/0/48
switchport mode trunk
ip dhcp snooping trustSchlussendlich heißt es es werden auf Port 1 DHCP Anfragen nicht weitergegeben und somit keine IP Adressen vergeben.
Auf Port 2 werden dann DHCP Anfragen weitergegeben und somit IP Adressen vergeben.
Gruß
Alles richtig !
1
Auch hier danke, für das Feedback.
Kann ich eigentlich ein Subnetz bzw. mehrere Subnetze auf einem Port erlauben?
Wenn ja, wie?
Habe da nichts gefunden oder überlesen.
Gruß
Kann ich eigentlich ein Subnetz bzw. mehrere Subnetze auf einem Port erlauben?
Wenn ja, wie?
Habe da nichts gefunden oder überlesen.
Gruß
Ja, das geht mit Secondary IP Adresses ! (ip address x.y.z.h secondary)
Du solltest aber immer im Hinterkopf haben das das NICHT Standard konform ist ! Grund ist das dann unvollständige ICMP Handling auf so einem Port.
Sowas kann man temporär machen für eine IP Adressmigration für die es auch gedacht ist aber nicht in einen produktiven Setup auf Dauer.
Solche Klimmzüge zeugen eigentlich immer von falschem oder fehlerhaften IP Adressdesign.
Dennoch funktioniert es aber technisch.
Du solltest aber immer im Hinterkopf haben das das NICHT Standard konform ist ! Grund ist das dann unvollständige ICMP Handling auf so einem Port.
Sowas kann man temporär machen für eine IP Adressmigration für die es auch gedacht ist aber nicht in einen produktiven Setup auf Dauer.
Solche Klimmzüge zeugen eigentlich immer von falschem oder fehlerhaften IP Adressdesign.
Dennoch funktioniert es aber technisch.
1
Ok, alles klar.
Das würde dann so aussehen..
ip dhcp snooping global aktivieren:
ip dhcp snooping blocken/unterbinden auf dem jeweiligen Port (wenn jemand einen Router mit aktiviertem DHCP Server einsteckt mit der Ausnahme des Secondary IP Adressbereichs )
ip dhcp snooping erlauben auf dem jeweiligen Port (DHCP Server erlauben)
ip dhcp snooping erlauben auf dem jeweiligen Upink Port
Das müsste dann so aussehen wenn man einen IP Adressbereich Temporär erlauben möchte.
Das würde dann so aussehen..
ip dhcp snooping global aktivieren:
ip dhcp snooping
ip dhcp snooping vlan 10,20,30,40,50int gi1/0/1
switchport access vlan 10
ip dhcp snooping untrust
ip address 192.168.10.0 255.255.255.0 secondaryint gi1/0/2
switchport access vlan 50
ip dhcp snooping trustint gi1/0/48
switchport mode trunk
ip dhcp snooping trustDas müsste dann so aussehen wenn man einen IP Adressbereich Temporär erlauben möchte.
Fast.... Das hier ist ja völliger Unsinn:
int gi1/0/1
switchport access vlan 10
ip dhcp snooping untrust
ip address 192.168.10.0 255.255.255.0 secondary
Das sollte dir doch auch klar sein das das konfigtechnisch so nicht geht eine IP auf einem L2 Switchport zu definieren, denn ein Switchport ist immer nur eine reine Layer 2 Konfig.
Der Switchport gehört zum VLAN 10 und das ist doch beim Cisco IOS auch immer das Layer 3 IP Interface !
Richtig sähe das so aus:
!
int gi1/0/1
description Endgeraeteport im VLAN10
switchport mode access
switchport access vlan 10
!
int vlan 10
description Layer 3 Interface zum VLAN10
ip address 192.168.10.0 255.255.255.0
(ip address 172.16.10.0 255.255.255.0 secondary)
ip dhcp snooping untrust
!
So wird ein Schuh draus !
Aber Achtung. Da die Secondary IPs nicht standardkonform sind haben sie erhebliche Einschränkungen. ICMP Steuerpakete in dem Segment werden ausschliesslich nur von der Primary IP gesendet. DHCP Snooping wird vermutlich auch nicht mit der Secondary IP klappen aber das musst du mal testen.
int gi1/0/1
switchport access vlan 10
ip dhcp snooping untrust
Das sollte dir doch auch klar sein das das konfigtechnisch so nicht geht eine IP auf einem L2 Switchport zu definieren, denn ein Switchport ist immer nur eine reine Layer 2 Konfig.
Der Switchport gehört zum VLAN 10 und das ist doch beim Cisco IOS auch immer das Layer 3 IP Interface !
Richtig sähe das so aus:
!
int gi1/0/1
description Endgeraeteport im VLAN10
switchport mode access
switchport access vlan 10
!
int vlan 10
description Layer 3 Interface zum VLAN10
ip address 192.168.10.0 255.255.255.0
(ip address 172.16.10.0 255.255.255.0 secondary)
ip dhcp snooping untrust
!
So wird ein Schuh draus !
Aber Achtung. Da die Secondary IPs nicht standardkonform sind haben sie erhebliche Einschränkungen. ICMP Steuerpakete in dem Segment werden ausschliesslich nur von der Primary IP gesendet. DHCP Snooping wird vermutlich auch nicht mit der Secondary IP klappen aber das musst du mal testen.
Hast natürlich Recht. Denkfehler von mir. IP gehört an das VLAN
Werde morgen alles Testen und berichten
Werde morgen alles Testen und berichten
Wir sind gespannt...
Hallo,
Testaufbau gemacht, befehle eigegeben, leider ohne Erfolg.
Den Befehl ip dhcp snooping untrust kennt er nicht.
Auch nach etwas suchen auf der Cisco Website leider den Fehler nicht gefunden.
Wenn ich einen DHCP Server einstecke bekommt er immer eine IP zugewiesen.
Gruß
Testaufbau gemacht, befehle eigegeben, leider ohne Erfolg.
Den Befehl ip dhcp snooping untrust kennt er nicht.
Auch nach etwas suchen auf der Cisco Website leider den Fehler nicht gefunden.
Wenn ich einen DHCP Server einstecke bekommt er immer eine IP zugewiesen.
conf t
ip dhcp snooping
ip dhcp snooping vlan 10
int vlan 10
ip address 192.168.10.0 255.255.255.0
int range gi1/0/1-8
switchport mode access
switchport access vlan 10
ip dhcp snooping untrust
int gi1/0/48
ip dhcp snooping trustGruß
Was kennt er denn generell wenn du mal "ip dhcp ?" eingibst ??
Hier stehen eigentlich alle grundlegenden ToDos dazu:
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/s ...
Hier stehen eigentlich alle grundlegenden ToDos dazu:
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/s ...
1
