jpzueri 10 Geschrieben 2. Februar 2018 Melden Teilen Geschrieben 2. Februar 2018 Hallo zusammen, ich habe ein kleines Problem mit DHCP. Kann ich mit einer Helper-IP aus einem DUMMY VLAN auf dem DHCP Server mehre Scopes übergreifend ansprechen, dass er aus Scope A, Scope B Scope C oder Scope D IP- Adressen vergibt? - Ist der Rechner ausgeschaltet geht der Switch-Port in ein DUMMY-VLAN und aus diesem Vlan ist nur WoL (OK) und DHCP erlaubt. Beim booten des Rechners bekommt er von einem anderen Server sein VLAN zugeordnet. Die DHCP Anfragen gehen aber noch aus dem DUMMY-VLAN (Helper IP auf dem Router ist eingetragen) Für dieses VLAN/Netz wurde auch ein Scope auf dem DHCP Server angelegt, aber die IP Adressen, die er vergeben soll, befinden sich in mehreren anderen Scopes. Gibt es hierfür eine Lösung? Gruß jpzueri Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 2. Februar 2018 Melden Teilen Geschrieben 2. Februar 2018 Tut mir leid, ich verstehe es nicht: "Beim booten des Rechners bekommt er von einem anderen Server sein VLAN zugeordnet". Das musst mal erklären. Woran erkennt der Switch dass der PC bootet. Vor allen Dingen, wenn er schon einen Link hat wg. WOL. Und welcher Server veranlasst den Switch das VLAN zu ändern? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Februar 2018 Melden Teilen Geschrieben 2. Februar 2018 Moin seit ein, zwei Stunden luscher ich immer wieder hier rein, lese mir es laut vor und versuche es zu verstehen. Aber ich verstehe nur Bahnhof. Ob es anderen Membern auch so geht? Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 2. Februar 2018 Melden Teilen Geschrieben 2. Februar 2018 ich tippe auf 802.1x Zitieren Link zu diesem Kommentar
jpzueri 10 Geschrieben 5. Februar 2018 Autor Melden Teilen Geschrieben 5. Februar 2018 Ja, 802.1x. Sorry, ich wusste nicht, wie ich mein Problem am besten beschreiben kann. Der Switch meldet der Cisco ISE die MAC Adresse von dem PC und bekommt sein VLAN zugeordnet. Die DHCP Anfrage geht aber vorher raus, dass heisst, dass die Anfrage an den DHCP Server in einem anderen Scope landet. Die Frage ist, wie kann ich den DHCP Server dazu bringen, dass er die MAC Adresse in einem anderen Scope sucht? Für jedem Bereich in unserer Firma gibt es einen eigen IP-Pool und die MAC Adresse ist fest an eine IP-Adresse zugeordnet. Die DHCP Anfrage kommt jetzt aber aus einem anderen Scope. Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 5. Februar 2018 Melden Teilen Geschrieben 5. Februar 2018 "Google" mal nach "DHCP radius" Zitieren Link zu diesem Kommentar
jpzueri 10 Geschrieben 5. Februar 2018 Autor Melden Teilen Geschrieben 5. Februar 2018 Danke, bringt mich leider nicht weiter, oder habe ich etwas übersehen? Ich habe nur Zugriff auf die Switche, Firewalls und Cisco ISE. Auf den DHCP Server darf ich nicht zugreifen. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 5. Februar 2018 Melden Teilen Geschrieben 5. Februar 2018 Du wirst einen eigenen scope für das VLAN bauen müssen in dem der noch nicht authentifizierte Rechner sich befindet. Der Rechner bekommt dann eine IP beim einschalten und eine neue nach der Authentifizierung. Zitieren Link zu diesem Kommentar
jpzueri 10 Geschrieben 5. Februar 2018 Autor Melden Teilen Geschrieben 5. Februar 2018 vor 2 Minuten schrieb magheinz: Du wirst einen eigenen scope für das VLAN bauen müssen in dem der noch nicht authentifizierte Rechner sich befindet. Der Rechner bekommt dann eine IP beim einschalten und eine neue nach der Authentifizierung. Wenn das VLAN geändert wurde, meldet sich der PCs erneut beim DHCP Server? Der DHCP Server läuft leider nicht auf der Cisco ISE. Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 5. Februar 2018 Melden Teilen Geschrieben 5. Februar 2018 Sollte er tun. Zumindest wenn kurz mal der Link weg geht... Zitieren Link zu diesem Kommentar
jpzueri 10 Geschrieben 5. Februar 2018 Autor Melden Teilen Geschrieben 5. Februar 2018 vor einer Stunde schrieb zahni: Sollte er tun. Zumindest wenn kurz mal der Link weg geht... Leider nicht. Erst nach dem DHCP Vorgang meldet der Switch die MAC an der Cisco ISE :( Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 5. Februar 2018 Melden Teilen Geschrieben 5. Februar 2018 Dann solltet Ihr richtiges Radius bis zum Gerät machen. MAC-Filter sind her nur Beschäftigungstherapie und kein sicherer Zugangsschutz. https://documentation.meraki.com/MS/Access_Control/Configuring_802.1X_Wired_Authentication_on_a_Windows_7_Client Zitieren Link zu diesem Kommentar
jpzueri 10 Geschrieben 6. Februar 2018 Autor Melden Teilen Geschrieben 6. Februar 2018 Im ersten Schritt hat man sich für MAB entschieden, um all 1400 PCs auf der Cisco ISE einzusammeln. 802.1x kommt leider erst im zweiten Schritt. Daher muss der Server-Administrator das DHCP-Problem lösen können. Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 6. Februar 2018 Melden Teilen Geschrieben 6. Februar 2018 Und woher soll der Client wissen, dass er plötzlich in einem anderen VLAN ist, wenn es am Port geändert wird? Da kann auch der DHCP-Server nichts für. Den Request muss der Client schicken. Eventuell kommt man mit NAP noch weiter. Da fehlen mir aber die Erfahrungen. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 6. Februar 2018 Melden Teilen Geschrieben 6. Februar 2018 vor 13 Stunden schrieb jpzueri: Im ersten Schritt hat man sich für MAB entschieden, um all 1400 PCs auf der Cisco ISE einzusammeln. 802.1x kommt leider erst im zweiten Schritt. Daher muss der Server-Administrator das DHCP-Problem lösen können. Manchmal muss man halt mehrere Schritte auf einmal machen da zwischen diesen Abhängigkeiten bestehen. Was bedeutet MAB, stehe da gerade auf dem Schlauch... Das ist hier kein DHCP-Problem, das scheint mir eher ein Designfehler zu sein, wenn ich dich richtig verstehe. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.