Hallo Zusammen,
da ich schon zweimal in diesem Forum gut Antworten bekommen habe, versuche ich mit meinem aktuellen Problem auch mal wieder mein Glück hier.
Meine Ausgangssituation:
Ich habe für mehrere Schulen Netzwerke neu aufgebaut (bin dort direkt angestellt, nicht als Externer tätig). Dabei kommen LW-600 APs, diverse Lancom PoE Switche, ein WLC-1000 und ein XS-5110F als Core-Switch zum Einsatz. Auf dem Core-Switch sind einige VLANs (für Verwaltung, Lehrkräfte, jeden Jahrgangs etc.) eingerichtet. Die VLANs haben eigene IP-Ranges und einige davon auch den internen DHCP-Server. Zugang zum WLAN bekommt man nur über 802.1x mit Radius und LDAP Verzeichnis.
Was bisher geschah:
Soweit, sogut. Lief bisher alles wunderbar, alles funktioniert so, wie es geplant und angedacht war. Nun habe ich in der ersten Schule neben Verwaltung und Lehrkräften das WLAN auch für ca. 800 Schülerinnen und Schüler freigegeben. Internet via OPNSense nur für die Oberstufe (ist aber auch nicht wichtig). Der Traffic wird über ACLs geregelt.
Die Probleme:
Seit dem habe ich Probleme mit dem DHCP Server. Der Switch meldet im Log nach nur 160-170 angemeldeten Geräten, dass ihm die IP-Adressen ausgegangen seien. Neue Geräte bleiben mit 0.0.0.0 hängen oder haben eine 169.254, sin dalso nicht an ein egültige IP gekommen.
Ich habe bei den IP Einstellungen für die VLANs die einzelnen VLANs inzwischen auf einen /16er Bereich erweitert (zuvor /21). Ebenso beim DHCP Server. Nutzt alles nicht. Kaum stehen exakt 229 Einträge in der DHCP Server Binding Table, fängt der Ärger an. Lösche ich Einträge raus, können sofort wieder neue Leases vergeben werden. Bis wieder 229 erreicht sind.
Fragezeichen:
Jetzt frage ich mich, was da los ist. 229 ist so eine krumme Zahl, da kan nich mir keinen Reim drauf machen. Kennt ihr solche Beschränkungen im XS-51110F? War ja schon mal an einer Grenze mit nur 16 VLANs, die einen DHCP Server bekommen können. Hat aber gerade so gereicht. Jetz scheint mir, dass ich schon wieder an eine Grenze stoße. Vielleicht ist ja auch die Idee, den Core-Swicht das DHCP machen zu lassen, unsinnig. War nur so schön nahe bei den VLANs, da hat es sich angeboten.
Bin neugierig, wie ihr so etwas aufbaut und ob ihr vielleicht schon mal von diesem merkwürdigen Verhalten gehört habt.
Vielen Dank schon mal im Voraus.
Peter
XS-5110F DCHP-Pools gehen viel zu frühe die IP Adressen aus
Moderator: Lancom-Systems Moderatoren
Re: XS-5110F DCHP-Pools gehen viel zu frühe die IP Adressen aus
Moin,
meinereiner nutzt den DHCP-Server im Switch nur als Notnagel oder im LAB.
Den Dienst sollten Geräte bereitstellen, die es "beruflich" machen (Router, DHCP-Server oder auch dein WLC).
VG
meinereiner nutzt den DHCP-Server im Switch nur als Notnagel oder im LAB.
Den Dienst sollten Geräte bereitstellen, die es "beruflich" machen (Router, DHCP-Server oder auch dein WLC).
VG
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...
Re: XS-5110F DCHP-Pools gehen viel zu frühe die IP Adressen aus
Wenn es nicht auf maximale Routing-Performance ankommt, ist es heute eher unüblich Routing-Aufgaben auf dem Switch abzubilden.
Ich würde für das Routing zwischen Sicherheitszonen (in deinem Fall pädagogisches Netz / Verwaltung / Schüler) eine Firewall einsetzen und auf dieser dann das DHCP Relay zum zentralen DHCP Server abbilden.
ACL auf dem Switch haben den Nachteil, dass sie nicht stateful arbeiten. Damit könnte ein Angreifer in den üblichen Szenarien aus einem Servernetz nahezu alle Ziele innerhalb eines client-Netzes angehen.
Wenn es auf die Routingperformance ankommt, kann man das in unterschiedliche VRF Kontexte je Sicherheitskontext eingrenzen und dann jeweils über ein eigenes Transfernetz zur Firewall bringen.
Gegen den zentralen DHCP Server spricht häufig nur das Lizenz-Thema (microsoft und die access-CALs). Wenn es kein Microsoft-Produkt ist, auf dem der DHCP Server läuft, hast du auch das CAL-Thema nicht.
Ich würde für das Routing zwischen Sicherheitszonen (in deinem Fall pädagogisches Netz / Verwaltung / Schüler) eine Firewall einsetzen und auf dieser dann das DHCP Relay zum zentralen DHCP Server abbilden.
ACL auf dem Switch haben den Nachteil, dass sie nicht stateful arbeiten. Damit könnte ein Angreifer in den üblichen Szenarien aus einem Servernetz nahezu alle Ziele innerhalb eines client-Netzes angehen.
Wenn es auf die Routingperformance ankommt, kann man das in unterschiedliche VRF Kontexte je Sicherheitskontext eingrenzen und dann jeweils über ein eigenes Transfernetz zur Firewall bringen.
Gegen den zentralen DHCP Server spricht häufig nur das Lizenz-Thema (microsoft und die access-CALs). Wenn es kein Microsoft-Produkt ist, auf dem der DHCP Server läuft, hast du auch das CAL-Thema nicht.
Gruß Lukas
Re: XS-5110F DCHP-Pools gehen viel zu frühe die IP Adressen aus
Hallo Zusammen,
vielen Dnak für eure Hinweise und Ratschläge, die ich mir zu Herzen genommen habe. Inzwischen habe ich einen eigenen KEA-DHCP-Server unter Ubuntu in das Netz integriert, der alle DHCP Aufgaben übernimmt. In einer Proxmox Umgebung ist das schnell erledigt. Die gesamte Umgebung ist übrigens auf Linux und Open Source Komponenten ausgerichtet.
Die Geschichte mit den ACL werde ich mir noch einmal anschauen. Danke für den Tipp. Evtl. würde ich dann auch eine virtuelle Maschine als Firewall zur Trennung und zum Routing der VLANs nutzen. Die Hardware Firewall am Perimeter soll sich ausschließlich um den Perimeter kümmern. Ich muss aber mal schauen, wie es mit der Performance aussieht. Wir haben schon etwas Routing-Last zwicshen den VLANs, da zum Beispiel Schülerinnen und Schüler mit Ihren Geräten (unterschiedliche VLANs nach Jahrgang) auf Digitalboards (anderes VLAN) spiegeln können sollen. Oder so einfache Dinge wie die Isolation des VLANs für die Schulsozialarbeit. Oder solche Dinge halt, nicht wildes und eigentlich mit ACLs einfach zu erledigen. Aber natürlich ist der Sicherheitsaskpekt viel relevanter. Werde mal schauen, wie ich das umsetzen kann.
VG Peter
vielen Dnak für eure Hinweise und Ratschläge, die ich mir zu Herzen genommen habe. Inzwischen habe ich einen eigenen KEA-DHCP-Server unter Ubuntu in das Netz integriert, der alle DHCP Aufgaben übernimmt. In einer Proxmox Umgebung ist das schnell erledigt. Die gesamte Umgebung ist übrigens auf Linux und Open Source Komponenten ausgerichtet.
Die Geschichte mit den ACL werde ich mir noch einmal anschauen. Danke für den Tipp. Evtl. würde ich dann auch eine virtuelle Maschine als Firewall zur Trennung und zum Routing der VLANs nutzen. Die Hardware Firewall am Perimeter soll sich ausschließlich um den Perimeter kümmern. Ich muss aber mal schauen, wie es mit der Performance aussieht. Wir haben schon etwas Routing-Last zwicshen den VLANs, da zum Beispiel Schülerinnen und Schüler mit Ihren Geräten (unterschiedliche VLANs nach Jahrgang) auf Digitalboards (anderes VLAN) spiegeln können sollen. Oder so einfache Dinge wie die Isolation des VLANs für die Schulsozialarbeit. Oder solche Dinge halt, nicht wildes und eigentlich mit ACLs einfach zu erledigen. Aber natürlich ist der Sicherheitsaskpekt viel relevanter. Werde mal schauen, wie ich das umsetzen kann.
VG Peter