Toon posts:

DHCP probleem ism VLAN/ACL

Pagina: 1
Acties:

Onderwerpen

Apple iOS Cisco Ccna

donderdag 31 maart 2011 13:45

Acties:
  • 0 Henk 'm!
  • Novo
  • Registratie: December 2007
  • Laatst online: 30-04 18:58

Novo

Topicstarter
Momenteel ben ik bezig met het behalen van mijn CCNA. Naast de standaard Cisco Labs probeer ik mijn kennis zelf te testen zonder casus of lab. Hiervoor gebruik ik Packet Tracer ( :') ).

Mijn netwerk bestaat uit drie routers met achter elke router verschillende VLAN's. De VLAN's zijn "uit veiligheidsoverwegingen" voorzien van ACL's. De hosts in elk VLAN hebben nu nog een statisch IP-adres.
Graag zou ik met behulp van de DHCP functionaliteit in IOS, de hosts in de verschillende VLAN's voorzien van een dynamisch IP adres.

Het probleem is echter dat de DHCP requests van de hosts failen zodra ik een ACL toepas. De ACL pas ik toe op de default gateway van een VLAN. Wanneer ik de ACL dus niet toepas of deze verwijder krijgen de hosts wel gewoon een DHCP toegewezen.

Wat ik weet is dat een DHCP request broadcast is dus had ik een udp any any statement toegevoegd aan mijn ACL's wat weinig verschil uit maakte.

Deel van de config op de router:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89

Building configuration...

Current configuration : 7466 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R1
!
ip dhcp excluded-address 10.1.10.254
ip dhcp excluded-address 10.1.11.254
!
ip dhcp pool R1-110
 network 10.1.10.0 255.255.255.0
 default-router 10.1.10.254
 dns-server 10.1.14.10
ip dhcp pool R1-111
 network 10.1.11.0 255.255.255.0
 default-router 10.1.11.254
 dns-server 10.1.14.10
!
no ip domain-lookup
!
interface GigabitEthernet0/0
 ip address 10.1.0.1 255.255.255.252
!
interface GigabitEthernet1/0
 ip address 10.2.0.2 255.255.255.252
!
interface GigabitEthernet2/0
 ip address 200.33.18.1 255.255.255.252
!
interface GigabitEthernet3/0
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet3/0.110
 encapsulation dot1Q 110
 ip address 10.1.10.254 255.255.255.0
!
interface GigabitEthernet3/0.111
 encapsulation dot1Q 111
 ip address 10.1.11.254 255.255.255.0
!
interface GigabitEthernet3/0.1000
 encapsulation dot1Q 1000 native
 ip address 10.1.255.254 255.255.255.252
!
router rip
 version 2
 passive-interface GigabitEthernet2/0
 passive-interface GigabitEthernet3/0
 passive-interface GigabitEthernet3/0.110
 passive-interface GigabitEthernet3/0.111
 passive-interface GigabitEthernet3/0.1000
 network 10.0.0.0
 default-information originate
!
ip classless
ip route 0.0.0.0 0.0.0.0 GigabitEthernet2/0 
!
ip access-list extended VLAN110-2110
 permit ip 10.1.10.0 0.0.0.255 host 10.1.14.3
 permit ip 10.1.10.0 0.0.0.255 host 10.1.14.7
 permit ip 10.1.10.0 0.0.0.255 host 10.1.14.8
 permit ip 10.1.10.0 0.0.0.255 host 10.1.14.9
 permit ip 10.1.10.0 0.0.0.255 host 10.1.14.10
 permit ip 10.1.10.0 0.0.0.255 10.1.15.0 0.0.0.255
 permit ip 10.1.10.0 0.0.0.255 10.1.10.0 0.0.0.255
ip access-list extended VLAN111-2111
 permit ip 10.1.11.0 0.0.0.255 host 10.1.14.3
 permit ip 10.1.11.0 0.0.0.255 host 10.1.14.7
 permit ip 10.1.11.0 0.0.0.255 host 10.1.14.9
 permit ip 10.1.11.0 0.0.0.255 host 10.1.14.10
 permit ip 10.1.11.0 0.0.0.255 host 10.2.15.5
 permit ip 10.1.11.0 0.0.0.255 10.1.11.0 0.0.0.255
 permit ip 10.1.11.0 0.0.0.255 10.1.15.0 0.0.0.255
!
line con 0
 logging synchronous
 login
line vty 0 4
 logging synchronous
 login
!
end


Mocht iemand mij kunnen helpen hoor ik het graag.

donderdag 31 maart 2011 14:34

Acties:
  • 0 Henk 'm!
  • wiked
  • Registratie: Augustus 2008
  • Laatst online: 17-06-2020

wiked

Wijsheid =/= kennis

Als je nu met een access list poort 67 toelaat ?(dhcp port)
Btw: service password-encryption zou ik ook toepassen.. Nu kan je in geen vijf seconden een password achterhalen.

[ Voor 57% gewijzigd door wiked op 31-03-2011 15:51 ]

Wijsheid & kennis zijn meer dan informatie, een verzameling van bytes

donderdag 31 maart 2011 16:49

Acties:
  • 0 Henk 'm!
  • Novo
  • Registratie: December 2007
  • Laatst online: 30-04 18:58

Novo

Topicstarter
wiked schreef op donderdag 31 maart 2011 @ 14:34:
Als je nu met een access list poort 67 toelaat ?(dhcp port)
Btw: service password-encryption zou ik ook toepassen.. Nu kan je in geen vijf seconden een password achterhalen.
Dank je voor je post.

Ik pas nu geen encryptie toe omdat geheel draait in de virtuele omgeving van Packet Tracer.

De DHCP request komen nu door de ACL's heen. Hiervoor heb ik de volgende statements gebruikt:
code:
1
2
3

permit udp host 0.0.0.0 eq bootpc host 10.1.10.254 eq bootps
permit udp 10.1.10.0 0.0.0.255 eq bootpc host 10.1.10.254 eq bootps
permit udp any eq bootpc host 255.255.255.255 eq bootps


10.1.10.254 is hierbij de default gateway.
Bron
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq