informatikkfm
Goto Top

Aufsplittung Subnetz in VLANs

Hallo,

ich habe hier ein Unternehmensnetzwerk mit dem Subnetz 10.100.0.0 mit einer 16er Netzmaske.
Nun würde ich gerne Teilbereiche in ein eigenes Subnetz inkl. VLAN verlagern. Dazu würde ich z.B. gerne das Subnetz 10.100.10.0 mit einer 24er Netzmaske hernehmen.

Soweit so gut, diese Netze treffen sich dann an einer zentralen Firewall (das zusätzliche Subnetz dann über ein virtuelles VLAN-Interface).
Nun ist dieses Unternehmensnetzwerk noch mit einem zweiten Netzwerk über eine MPLS-Verbindung verbunden. Innerhalb des MPLS-Netzwerkes wird das Netz 10.100.0.0/16 übergeben.

Nun meine zwei Fragen,

1. Würdet ihr die Aufsplittung auch in den von mir oben beschrieben Subnetz machen?
2. Damit das zweite Netzwerk des anderen Standortes dann auf das aufgesplittete Netzwerk zugreifen kann, muss die Regulierung auch auf der Firewall erfolgen, korrekt?

Gruß

Content-ID: 512274

Url: https://administrator.de/contentid/512274

Ausgedruckt am: 13.11.2024 um 08:11 Uhr

aqui
aqui 06.11.2019 aktualisiert um 16:04:36 Uhr
Goto Top
Nun ist dieses Unternehmensnetzwerk noch mit einem zweiten Netzwerk über eine MPLS-Verbindung verbunden.
Welches ?? Das 10.100.10.0 /24 oder das 10.100.0.0 /16
Ist aber auch egal, denn beides würde NICHT gehen !
In der IP Grundschule, lernt jeder Netzwerker in der ersten Klasse das IP Netze einzigartig (disjunkt) sein müssen. Ist auch logisch, denn sonst wäre eine eindeutige Wegefindung völlig unmöglich.
Der Fehler ist bei dir schon mit dem grundlegenden Adressdesign mit Verwendung des gleichen 16er Prefixes an 2 Standorten gemacht worden. Oder war das jetzt missverständlich ausgedrückt oben ??
Nun meine zwei Fragen,
1.
Kann man nicht beantworten, da nicht genau klar ist wie du das oben meinst mit der Adressierung !
Du kannst logischerweise niemals die gleichen oder sich überschneidende IP Netze an 2 Standorten haben die dann zusammengelegt werden. Wie soll das gehen ??
Was geht ist Standort 1 = 10.100.0.0 /16 und Standort 2 = 10.200.0.0 /16
Dort kann man dann Standort spezifisch subnetten so das man das 10.100er Netz in /24er Teilnetze zerlegt und ebenso am 2ten Standort. Was anderes geht IP technisch grundsätzlich nicht. Leuchtet aber auch dir sicher ein.
2.
Nein, das ist generell erst einmal nicht von einer Firewall abhängig sondern zuallererst vom sauberen IP Routing !
Dazu gehört grundlegend das beide IP Netze einzigartig sind und sich IP Bereiche nicht überschneiden.
Erst dann kannst du auf der Firewall mit einem Regelwerk festlegen WER von WELCHEN Netzen WO drauf zugreifen darf. Basis dafür ist aber wie immer ein sauberes IP Routing !
informatikkfm
informatikkfm 06.11.2019 um 16:08:42 Uhr
Goto Top
Hey,

sorry - ich habe mich wohl etwas umständlich ausgedrückt.
Natürlich hat der andere Standort einen anderen Netzbereich.

Standort A = 10.100.0.0 / 16
Standort B = 10.200.0.0 / 16

An Standort A sollen nun Subnetze erzeugt werden, die aber auch von Standort B über die MPLS erreichbar sein sollen.
Im MPLS wird aktuell das gesamte Netzwerk 10.100.0.0/16 rübergeroutet.
aqui
aqui 06.11.2019 aktualisiert um 16:19:48 Uhr
Goto Top
Puuhh, ein Glück ! face-wink
Ja natürlich, das geht dann völlig problemlos. An Standort A ist ja eine /16er Router 10.200.0.0 auf den Standort B und vice versa am Standort B dann alles was mit 10.100.0.0 anfängt auf Standort A.
Das inkludiert ja natürlich auch alle deine /24er Netze dort.
Für die IP Route ist das egal. Die sagt sich: "Alles was mit 10.200.x.y anfängt" in der IP Adresse ab dafür zum Standort B und andersrum.Subnetzmasken sind der Route dann egal.
Klar, denn der Router/Firewall an Standort A weiss ja dann das es dort eine /24er Adressierung gibt und ordnet die IP Pakete dann wieder sauber dem entsprechenden Zielnetz zu.
Klassisches IP Routing mit einer CIDR Route wie es im Lehrbuch steht... face-wink
informatikkfm
informatikkfm 06.11.2019 um 16:18:14 Uhr
Goto Top
Okay,
wenn ich also ein VLAN mit der ID 100 und dem Subnetz 10.100.100.0/24 schaffen möchte,
dann muss ich auf der Firewall dem Interface ja auch eine IP-Adresse geben (10.100.100.1 z.B.), korrekt?

Denn L3 Switche sind nicht vorhanden.
aqui
aqui 06.11.2019 aktualisiert um 16:22:19 Uhr
Goto Top
Ja, das ist korrekt.
Die Firewall VLAN Adresse lautet dann 10.100.100.1 und die Maske 255.255.255.0 (wenn man korrekt ist, denn die Maske hattest du oben vergessen ! face-wink )
Grundlagen zu VLANs auf Firewalls auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Stiglitz
Lösung Stiglitz 06.11.2019 um 16:23:45 Uhr
Goto Top
Wo es jedoch problematisch wird ist beim Aufteilen deiner Subnetze an deinem Standort.

Wenn du ein Netz 10.100.0.0/16 betreibst, kannst du nur schwer und mit viel frickelein ein neues Subnetz mit 10.100.10.0/24 aufbauen, da dieses im gleichen bereich liegt wie das 16er Netz! (10.100.10.25/16 ist eine gültige Client Adresse, so wie auch 10.100.10.25/24) Wohin soll das also jetzt weiter geroutet werden? Die Anfrage kommt generell in Richtung 10.100.10.25/32.

Wenn, dann müsstest du das 10.100.0.0/16 aufbrechen in Subnetze und das 16er nicht weiter Betreiben.

Also z.B.
10.100.0.0/24
10.100.1.0/24
.
.
.
10.100.10.0/24


Alternativ das Subnetting mit einem neuen Bereich beginnen z.B. 10.101.10.0/24
Wobei dann vorerst dieses Netzwerk dann ohne Anpassung nicht durchs MPLS netz geroutet wird.


Die Route im MPLS ist völlig in Ordnung, da sie einfach nur alle Adressen abeckt. Ob da jetzt ein Subnet, mehrere kleine oder nur Host Adressen hinten dran liegen ist der Route durchs MPLS netz egal.

Grüße

Stig
Stiglitz
Stiglitz 06.11.2019 aktualisiert um 16:28:04 Uhr
Goto Top
Auch 10.100.100.0/24 wird nicht funktionieren. Liegt ebenfalls innerhalb 10.100.0.0/16 (Host-Adressbereich 10.100.0.1 - 10.100.255.254)
aqui
Lösung aqui 06.11.2019 aktualisiert um 16:42:43 Uhr
Goto Top
Das ist ein richtiger Einwand, sollte aber auch klar sein !
Ein IP Netz dort mit einem 16er Prefix darf es dann natürlich nicht mehr geben ! Der muss dann immer größer sein.
Wenn es ein /16er Altnetz dort gibt muss das entsprechend anders gesubnettet werden, das ist klar, denn sonst hätte man wieder überschneidende IP Netze wie Kollege @Stiglitz schon richtig sagt.
Beispiel:
Altnetz = 10.100.0.0 /18 (Hosts von .0.1 bis .63.254)
Neues VLAN 100 = 10.100.100.0 /24

Um das Maximum rauszuholen kannst du ein ggf. vorhandenes /16er Altnetz mit einem /17er Prefix teilen:
Das Altnetz wäre dann der Bereich 10.100.0.0 /17 (Hosts von .0.1 bis .127.254) Maske: 255.255.128.0
IP Adressen über .127.254 wären dann in diesem Netzwerk Tabu !! Dann kannst du die /24er VLANs ab .128.0 einrichten.
Oder andersrum: Unterer Teil VLAN oberer Teil Altnetz. Das muss man dann je nach verwendeter Altnetz Adress Range entscheiden und ggf. DHCP usw. anpassen.
Die CIDR Routen mit dem /16er Prefix über beide Standorte können dann natürlich bleiben, das ist klar. Da muss man nix ändern. Nur lokal die Masken und DHCP.

Das gleiche gilt dann natürlich auch für den Standort B sollte dort ein /16er Netz in Benutzung sein (hoffentlich nicht ?!)
Generell:
/16er Netze zu benutzen ist eigentlich Unsinn und meist ein laienhafter Design Fehler, denn technisch kann man niemals so viele Engeräte in einer Layer 2 Broadcast Domain unterbringen.
Die goldene Netzwerker Adress Design Regel sagt immer: Nie mehr als 150 Endgeräte (plus minus) in einer Layer 2 Domain !
informatikkfm
informatikkfm 06.11.2019 um 16:55:45 Uhr
Goto Top
Also wäre es eigentlich erst schlauer die 16er Netzmaske aufzubrechen und dann bzw. währenddessen mit der Segmentierung in unterschiedliche VLANs zu beginnen.
Das wird aber sicherlich in einiger Arbeit enden (ca. 150 Hosts). Die 16er Maske stammt noch aus der Vergangenheit und ist leider auch am zweiten Standort so gewählt.
Stiglitz
Stiglitz 06.11.2019 um 17:14:50 Uhr
Goto Top
Wenn du keine neuen Routen einrichten möchtest, ist es der einzige Weg.

Alternativ kannst du wie schon erwähnt auch komplett neue Bereiche "Subnetze" Definieren, solange die ausserhalb der 10.100.0.0/16 liegen. Die musst du dann halt noch ins Routing aufnehmen (beim anderen Standort so wie auch beim MPLS Betreiber) und dann nach und nach die Geräte vom alten ins neue Netzwerk umziehen.
Dies hätte den Vorteil, dass du das neue Netz parallel ohne stress aufbauen kannst.


Für das Routing ein "größeres" subnetz (kleinere Subnetmask) zu nutzen (wie jetzt auch) ist absolut in Ordnung, da es den Aufwand erspart jedes Subnetz einzeln als Route zu definieren. (Solange jedes der beinhalteten Subnetze am gleichen "Endpunkt" entweder "terminiert" oder weiter geroutet wird.
An einem Punkt (Firewall/Router/Switch) wird das dann wieder in entsprechende Subnetze "aufgeteilt".

- Also Anfrage auf 10.101.10.25/32 wird ins MPLS geschickt
- Route 10.101.0.0/16 zeigt auf MPLS Ausgangspunkt an Standort A
- Router/Firewall an Standort A weiß in welchem Subnetz die 10.101.10.25 liegt und schmeist es in das entsprechende Subnet/Interface/VLAN
aqui
aqui 06.11.2019 um 18:24:37 Uhr
Goto Top
Also wäre es eigentlich erst schlauer die 16er Netzmaske aufzubrechen
Nicht nur schlauer das musst du sogar machen wenn du das Netz neu und sinnvoll aufteilen willst wie du es jetzt vorhast. Eigentlich hätte man das schon viel früher machen müssen. Letztlich bist du also auf dem richtigen Weg das zu segmentieren.
Die 16er Maske stammt noch aus der Vergangenheit und ist leider auch am zweiten Standort so gewählt.
Wie so häufig. Da hat einer ohne Fachkenntnisse leider was verbrochen.
Es ist aber nicht zu spät damit anzufangen. Besser jetzt als nie !
Wenn du Glück hast dann ziehen sich das Gros der 150 Hosts ihre IP per DHCP ?!
Dann musst du nur mit 3 Mausklicks eine neue Maske setzen am Router und am DHCP, was in 5 Minuten erledigt ist.
Alles Hosts einmal rebooten oder bis zum nächsten Morgen warten bis die sich eine neue IP ziehen, dann sind die DHCP Rechner schon mal alle umgestellt.
Bei den statischen musst du Hand anlegen.
Wenn du Glück hast befinden sich alle unterhalb der .128.0 also alle zwischen .0.0 und .127.254 oder eben alle im oberen Bereich zwischen .128.0 und .255.254 dann hast du Glück und musst gar nichts machen außer im Betrieb die Subnetzmaske ändern, fertisch.
Doof wäre es wenn die über den gesamten Bereich verteilt sind. Das machen Laien wie derjenige der das Konzept mal "verbrochen" hat aber in der Regel nie sondern bleiben immer bei 0.0. und zählen dann einfach höher.
Das ist dann deine Chance.
Leider sagst du zu deiner aktuellen Host IP Adress Verteilung ja nix so das wir hier nur allgemeine Vorschläge machen können face-sad
Alternativ kannst du wie schon erwähnt auch komplett neue Bereiche "Subnetze" Definieren
Das kann man natürlich machen, hat aber den großen Nachteil das du den MPLS Provider dann mit ins Boot holen muss, denn der muss diese IP Netze dann auf den MPLS Koppelroutern bekannt geben sonst klappt es nicht.
Kommt drauf an wie aüfwändig das ist. Vorteil ist dann das es ohne Umschaltstress geschehen kann.
Ansonsten wenn du einen Freitag nachmittag oder abend aml ein Wartungsfenster ankündigst ist das auch schnell erledigt. Einmal Schmerzen aber danach ist dann Ruhe ohne den MPLS Provider um Dienstleistung zu fragen.
Deine Entscheidung....
informatikkfm
informatikkfm 07.11.2019 um 08:16:57 Uhr
Goto Top
Ja, das sind halt immer wieder die berühmten Altlasten.
Ich werde dort den Weg zur Änderung der Subnetze vorschlagen und dann muss man, wie du schon sagtest, einmal den Schmerz erleiden aber danach ist auch Ruhe.

Einzelne "Gerätekategorien" (z.B. Kameras, Handhelds, IP-Telefone, Drucker) wurden in Unterbereiche des Subnetz, jedoch auch mit einer 16er Maske, verfrachtet. Ich denke aber, dass das nur der Sortierung oder Ordnung dienen sollte.

Was wäre denn ein schlauer Weg für die Umstellung? Zeitfenster sind sicherlich ab Freitag Nachmittag über das Wochenende möglich.
Gibt eine Firewall die das Internet bereitstellt und die Netzwerkswitche sind nur auf Layer 2-Basis, daher gehe ich davon aus, dass die Segmente sich alle auf der Firewall treffen und dort durch die entsprechenden Policys berechtigt werden.

Die Firewall hat die IP-Adresse 10.100.0.1/16, ein Server aus dem Netzwerk die 10.100.0.101. Der Drucker hat 10.100.10.10 o.ä.
Es gibt einen DHCP-Bereich für 10.100.80.0/16.

So würde ich für die Migration erstmal die Subnetze inkl. VLANs definieren:

Drucker, VLAN 10, Subnetz 10.100.10.0/24
DHCP, VLAN 80, Subnetz 10.100.80.0/24
usw.

Diese würde ich dann auf den Switchen konfigurieren und auf der Firewall mit einem eigenen VLAN-Interface (Drucker VLAN hat z.B. 10.100.10.1 als Gateway dann?).

Gruß
aqui
aqui 07.11.2019 um 09:03:34 Uhr
Goto Top
Einzelne "Gerätekategorien" (z.B. Kameras, Handhelds, IP-Telefone, Drucker) wurden in Unterbereiche des Subnetz, jedoch auch mit einer 16er Maske, verfrachtet.
Das geht natürlich nicht mehr ! Wie oben schon mehrfach gesagt ist der /16er Prefix an den Standorten dann absolut Tabu !!
Die Endgeräte müssen dann Masken passend zu ihrem Subnetz haben. In der Regel bekommen aber Handhelds, Telefone und Drucker ihre Adressen per DHCP. Und einen DHCP Server stellt man in einer Minute mit einem simplen Mausklick auf eine neue Maske ein.
Was wäre denn ein schlauer Weg für die Umstellung?
Wie schon vermutet und du auch oben siehst haben alle deine Geräte im Altnetz rein nur in der "unteren" Hälfte des /16er Netzes IP Adressen. Da bietet sich ja dann die oben genannte "Halbierung" an. Sprich du nutzt dann die untere Hälfte für das Altnetz und teilst die obere Hälfte in deine /24er Subnetze.
Damit kannst du dann später im Betrieb und ohne Downtime sanft und Stück für Stück alle weiteren Endgeräte aus dem Altnetz in die neuen /24er Segmente migrieren.
Das wäre der beste Weg.
Anfangen tust du mit der "Halbierung" des Altnetzes um den oberen Teil des Adressraums frei zu haben für deine /24er Migration.
ToDos genau in dieser Reihenfolge:
  • Firewall IP bleibt aber die Maske setzt du auf 255.255.128.0 (/17)
  • Als nächstes den DHCP Bereich. Range usw. alles belassen nur Maske hier ebenfalls auf 255.255.128.0 (/17) setzen.
  • Dann den Server und Drucker. Auch hier IP bleibt gleich nur rein die Maske auf /17 ändern 255.255.128.0
Fertig.
Damit hast du dann das alte Hauptnetz auf eine /17 geändert und alles sollte so weiterlaufen wie gehabt.
Jetzt hast du den gesamten Adressraum 10.100.128.0 bis 10.100.255.254 frei für deine /24 Subnetze.
WICHTIG:
Mache dir VORHER immer einen IP Adressplan wie du diese Netze adressieren willst ! Z.B.
  • 10.100.210.0 /24 = VLAN 10
  • 10.100.220.0 /24 = VLAN 20
  • 10.100.230.0 /24 = VLAN 30
usw. Da kannst du eigene Kreativität walten lassen.

Wenn jetzt das Altnetz sauber rennt mit der /17er Maske kannst du ganz in Ruhe deine VLANs einrichten auf den Switches und den Uplinks und auf der Firewall und die entsprechenden Gateway IPs der VLANs auf der Firewall.
Das kannst du sogar ohne Downtime während des Betriebs machen.
Stehen die VLANs, dann kannst du auch sukzessive und Schritt für Schritt die Endgeräte in die neuen VLAN IP Segmente umstecken.
Auch das kann man später im Betrieb machen, denn dadurch das alles per Routing verbunden ist funktionieren alle Endgeräte in ihrem neuen VLAN sofort weiter.
Das wäre der sanfte Weg...

Du kannst es aber auch gleich radikal machen und dir den /17er Umweg und die Schritt für Schritt Migration daraus sparen und gleich alles in /24er Subnetze packen.
Das erfordert zwar etwas mehr Arbeit und Zeit bei der Umstellung aber du hast es dann gleich richtig.
Anfangen tust du dann auch hier zuerst mit der Firewall indem die eine neue /24er Maske bekommt.
Dann den Server im Server Segment
Dann den DHCP Bereich
So hast du erstmal die 3 größten und wichtigsten Segmente schnell wieder am laufen. Den Kleinkram mit Kameras und Druckern machst du dann zum Schluss.
Final dann deine Entscheidung ob du einen weichen oder einen harten Cut machst.
informatikkfm
informatikkfm 07.11.2019 um 09:38:47 Uhr
Goto Top
Moin,

die Aufsplittung in ein /17er Netz wäre kein Problem,
wenn nicht Systeme auch in den Bereichen .150 / .180 hinterlegt wären.

Diese kann ich aus dem Netzbereich leider nicht so einfach entfernen.

D.h. es würde am Ende nur der harte Cut funktionieren .. ?
aqui
aqui 07.11.2019 aktualisiert um 10:04:43 Uhr
Goto Top
wenn nicht Systeme auch in den Bereichen .150 / .180 hinterlegt wären.
Mist, ja das ist dann doof. Da hat derjenige der diesen /16er Unsinn "verbrochen" hat ja ganze Arbeit geleistet face-sad
Dann bleibt nur etwas längere (Umstellungs) Schmerzen und der Hard Cut ! face-wink
Mit etwas Hilfe ist das aber bei überschaubaren 150 Clients schnell erledigt. Es sollte dann immer nach Wichtigkeit gehen, sprich die Firewall Router zuerst, dann Server, dann den Rest. Und...
Mache einen IP Adressplan !
informatikkfm
informatikkfm 07.11.2019 aktualisiert um 11:20:11 Uhr
Goto Top
Ja, das habe ich mir schon gedacht.

In was für ein VLAN würdest du denn Switche, USV, NAS usw. packen? Gemeinsames? Oder getrennt?
Und würdest du Drucker auch separat in ein VLAN verfrachten? Oder gemeinsam zu den "Clients"?
aqui
aqui 07.11.2019 aktualisiert um 13:50:01 Uhr
Goto Top
Der kluge Netzwerker richtet sich dafür immer ein separates Management VLAN ein jedenfalls was die reine Infrastruktur ist wie USV, Switches, Firewall usw.
Das blockt man mit einer Regel das nicht jeder Hansel im Netz drauf Zugriff hat sondern nur die Admins. So verhindert man Angriffe auf die Infrastruktur.
Ein NAS sollte immer ins gleiche Segment wie Server.
Drucker kann man immer ins Client Segment packen sofern die eine überschaubare Anzahl haben.
Sowas kann man als Außenstehender in einem Forum immer sehr schlecht beurteilen, denn manchmal machen auch organisatore VLANs Sinn wie die Entwicklungs Abteilung oder der Vorstand.
Das kannst und solltest DU besser beurteilen können was Sinn in eurem Umfeld macht.
So die Allweltsklassiker die man in Firmennetzen immer trennt sind:
  • Server, NAS, Storage
  • Voice, Telefonie
  • Clients, Drucker
  • WLAN und besonders Gast WLAN
  • DMZ für Zugänge nach außen
informatikkfm
informatikkfm 07.11.2019 um 15:27:24 Uhr
Goto Top
Ich sehe gerade noch ein "Problem",
die Firewall hängt in der selben Segmentierung wie die Server (10.100.0.1 Firewall, 10.100.0.100 z.B. ein Server).

Hmm.
aqui
aqui 07.11.2019 um 15:54:38 Uhr
Goto Top
Das ist generell ja kein Problem...
Entweder belässt du sie erstmal dann im Firewall Segment. Oder konfigurierst sie statisch um auf deine neues /24 Server Segment.
Letzteres muss man aber genau prüfen. Wenn es Endgeräte gibt die die Server IP irgendwo hardgecodet haben in Konfig oder was auch immer hängen die erstmal dann im Nirwana.
Da ist es dann ggf. einfacher um den Streßpegel gering zu halten die im Firewall Segment zu belassen und sie dann später irgendwann mal umzuziehen.