DNS (DHCP) Platzierung bei mehreren Subnetzen
Hallo zusammen,
folgendes Szenario:
In einem Bürogebäude sollen mehrere (getrennte, unabhängige) Büros geschaffen werden. Für die einzelnen Büros soll die gesamte IT-Infrastruktur (Netzwerk, Internet, VoIP) bereitgestellt werden. Im Netzwerk wird ein Switch (Cisco 3560G) und eine Firewall (Juniper SSG5) eingesetzt. Jedes Büro soll sein eigenes Netzwerk (VLAN) erhalten, um unabhängig von den anderen arbeiten zu können und um den anderen nicht in die Quere zu kommen. Die Netzwerkteilnehmer jedes Büros sollen per DHCP ihre IP Adresse erhalten. Es soll ein zentraler DNS Server die Anfragen aller Büros beantworten. Ebenfalls sollten in diesem DNS Server Einträge für die einzelnen Büros gemacht werden können.
Nun meine Frage:
Wo soll der DNS Server platziert werden? Wie soll der DNS Server realisiert werden?
Was ich bisher getan habe:
Auf der SSG läuft momentan der DHCP Server für die einzelnen Subnetze/VLANs. Das funktioniert auch alles ganz prächtig. Da die SSG jedoch eine Filterkiste ist, kann auf ihr ja (wie ich erfahren habe ) kein DNS Server laufen.
Nun wo soll ich den DNS Server platzieren? Ich habe mir schon überlegt ob es nicht ratsam wäre, DNS Server und DHCP Server miteinander zu kombinieren (-> siehe BIND)? Haltet ihr das für eine gute Idee? Ein solcher BIND würde ich dann auf einer VM aufsetzen, die aus allen Büros erreicht werden kann.
Was meint ihr?
Vielen Dank für eure Antworten!
gruß
felix
folgendes Szenario:
In einem Bürogebäude sollen mehrere (getrennte, unabhängige) Büros geschaffen werden. Für die einzelnen Büros soll die gesamte IT-Infrastruktur (Netzwerk, Internet, VoIP) bereitgestellt werden. Im Netzwerk wird ein Switch (Cisco 3560G) und eine Firewall (Juniper SSG5) eingesetzt. Jedes Büro soll sein eigenes Netzwerk (VLAN) erhalten, um unabhängig von den anderen arbeiten zu können und um den anderen nicht in die Quere zu kommen. Die Netzwerkteilnehmer jedes Büros sollen per DHCP ihre IP Adresse erhalten. Es soll ein zentraler DNS Server die Anfragen aller Büros beantworten. Ebenfalls sollten in diesem DNS Server Einträge für die einzelnen Büros gemacht werden können.
Nun meine Frage:
Wo soll der DNS Server platziert werden? Wie soll der DNS Server realisiert werden?
Was ich bisher getan habe:
Auf der SSG läuft momentan der DHCP Server für die einzelnen Subnetze/VLANs. Das funktioniert auch alles ganz prächtig. Da die SSG jedoch eine Filterkiste ist, kann auf ihr ja (wie ich erfahren habe ) kein DNS Server laufen.
Nun wo soll ich den DNS Server platzieren? Ich habe mir schon überlegt ob es nicht ratsam wäre, DNS Server und DHCP Server miteinander zu kombinieren (-> siehe BIND)? Haltet ihr das für eine gute Idee? Ein solcher BIND würde ich dann auf einer VM aufsetzen, die aus allen Büros erreicht werden kann.
Was meint ihr?
Vielen Dank für eure Antworten!
gruß
felix
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 135876
Url: https://administrator.de/forum/dns-dhcp-platzierung-bei-mehreren-subnetzen-135876.html
Ausgedruckt am: 23.12.2024 um 14:12 Uhr
7 Kommentare
Neuester Kommentar
Wo DHCP / DNS Server stehen ist wurst.
Die einzelen VLANs können DHCP Broacasts via DHCP Relay Agent oder (wie man das üblicherweise macht) ip helper auf den VLAN Interfaces an den zentralen DHCP Server weiterleiten.
Wenn ihr intern keine Namen auflöst reicht als DNS die interne IP der Firewall, die dann DNS Anfragen an Internet Provider DNS Server weiterleiten kann.
Bei internen DNS Servern macht man üblicherweise DNS Forwarding, dass diese sowohl die eigene(n) DNS Namensräume Lookupzonen usw hosten und alles was sie nicht selber beantworten können, ans Internet (Provider DNS) weiterleiten.
DNS Server laufen in aller Regel eh auf Domaincontrollern wenn man Windows Domäne hat (und das hat fast jeder).
Ob da der DHCP zusätzlich drauf läuft hängt von Grösse und Geschmack ab.
Gut ist jedenfalls Redundanz da beide Dienste essentiell sind. Also stets ein Backup Server bereitstellen.
Manche Firmen benutzen interne DNS Server auch nur für interne Namensauflösung, und alles was extern, Internet angeht wird via Proxyserver gemacht, der dann auch die DNS Namensauflösung im Internet macht.
Die einzelen VLANs können DHCP Broacasts via DHCP Relay Agent oder (wie man das üblicherweise macht) ip helper auf den VLAN Interfaces an den zentralen DHCP Server weiterleiten.
Wenn ihr intern keine Namen auflöst reicht als DNS die interne IP der Firewall, die dann DNS Anfragen an Internet Provider DNS Server weiterleiten kann.
Bei internen DNS Servern macht man üblicherweise DNS Forwarding, dass diese sowohl die eigene(n) DNS Namensräume Lookupzonen usw hosten und alles was sie nicht selber beantworten können, ans Internet (Provider DNS) weiterleiten.
DNS Server laufen in aller Regel eh auf Domaincontrollern wenn man Windows Domäne hat (und das hat fast jeder).
Ob da der DHCP zusätzlich drauf läuft hängt von Grösse und Geschmack ab.
Gut ist jedenfalls Redundanz da beide Dienste essentiell sind. Also stets ein Backup Server bereitstellen.
Manche Firmen benutzen interne DNS Server auch nur für interne Namensauflösung, und alles was extern, Internet angeht wird via Proxyserver gemacht, der dann auch die DNS Namensauflösung im Internet macht.
Bind9 und DHCPD würden sich hier anbieten. Du kannst im Bind pro Segment einen VIEW anlegen und die entsprechende DNS-Zone auf Benutzer in diesem Segment einschränken. So kannst du verhindern, dass die Rechner in den Büros sich gegenseitig auslösen können, musst aber nicht auf Dynamisches DNS verzichten.
Bind9:
Ansonsten hat ja eine Isolation der Büros wenig sinn, wenn die Rechnernamen per DNS gegenseitig aufgelöst werden können.
DHCP würde ich dann auch über einen zentralen Server lösen und die Hostnamen per DDNS mit dem DNS-Server abgleichen. Das Relay der DHCP-Anfragen würde ich über den Switch lösen. Der zentrale Server selbst sollte in einem getrenntem Netz laufen. Hier würde sich das VLAN, in dem die Firewall steht anbieten.
Bind9:
acl "office1" { 10.0.0.0/22; };
acl "office2" { 10.0.2.0/22; };
acl "office3" { 10.0.4.0/22; };
view "office1" {
match-clients { office1; };
forwarders { it.des.firewall.routers; };
zone "office1.internal.firmenpark.de" {
type master;
file "pri/office1.zone";
}
view "office2" {
...
}
Ansonsten hat ja eine Isolation der Büros wenig sinn, wenn die Rechnernamen per DNS gegenseitig aufgelöst werden können.
DHCP würde ich dann auch über einen zentralen Server lösen und die Hostnamen per DDNS mit dem DNS-Server abgleichen. Das Relay der DHCP-Anfragen würde ich über den Switch lösen. Der zentrale Server selbst sollte in einem getrenntem Netz laufen. Hier würde sich das VLAN, in dem die Firewall steht anbieten.
Ah, Okay. Normalerweise macht man das auf dem ersten Gerät, dass direkt in den betreffenden VLANs "connected" ist, um möglichst wenig Broadcast-Traffic über die Switche/VLAN Trunks zu verbreiten. Wenn dein Router dieses Gerät ist, bist du hier richtig. Einfach per Policy das Routing zwischen den einzelnen VLANs verbieten, nur Zugriff richtung Internet und zum DNS-Server Port 53 gestatten und auch nurdie richtigen IP-Netze/Bereiche im jeweiligen VLAN zulassen. Den Rest erledigt das View am Nameserver.
Zitat von @datasearch:
Bind9:
Bind9:
> acl "office1" { 10.0.0.0/22; };
> acl "office2" { 10.0.2.0/22; };
> acl "office3" { 10.0.4.0/22; };
>
> view "office1" {
> match-clients { office1; };
> forwarders { it.des.firewall.routers; };
> zone "office1.internal.firmenpark.de" {
> type master;
> file "pri/office1.zone";
> }
> view "office2" {
> ...
> }
>
Wo muss man das eintragen?