Pro Contra "echtes Subnetting" VLSM

Hi,
natürlich kannst Du das so machen, ohne dass etwas explodieren wird. Man kann auch völlig gefahrlos mit einem Fahrrad über eine leere, 6-spurige Autobahn fahren.
Es hängt davon ab, wo es mal hingehen soll. Wenn abzusehen ist, dass es mal deutlich mehr als 5 Geräte werden sollen, dann macht das schon Sinn. Oder wenn man weiß, dass ein oder ein paar Geräte (Dienste) dabei sind, welche - warum auch immer - viel Broadcast produzieren und man diesen - warum auch immer - nicht abstellen kann oder will, dann macht es auch Sinn, diese Geräte in ein anderes Netz zu verfrachten. Natürlich könnte man auch hier ein einzelnes Gerät in einem 16-Bit-Netz unterbringen.
Was machst Du aber, wenn Du weißt, dass Du auch zukünftig aus diesem 16'-Netz nicht rauskommen wirst, z.B. weil Dir von der Mutter aller IT-Abteilungen nur genau dieser Adress-Bereich zugesprochen wird, und aber absehen kannst, dass es mal viele Geräte sein werden und dass da ein paar "Dreckschleudern" dabei sein werden.

usw.

Sicherheitstechnischer Aspekt der Unterteilung in mehreren Sunbetzen mal gar nicht betrachtet.

E.

Wenn Du immer Herr der Adressierung bleiben wirst/willst, wenn Du immer die Kontrolle darüber hast/haben wilst, welches Gerät in welches Netz kommt, dann kannste das machen, wie Du willst.
Wenn Du z.B. ein 16' Netz nimmst und für Dich festlegst, dass da nie mehr als z.B. 100 Geräte rein kommen, dann ist das OK. Wenn aber morgen oder in ein paar Jahren ein andere/r Kollege/in dazukommen, welche sich nicht an sowas halten, und "Ach was! Da ist doch noch Platz!" mehr als vorgesehen Geräte in dieses Netz hängt, dann wirst Du Dich wohlmöglich ärgern, dass Du das nicht gleich von vorn herein eingeschränkt hast. Um beim Beispiel mit der Straße zu bleiben: Wenn Du es Dir leisten kannst, einen Radweg als breite Strasse durch die Wohnsiedlung zu bauen, dann kannst Du das natürlich tun. Wenn Du aber Angst haben musst, dass da jetzt auch 40tonner, Tanker und/oder Panzer durch die Siedlung fahren, dann denkst Du vielleicht doch eher daran, nur einen kleinen Radweg zu bauen, obwohl es doch eine Strasse sein könnte ...

Das ist eigentlich egal. Du musst dir nur im Klaren sein, dass Netzwerke ab einer gewissen Größe und entsprechender Anzahl Clients mit Broadcasts vollgemüllt werden. Mit deinen 5 Clients macht das nichts. Auch nicht mit 50.

Hallo,

es gibt eben immer neue Sachen und einige alte Sachen "macht" bzw. konfiguriert man eben heute nicht mehr so
wie früher und das hat sicherlich mehrere Gründe und bringt einem Admin gar wenn auch nur einen besseren Überblick.
- Bessere Fehleranalyse
- Fehlereinschränkung
- Weniger Störanfälligkeit
- Bessere Auslastung durch VLANs und QoS
- Erhöhung der Sicherheit mittels VLANs und ACLs
- Bessere Eingrenzung und besserer Überblick für eine Weiter- und Neuplanung

Es gibt da eben zwei Arten wie man das heute noch gut realisieren kann und die sind eben am weitesten Verbreitet und werden
auch durch alle am meisten angenommen, sicherlich kann hier jeder frei nach "Gusto" Kabel und Switche "zusammen poppen"
und dann wenn es irgend wann einmal nicht mehr weitergehen sollte ganz von vorne und/oder Strukturiert anfangen, keine
Frage! Nur warum sollte man sich als Admin nicht gleich dran setzen und alles strukturiert und übersichtlich aufziehen,
mal rein so als Gegenfrage!? Warum nicht auf "Nummer sicher" gehen und dann gar nicht erst in solche Probleme
rein rutschen, wie dem "historisch gewachsenen Netzwerk" was hier und dort das Eine und das andere nicht mehr
verkraftet weil es am Ende ist und nur noch aus Speziallösungen besteht und da auch sonst niemand mehr ran
will und Freude dran hat es zu managen?

Routing:
1. Man kann einen sehr kräftigen Router oder eine sehr starke Firewall benutzen und routet das alles dann von dort aus.
2. Man kann auch den selben Router oder die selbe Firewall benutzen und hat trotz alledem gestapelte Layer3 & Layer2
Switche im Netzwerk und wenn der Router einmal ausfällt dann kann man wenigstens im LAN weiterarbeiten.
3. Man hat eine HA oder redundante Lösung mittels VRRP/HRSP, BDP oder CARP und sicherlich gibt es auch Switche
die diese Protokolle unterstützen, also auch eher eine Frage der Erreichbarkeit und der Wichtigkeit eines Netzwerks!

Switche:
1. Man kann Switche anschaffen die VLANs und QoS unterstützen und/oder sogar selber routen kein Thema, ist eben
heute der Stand der Dinge wie sie eben so sind auf dem Markt.
2. Man kann auch einen oder zwei kräftige Router oder Firewalls besorgen und an jeden Port dann einfach einen "dummen"
Switch hängen und das mit einfachem und flachen Routing erledigen.

Was Du für Euch in der Firma machst ist eigentlich egal, manchmal ist es ja auch immer eine Frage was hat man und ist
der "Alte" bereit raus zu tun an Geld! Aber frage Dich doch einmal was kostet ein Mitarbeiter pro Stunde in der Firma, was
sind die Leasingraten oder andere Kosten für die Maschinen in der Firma, was kostet es wenn die Firma einen Tag stehen
bleibt!? Ist das einer der Betriebe wo 24/7/365 Tage "non stop" "malocht" wird?

Für flaches Routing mit dummen Switchen empfehle ich hier mal den neuen MikroTik RB1100x4 oder gar einen CCR1036
und dazu dumme Switche falls nicht schon vorhanden. Für die VLANs würde ich dann eher verwaltete Layer3 und Layer2
Switche empfehlen wollen die man stapeln (Switch Stack) kann und diese dann an einen oder zwei Core Switche hängen.

Bei 500 Geräten sind bei 48 Ports gleich 11 Switche von Nöten und diese dann nur untereinander "uplinken" wäre mir zu
flach wenn schon neue Switche, falls nötig, dann auch solche die man zu einem Stapel zusammen fassen kann. und die
beiden Stapel dann an einen oder zwei Core Switche ran und gut ist es. Falls Ihr nicht schon VLAN fähige Switche habt
und falls alle in einen Rack oder zwei Racks rein sollen.

im Endeffekt ist es egal was Du machst:
Dumme Switche:
eth0 = 192.168.1.0/24
eth1 = 192.168.2.0/24
usw. oder aber
VLAN fähige Switche:
VLAN10 - Maschinen - 192.168.1.0/24
VLAN20 - PCs - 192.168.2.0/24
usw..

Das ist falsch, denn Dir (Euch) fehlen IP Adressen und nicht ihr habt welche über!!!!

Machen kann man alles aber wenn Dein Nachfolger dann hier im Jahre 2120 mal postet das dort nichts mehr "geht"
sei uns auch nicht böse wenn da keiner mehr ran will.

Man sollte hier einmal unterscheiden, das was Du vorhast nennt sich "Supernetting" und Subnetting gibt es nicht mehr
seit CIDR, denn Du kannst ja auch an einen Router mit mehreren Ports einfach pro Port ein "Subnetz" vergeben und routen
lassen und nicht solche kleinen Spielchen wie /23 oder andere Sachen die sich eventuell einmal "rächen".

Was verloren geht ist doch egal, das nennt sich dann Reserve und tut schließlich keinem etwas nur wenn es dann zu wenig sind
gibt es Probleme.

Gruß
Dobby

Äh sorry, aber das stimmt so auch nicht ganz.
Erstmal sehe ich in der Frage nicht, dass es @killing.Apfelkuchen hier um Supernetting geht. Denn Supernetting ist nichts weiter als das "Zusammenfassen" von mehreren Netzen durch Verkürzen der Maske zum Zwecke der Vereinfachung (Verkleinerung) der Routing-Tabellen. Obwohl er/sie das bei der Planung neuer Netzwerkadressen auf dem Radar haben sollte.
Und Subnetting gibt es sehr wohl noch: CIDR ist Subnetting par excellence. CIDR macht Subnetting quasi zum Standard. Eine Netzwerkadresse muss heutezutage zusammen mit der Maske angegeben/vergeben werden, um sie eindeutig zu klassifizieren.

Wieso "mußt" du die denn in VLANs verpacken? Wirst du sonst erschossen? Bei mir hat sich der Ansatz "So klein wie möglich, so groß wie nötig" bewährt. Aber machen kann man natürlich viel.

VG,

Thomas

VLAN1 - Management VLAN - 192.168.1.0/24 (alle Geräte)
VLAN10 - PCs - 192.168.2.0/24 (200 Geräte)
VLAN20 - Drucker, Scanner, NAS/SAN - 192.168.3.0/24 (150 Geräte)
VLAN30 - Maschinen - 192.168.4.0/24 (45 Geräte)
VLAN40 - Server - 192.168.5.0/24 (5 Geräte)

Man hat kleine Nachteile mit den VLANs und schon gar nicht mit den freien IP Adressen die jetzt alle ungenutzt sind.
Man hat wenn überhaupt Vorteile dadurch, denn jetzt erst sind noch in jedem IP Netz Adressen frei und alle nutzen
einheitlich die /24 Maske. Mit einfachem Routing kann man das auch machen, also ohne das Anlegen von VLANs!!!

Router mit mehreren Ports:
Router Port eth0 - PCs - 192.168.2.0/24 (200 Geräte = 5 x dummer 48 Port Switch) Uplink von Switch zu Switch
Router Port eth1 - Peripheriegeräte - 192.168.3.0/24 (150 Geräte = 4 x dummer 48 Port Switch) Uplink von Switch zu Switch
Router Port eth2 - Maschinen - 192.168.4.0/24 (45 Geräte = 1 x dummer 48 Port Switch) Uplink von Switch zu Switch
Router Port eth3 - Server - 192.168.5.0/24 (5 Geräte = 1 x dummer 5,8,10 oder 24 Port Switch) Uplink von Switch zu Switch
Nachteil hier sind nur die vielen Hops durch die Uplinks!

Welches ist denn hier überdimensioniert? Oder einfach gar keine! Und wenn in einem VLAN nur 2 Server und ein SAN
Mitglied sind und das sind dann alle Server und Speichergeräte im gesamten Netzwerk, ist das auch ok. Denn man
versucht ja auch mitunter dass die VLANs ein gewisses Maß an Sicherheit mitbringen bzw. ergänzen. Oder aber das
man wenn es Ärger gibt diesen eingrenzt auf ein bestimmtes Netzwerksegment.

Gruß
Dobby

@108012 , Du solltest aber bitte auch aufpassen, dass Du hier nichts durcheinander bringst bzw. wie Du es dann schreibst. Man kann beim Klären auch nur mehr Verwirrung stiften ...

Warum erst jetzt? Ungenutzte Adressen sind so oder so frei, wenn sie nicht belegt sind, unabhängig davon, zu welchem Netz sie gerade logisch gehören. Du meinst sicher "Adressraum für zukünftige Subnetze"?
Was dann welcher Vorteil wäre? Welchen technichen Vorteil hat man per se dadurch, dass alle Netze die gleiche Maske haben?
VLAN und Routuing sind keine Gegenteile oder Alternativen. Ob ich Netze nun rein physikalisch segmentiere oder logisch durch VLAN's, das ist vollkommen unerheblich für den Bedarf des Routings.

Wenn dem wirklich so ist dann ist ja auch ein /23 Prefix Unsinn wenn auf Lange Sicht dort nur 5 Endgeräte sind und sein werden !
Dafür wäre dann ein /29er Prefix völlig ausreichend.
Zur Sicherheit solltest du aber einen /28er nehmen mit max. 14 Hostadressen pro Netz um etwas mehr Luft nach oben zu haben bei der Adressierung.
Sinnvoll ist es dann solche kleinen Netze immer ans Ende z.B. eines 172.16.0.0 /kontingents zu legen um "vorne" größere netze realisieren zu können. wie z.B. die letzten 3 Netze mit einem /28er Prefix .0.208, .0.224 und .0.240 wenn du z.B. 3 von denen brauchst.
Die goldene Regel beim Layer 2 Design ist immer das man nie mahr als max. 150 Endgeräte (plux, minus) in einer Layer 2 Collision Domain (VLAN bzw. IP Segment) haben sollte um die Broad- und Multicast Last in diesen Segmenten niedrig und damit die Performance hoch zu halten.
Langjährige goldenen Netzwerker Regel die mittlerweie jeder IT Azubi kennt !!!
In so fern ist auch dein /23er Design schon eine Nummer zu groß, denn mehr als /24er Segmente sollte man nie anlegen.

Klar kannst du das natürlich auch in ein /16 packen aber dann bist DU dafür verantwortlich das sich dort nie mehr als 150 Endgeräte tummeln !!!
Auf Dauer wirst du das dann nicht durchhalten bzw. historisch wird es dann doch wachsen und dir dann heftige Probleme bereiten.
Besser also gleich richtig segmentieren und das unkontrollierte Wachstum so in Schach halten !!
Sind aber alles banale IP Design Binsenweisheiten...

Nimm dir einen Wireshark und sieh dir die Broad- und Multicast Last in einem Segment mit nur 50 Endgeräten an, dann weisst du wovon wir hier alle reden.
Muss man wohl nuicht weiter kommentieren...

Auf die berechtigte Frage nach der Quelle für eine Behauptung mit "Guck doch selber!" zu antworten ist auch großes Kino.

VG,

Thomas