[CISCO IOS] DHCP disablen op specifiek VLAN - Netwerken

vrijdag 14 juni 2013 14:57

Acties:

Topicstarter

De situatie is alsvolgt, ik heb in een Cisco871 met 2 vlan's ingesteld waarvan er één voor de gasten is en één voor het bedrijfsnetwerk.

Bedrijfsnetwerk: 192.168.20.0/24
In het bedrijfsnetwerk regelt een Windows (AD) server de DHCP.
De Cisco871 moet hier dus geen DHCP in aanbieden.

Gasten: 192.168.0.0/24
In het gastennetwerk wil ik de router wél graag de DHCP laten afhandelen.

Hoe voorkom ik dat op het bedrijfsnetwerk, vlan2, dhcp wordt aangeboden vanuit de router, terwijl op vlan1 wel dhcp addressen worden aangeboden?

Ik heb onderstaande instellingen bedacht maar kan nergens een voorbeeld van een config vinden voor deze situatie. Omdat het een productie draaiend netwerk is durf ik niet zo snel te experimenteren

code:

!
ip dhcp excluded-address 192.168.20.0 192.168.20.255
!
ip dhcp pool vlan1
   network 192.168.0.0 255.255.255.0
   default-router 192.168.0.254
   dns-server 192.168.20.254
   lease 7
!
interface FastEthernet0
 switchport access vlan 2
 no cdp enable
!
interface FastEthernet1
 no cdp enable
!
interface Vlan1
 description VLan for Guests
 ip address 192.168.0.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no autostate
!
interface Vlan2
 description VLan for main LAN
 ip address 192.168.20.253 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!

vrijdag 14 juni 2013 15:07

Acties:

roughtodacore

Ip helper adres instellen op het VLAN waar je WEL DHCP wilt. Ip helper adres verwijzen naar de AD server met DHCP role. Op het bedrijfs (server?) VLAN geen IP helper adres aanbieden.

Vervolgens op de DHCP server voor dat specifieke VLAN ip range instellen welke IP adressen uitgedeeld mogen worden etc.

!
ip dhcp excluded-address 192.168.20.0 192.168.20.255
!
ip dhcp pool vlan1
network 192.168.0.0 255.255.255.0
default-router 192.168.0.254
dns-server 192.168.20.254
lease 7
![/center][/b]

Uit jouw config halen en op het specifiek VLAN IP-helper instellen.

[ Voor 33% gewijzigd door roughtodacore op 14-06-2013 15:09 ]

Alles kan, zolang het maar mogelijk is...

vrijdag 14 juni 2013 15:32

Acties:

JasperE

Topicstarter

Met die config zou ik de Windows AD DCHP server al het DHCP werk voor beide VLAN's laten afhandelen.

Wat ik graag wil is dat de DHCP daemon op de Cisco adressen uitdeelt op het gasten-vlan, en dat de DHCP daemon op de AD server adressen uitdeelt op het bedrijfsnetwerk.

De twee netwerken draaien dan 'stand-alone' van elkaar.

[ Voor 9% gewijzigd door JasperE op 14-06-2013 15:33 ]

vrijdag 14 juni 2013 15:34

Acties:

plizz

Je configuratie is bijna goed voor vlan 1 (Guest) met DHCP. De router DHCP geeft geen ip adres uit aan de clients in vlan 2, omdat je een een hele ip adres reeks exclude. Ik zou "ip dhcp excluded-address 192.168.20.1 192.168.20.20" en "ip dhcp excluded-address 192.168.20.60 192.168.20.254" kiezen als voorbeeld. Dan geeft de router de ip adres 192.168.0.21 t\m 192.168.0.59 aan de clients.

Ik zou "ip helper-address x.x.x.x" gebruiken bij interface vlan 2 als de DHCP server in een andere subnet\netwerk zit. Als de DHCP server in 192.168.20.x netwerk zit dan hoef je de "ip helper-address x.x.x.x" commando niet te gebruiken in interface vlan 2.

vrijdag 14 juni 2013 15:52

Acties:

JasperE

Topicstarter

plizz schreef op vrijdag 14 juni 2013 @ 15:34:
De router DHCP geeft geen ip adres uit aan de clients in vlan 2, omdat je een een hele ip adres reeks exclude.

Dat ik ook precies de bedoeling. Dat doet de windows active directory server daar. De Cisco moet alléén uitdelen in het guest network.

Dan nog een vraag,

Zorgt het dikgedrukte regel in de config hieronder ervoor dat de dchp daemon op de cisco router alleen actief is in vlan1, dat op datzelfde 192.168.0.0/24 subnet zit?
(En de Cisco dus géén adressen uitdeelt in vlan2 op network 192.168.20.0/24? Dat is mijn voornaamste zorg, dat doet de windows server al.)

!
ip dhcp pool vlan1
network 192.168.0.0 255.255.255.0
!

In vlan2 zit de dhcp server in hetzelfde 192.168.20.0/24 subnet, ip-helper is dus niet nodig denk ik.

Daarom had ik de exclude op de gehele 192.168.20. range gezet, de guest 192.168.0 range is dus wél vrij. Die exclude zou toch geen effect moeten hebben op het functioneren van de 192.168.0. range?

[ Voor 47% gewijzigd door JasperE op 14-06-2013 15:57 ]

vrijdag 14 juni 2013 16:05

Acties:

plizz

Met het diktedrukte statement zeg je dat het netwerk 192.168.0.0 met subnetmasker 255.255.255.0 is. De router koppelt de pool vlan1 aan de interface die ook in het 192.168.0.0 netwerk zit. In dit geval interface vlan 1. Dus de router gaat geen ip adres uitdelen aan clients in vlan 2.

vrijdag 14 juni 2013 17:06

Acties:

Oid

denk dat je anders moet redeneren, laat beide VLAN's wel DHCP request accepteren, maar voor VLAN forward je deze dmv de ip helper.

http://jaydiennetworksolu...e-vlans-cisco-871-router/ een voorbeeld, als ik je config zo bekijk zou ik de exclude er uit gooien en voor VLAN2 een ip helper instellen, dan klopt het geheel.

maandag 17 juni 2013 11:16

Acties:

JasperE

Topicstarter

Oid schreef op vrijdag 14 juni 2013 @ 17:06:
denk dat je anders moet redeneren, laat beide VLAN's wel DHCP request accepteren, maar voor VLAN forward je deze dmv de ip helper.

http://jaydiennetworksolu...e-vlans-cisco-871-router/ een voorbeeld, als ik je config zo bekijk zou ik de exclude er uit gooien en voor VLAN2 een ip helper instellen, dan klopt het geheel.

Een ip helper-address is toch alleen nodig als je DHCP server buiten het subnet van je vlan staat?
In mijn geval staat de DHCP voor vlan2 ook in vlan2. Er hoeven dus geen DHCP broadcasts doorgestuurd te worden naar andere subnets.

Zie ook: https://supportforums.cisco.com/thread/2148413

[ Voor 4% gewijzigd door JasperE op 17-06-2013 11:28 ]

maandag 17 juni 2013 22:13

Acties:

Shinji

Is inderdaad nergens voor nodig. Je DHCP pool op de router zal alleen ip adressen uitdelen op de interface die in dat netwerk zit.

Zie screenshot, PC1 hangt aan FA0/0/1 en zit dus in vlan 1. PC0 zit in vlan2 aan FA0/0/0.

http://sdrv.ms/11H0IiX

Hier ook nog de packet tracer file:
http://sdrv.ms/14GvSMR (dhcp.pkt)

Enige dat je dus moet aanpassen is dat die exclude niet nodig is. Je kan hem laten staan maar het doet verder niks.

[ Voor 16% gewijzigd door Shinji op 17-06-2013 22:19 ]

maandag 17 juni 2013 23:01

Acties:

CyBeR

💩

Ehm, aangezien je geen pool hebt voor de adressen in vlan2 gebeurt daar als 't goed is al niks. Dus gewoon zoals je 't hebt zou 't goed moeten zijn volgens mij. Die exclude is inderdaad zelfs compleet overbodig aangezien je nergens adressen hebt die geëxclude zouden worden.

[ Voor 26% gewijzigd door CyBeR op 17-06-2013 23:01 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 19 juni 2013 09:06

Acties:

JasperE

Topicstarter

Mooi! De wijzigingen zijn doorgevoerd en het draait als een zonnetje.
De router deelt inderdaad IP adressen uit aan alle telefoons/tablets en laptops die in vlan1 hangen terwijl vlan2 ongewijzigd door draait.

(Meteen ook vlan1->vlan2 traffic gereguleerd tot wat minimaal nodig is met een access list. )