Cisco SG550 ACL - DHCP funktioniert nicht
Hallo zusammen,
mir fehlt (vermutlich) nur ein kleines Detail in meiner Konfiguration, ich hoffe auf ein wenig Hilfe von euch:
SG550XG-8F8T (2er Stack) => Core als Router
verbunden mit LAG LACP mit
SG550X-48MP (2x 2er Stack)
Einige wenige VLANs vergeben (1-5)
Wifi AP Gastnetzwerk in VLAN4 (192.168.4.x) an den Client Switches
DHCP Server dafür im Core SG550XG-8F8T (192.168.4.20)
ACL sieht folgendes vor (Ziel: Gast soll in kein anderes Subnetz, nur Internet)
ip access-list extended Gastnetz
deny ip 192.168.4.0 0.0.0.255 192.168.0.0 0.0.0.255 ace-priority 10
deny ip 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255 ace-priority 20
deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255 ace-priority 30
deny ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255 ace-priority 40
deny ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0.255 ace-priority 50
permit ip 192.168.4.0 0.0.0.255 any ace-priority 100
Ich bekomme in der Konfiguration aber keine IP Adresse vom DHCP obwohl der sich ja mit 192.168.4.20 im VLAN 4 befindet.
Wenn ich das VLAN ACL Binding auf "permit all" stelle klappt es - "deny all" klappt nicht.
Damit müsste ja nur eine Regel fehlen oder?
LG
Marco
mir fehlt (vermutlich) nur ein kleines Detail in meiner Konfiguration, ich hoffe auf ein wenig Hilfe von euch:
SG550XG-8F8T (2er Stack) => Core als Router
verbunden mit LAG LACP mit
SG550X-48MP (2x 2er Stack)
Einige wenige VLANs vergeben (1-5)
Wifi AP Gastnetzwerk in VLAN4 (192.168.4.x) an den Client Switches
DHCP Server dafür im Core SG550XG-8F8T (192.168.4.20)
ACL sieht folgendes vor (Ziel: Gast soll in kein anderes Subnetz, nur Internet)
ip access-list extended Gastnetz
deny ip 192.168.4.0 0.0.0.255 192.168.0.0 0.0.0.255 ace-priority 10
deny ip 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255 ace-priority 20
deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255 ace-priority 30
deny ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255 ace-priority 40
deny ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0.255 ace-priority 50
permit ip 192.168.4.0 0.0.0.255 any ace-priority 100
Ich bekomme in der Konfiguration aber keine IP Adresse vom DHCP obwohl der sich ja mit 192.168.4.20 im VLAN 4 befindet.
Wenn ich das VLAN ACL Binding auf "permit all" stelle klappt es - "deny all" klappt nicht.
Damit müsste ja nur eine Regel fehlen oder?
LG
Marco
Please also mark the comments that contributed to the solution of the article
Content-Key: 487553
Url: https://administrator.de/contentid/487553
Printed on: April 24, 2024 at 22:04 o'clock
2 Comments
Latest comment
mir fehlt (vermutlich) nur ein kleines Detail in meiner Konfiguration
Wie immer... Ich bekomme in der Konfiguration aber keine IP Adresse vom DHCP
Denk mal ein klein wenig selber nach....!!! Dann siehst du dir mal deine IP ACL an und denkst nochmal nach !Siehst du den Fehler ? Nein ? Warum nicht...?
Welche IP Absender Adresse hat denn ein DHCP Request ?? Richtig...die 0.0.0.0 ! Wireshark ist dein Freund....
Siehst du die irgendwo in deiner ACL ?? Wir nicht und deshalb kommen auch keine DHCP Requests durch diese ACL, logisch !
Ein permit udp any eq bootps any am Anfang der ACL sollte dich erlösen !
Guckst du auch hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV