12
Domäne und abgrenzung einer abteilung subnetting vlan segmentierung
hallo,
ich soll/darf/möchte ;) eine einzelne Abteilung bei einem Kunden vom Rest der Firmen Clients trennen.
Gegebenheiten:
- Windows Server 2012r2
- Exchange 2013
- IP-Netz 200.200.0.0/16 (die 200 natürlich fiktiv)
- 1 physikalisches netz
- jeder sieht jeden und alles...
soll-zustand:
- Produktion soll nur noch die Server sehen (dc / Exchange/ ...) ... die Clients nur bei bedarf
- alle anderen sollen die produktions-clients NICHT MEHR SEHEN...
- die produktions-Clients sollen mit der bestehenden Struktur (dc / exchange / DNS / DHCP / wsus) vom Server aus gemanaged werden können
jeder dem ich begegne gibt natürlich seinen Senf dazu und mein Kopf hängt jetzt irgendwo zwischen subnetting, v-lan und Segmentierung fest ohne eine zündende Idee zu haben
die benötigten ip Adressen liegen unter 1500... warum dort ein netz mit ~65.000 IP's installiert wurde is mir völlig schleierhaft
Hauptfrage --> wie bekomm ich die ~100 Rechner / Clients unsichtbar gemacht so dass sie nur mit den Servern kommunizieren?
vlan einzurichten wird denk ich tricky da produktionsrechner wie nicht produktionsrechner in einem Büro sitzen / auf einem Switch hängen
jemand Ideen oder Input?
--> sollte ich das hauptnetz auf 200.200.0.0/21 setzen? (2046 IP's von 200.200.0.0 bis 200.200.7.255) und für die Produktion ein 200.200.200.0/24 Netz?
--> und wie würde ich die Clients dann an den DC (200.200.0.2) bekommen ?!?
gruß & dank im voraus
edit: mir fällt grad noch ein... die drucker schwirren auch irgendwo im 200.200.0.0/16 rum... die müssen von den produktionsclients natürlich auch benutzbar sein
ich soll/darf/möchte ;) eine einzelne Abteilung bei einem Kunden vom Rest der Firmen Clients trennen.
Gegebenheiten:
- Windows Server 2012r2
- Exchange 2013
- IP-Netz 200.200.0.0/16 (die 200 natürlich fiktiv)
- 1 physikalisches netz
- jeder sieht jeden und alles...
soll-zustand:
- Produktion soll nur noch die Server sehen (dc / Exchange/ ...) ... die Clients nur bei bedarf
- alle anderen sollen die produktions-clients NICHT MEHR SEHEN...
- die produktions-Clients sollen mit der bestehenden Struktur (dc / exchange / DNS / DHCP / wsus) vom Server aus gemanaged werden können
jeder dem ich begegne gibt natürlich seinen Senf dazu und mein Kopf hängt jetzt irgendwo zwischen subnetting, v-lan und Segmentierung fest ohne eine zündende Idee zu haben
die benötigten ip Adressen liegen unter 1500... warum dort ein netz mit ~65.000 IP's installiert wurde is mir völlig schleierhaft
Hauptfrage --> wie bekomm ich die ~100 Rechner / Clients unsichtbar gemacht so dass sie nur mit den Servern kommunizieren?
vlan einzurichten wird denk ich tricky da produktionsrechner wie nicht produktionsrechner in einem Büro sitzen / auf einem Switch hängen
jemand Ideen oder Input?
--> sollte ich das hauptnetz auf 200.200.0.0/21 setzen? (2046 IP's von 200.200.0.0 bis 200.200.7.255) und für die Produktion ein 200.200.200.0/24 Netz?
--> und wie würde ich die Clients dann an den DC (200.200.0.2) bekommen ?!?
gruß & dank im voraus
edit: mir fällt grad noch ein... die drucker schwirren auch irgendwo im 200.200.0.0/16 rum... die müssen von den produktionsclients natürlich auch benutzbar sein
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 310240
Url: https://administrator.de/contentid/310240
Ausgedruckt am: 25.11.2024 um 09:11 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
auf die IP Addressen 200.200.200.0 /24 solltest du komplett verzichten. Es sei denn du arbeitest für Embratel im Brasilien.
http://www.utrace.de/?query=200.200.200.0
Ansonsten hängt das davon ab was du für Switche hast. Wenn es managebare Switche sind leg die VLAN's auf den Switchen an und den rest über Routing und die AD.
brammer
auf die IP Addressen 200.200.200.0 /24 solltest du komplett verzichten. Es sei denn du arbeitest für Embratel im Brasilien.
http://www.utrace.de/?query=200.200.200.0
Ansonsten hängt das davon ab was du für Switche hast. Wenn es managebare Switche sind leg die VLAN's auf den Switchen an und den rest über Routing und die AD.
brammer
Hallo,
wenn die Geräte sich untereinander nicht "sehen" dürfen, brauchst Du ein Gerät mit Filtermöglichkeiten -> Firewall.
Eine Firewall mit min. zwei Interfaces und das Problem sollte sich erledigt haben. Entsprechende ACLs natürlich vorausgesetzt.
Grüße Martin
wenn die Geräte sich untereinander nicht "sehen" dürfen, brauchst Du ein Gerät mit Filtermöglichkeiten -> Firewall.
Eine Firewall mit min. zwei Interfaces und das Problem sollte sich erledigt haben. Entsprechende ACLs natürlich vorausgesetzt.
Grüße Martin
tacj
Ansonsten hängt das davon ab was du für Switche hast. Wenn es managebare Switche sind leg die VLAN's auf den Switchen an und den rest über Routing und die AD.
brammer
Zitat von @brammer:
Hallo,
auf die IP Addressen 200.200.200.0 /24 solltest du komplett verzichten. Es sei denn du arbeitest für Embratel im Brasilien.
http://www.utrace.de/?query=200.200.200.0
IP-Netz 200.200.0.0/16 (die 200 natürlich fiktiv) Hallo,
auf die IP Addressen 200.200.200.0 /24 solltest du komplett verzichten. Es sei denn du arbeitest für Embratel im Brasilien.
http://www.utrace.de/?query=200.200.200.0
Ansonsten hängt das davon ab was du für Switche hast. Wenn es managebare Switche sind leg die VLAN's auf den Switchen an und den rest über Routing und die AD.
brammer
1
Hallo,
Gruß,
Peter
Zitat von @neueradmuser:
die benötigten ip Adressen liegen unter 1500... warum dort ein netz mit ~65.000 IP's installiert wurde is mir völlig schleierhaft
Vermutlich weil damals V-LAN noch nicht angekommen war und Subnetting auch nicht zwingend Standard war - oder das Wissen fehlte - oder das Geld ... Da ist ein /16 Netz doch KIS gewesen.die benötigten ip Adressen liegen unter 1500... warum dort ein netz mit ~65.000 IP's installiert wurde is mir völlig schleierhaft
Hauptfrage --> wie bekomm ich die ~100 Rechner / Clients unsichtbar gemacht so dass sie nur mit den Servern kommunizieren?
V-LAN oder eigene Infrastruktur mit eigenen Switchen / Routern / Kabel usw.vlan einzurichten wird denk ich tricky da produktionsrechner wie nicht produktionsrechner in einem Büro sitzen / auf einem Switch hängen
Ein Layer2 Switch interessiert sich nicht für V-LANs. Layer3 Switche können sogar Routen (auch zwischen V-LANs)Gruß,
Peter
und wo wäre nun der Vorteil/ Nachteil zwischen vlan und subnetting?
vlan= gleiche infrastruktur
subnet= alles doppelt?
vlan= gleiche infrastruktur
subnet= alles doppelt?
Im Normalfall hast Du pro VLAN ein Subnet.
Ein weiteres Subnet wirst Du immer brauchen.
Ob nun weitere Infrastruktur oder VLAN hängt davon ab, ob Deine vorhandenen Switches VLANs unterstützen.
Grüße Martin
Ein weiteres Subnet wirst Du immer brauchen.
Ob nun weitere Infrastruktur oder VLAN hängt davon ab, ob Deine vorhandenen Switches VLANs unterstützen.
Grüße Martin
die Haupt Switche unterstützen vlan... die kleineren nur zur Hälfte... kann man ja ersetzen
EDIT: und ne frage für dumme (mich-zumindest heute :D)
wenn ich die Produktionsrechner in 200.200.200.0/24 stecke und die Server in 200.200.0.0/16 laufen kommen trotzdem die Clients von 200.200.1.0/16 an die 200.200.200.0/24 Rechner?! ... allerdings die Produktionsrechner (theoretisch nich) an die Server?
Dann könnte ich doch einfach den Salat umdrehen und den Rest der Clients die die Produktion nich sehen sollen in 200.200.1.0/23 stecken (200.200.0.0-200.200.1.254) und die Produktion in 200.200.7.0/21 (200.200.0.0-200.200.7.254)
FOLGE: die normalen Clients sehen die Server und sich selber aber nicht die Produktion. die Produktion hingegen sieht den kompletten Bereich
Somit wäre meine Vorgabe dorch erfüllt oder hab ich jetzt ne ganz große Dampfwalze auf der Leitung stehn?
EDIT: und ne frage für dumme (mich-zumindest heute :D)
wenn ich die Produktionsrechner in 200.200.200.0/24 stecke und die Server in 200.200.0.0/16 laufen kommen trotzdem die Clients von 200.200.1.0/16 an die 200.200.200.0/24 Rechner?! ... allerdings die Produktionsrechner (theoretisch nich) an die Server?
Dann könnte ich doch einfach den Salat umdrehen und den Rest der Clients die die Produktion nich sehen sollen in 200.200.1.0/23 stecken (200.200.0.0-200.200.1.254) und die Produktion in 200.200.7.0/21 (200.200.0.0-200.200.7.254)
FOLGE: die normalen Clients sehen die Server und sich selber aber nicht die Produktion. die Produktion hingegen sieht den kompletten Bereich
Somit wäre meine Vorgabe dorch erfüllt oder hab ich jetzt ne ganz große Dampfwalze auf der Leitung stehn?
Hi,
nimms mir nicht übel, aber tu dir einen gefallen und besorg Dir einen Dienstleister mit dem du das Vor-Ort besprechen kannst oder lies Dir zuerst das ganze Grundwissen an bevor wir das hier im Forum tun indem wir durch jede Frage ein Thema anecken.
Und zu deinem Edit nur so viel, tu es bitte nicht.
Gruß
Xearo
nimms mir nicht übel, aber tu dir einen gefallen und besorg Dir einen Dienstleister mit dem du das Vor-Ort besprechen kannst oder lies Dir zuerst das ganze Grundwissen an bevor wir das hier im Forum tun indem wir durch jede Frage ein Thema anecken.
Und zu deinem Edit nur so viel, tu es bitte nicht.
Gruß
Xearo
gelesen hab ich den ganzen tag... und jeder erzählt was anderes resp. hat seine Meinung...
was spräche denn gegen das Edit (wäre nett wenn man das dann kurz per Stichpunkt nennt da ich aktuell keinen Nachteil sehen kann in der theorie)
was spräche denn gegen das Edit (wäre nett wenn man das dann kurz per Stichpunkt nennt da ich aktuell keinen Nachteil sehen kann in der theorie)
Die Broadcast-Adresse stimmt für die Netze nicht überein, daher wird es zu Problemen kommen.
Und so eine Lösung in einem produktiven Netzwerk hat nichts mehr mit Professionalität zu tun.
Gerne kannst Du Dich bei mir melden und wir können eine gemeinsame - sinnvolle Lösung finden.
Grüße Martin
Und so eine Lösung in einem produktiven Netzwerk hat nichts mehr mit Professionalität zu tun.
Gerne kannst Du Dich bei mir melden und wir können eine gemeinsame - sinnvolle Lösung finden.
Grüße Martin
Hallo,
was dagegen spricht?
auch für Netzwerke gibt es eine Best practise!
Du hast die aufgabe bekommen das ganze zu lösen... das kannst du jetzt basteln und Flickschustern....
Oder du implementierst da jetzt ein saubere Netzwerkstruktur und legst auf den Switchen entsprechende VLAN's an und Segmentierst das Netz anständig.
brammer
was dagegen spricht?
auch für Netzwerke gibt es eine Best practise!
Du hast die aufgabe bekommen das ganze zu lösen... das kannst du jetzt basteln und Flickschustern....
Oder du implementierst da jetzt ein saubere Netzwerkstruktur und legst auf den Switchen entsprechende VLAN's an und Segmentierst das Netz anständig.
brammer
stimmt... glatt übersehen
somit logisch das das Edit keinen sinn macht .... 7.255 zu 255.255 - Entschuldigung :|
@Martin: werde gegebenenfalls auf dein Angebot zurückkommen
somit logisch das das Edit keinen sinn macht .... 7.255 zu 255.255 - Entschuldigung :|
@Martin: werde gegebenenfalls auf dein Angebot zurückkommen
