DHCPでIPアドレスが付与されないトラブル

 22, 2009 18:45
ACLの書き方を失敗して、DHCPでIPアドレスが貰えなくなるトラブルを発生させてしまったので、
忘れないようにメモ

Trunkしている物理ポートにACLを適用する必要があり、以下のように設定しました

interface GigabitEthernet1/0/1
switchport access vlan 10
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10,20
switchport mode trunk
ip access-group 100 in

interface Vlan10
ip address 192.168.1.1 255.255.255.0

interface Vlan20
ip address 192.168.2.1 255.255.255.0


access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 100 permit ip 192.168.2.0 0.0.0.255 host 10.1.1.1


要は、
Vlan10からの通信は全て通し、
Vlan20からの通信は10.1.1.1のみに制限、という設定を適用するつもりでした。

この設定の問題は、DHCPがブロードキャストを使って動作するという
根本的な仕様について忘れていた点です。

PCのIPアドレスが付与されていない状態で通信が発生したら暗黙のdenyに撥ねられますよね。


下記の設定を追加を追加して解決
■DHCP関係のパケットを通すACL
access-list 100 permit udp any any eq 67
access-list 100 permit udp any any eq 68

もしくは
access-list 100 permit udp any any eq bootps
access-list 100 permit udp any any eq bootpc

Tag:DHCP


COMMENT 0


WHAT'S NEW?