fitzel69
Goto Top

Erweiterung Klasse C Netzwerk

Hallo zusammen,

aufgrund eines Firmeninternen Projekts wurde ich mit der Erweiterung unser Firmennetzwerkes beauftragt

Zur Info:

Wir haben einen Standort. Dieser verteilt sich über 6 Gebäude. Die Gebäude sind mit LWL Verbunden. In jedem Gebäude steht mindestens 1 Administrierbarer Switch mit fester IP von HP

Wir setzen einen DC mit einem DHCP Bereich von IP 192.168.x.20 bis 192.168.x.120 für 65 Clients ein
Wir haben ca. 30 Ducker ( 20 mit statischer IP)
Wir setzen 13 Server mit statischen IP Adressen, Einige Firmenspezifische Einrichtungen mit 10 statischen IPs
Ein Überwachungssystem mit 20 IPs in einem 2 Vlan (192.168.y.x)
Einige Systeme in der Produktion ( VPN, Überwachung von Systemen etc) brauchen 10 IP Adresse.

Problem:
Uns ( jetzt mir) gehen die IPs aus. Ich brauche in den nächsten Wochen / Monaten gute Ansätze um ca. 30 - 50 IPs zu bekommen. Unter anderem für WLAN Router

Ja, wir könnten uns ein externes Systemhaus holen, das will aber jemand nicht.

Für Hilfe ( gegoogelt wird bereits) bin ich dankbar.


Merci

Content-ID: 339876

Url: https://administrator.de/contentid/339876

Ausgedruckt am: 22.11.2024 um 18:11 Uhr

7Gizmo7
7Gizmo7 06.06.2017 um 20:58:34 Uhr
Goto Top
Hallo,

ein weiteres VLan und ein neuer DHCP Bereich?!
Vision2015
Vision2015 06.06.2017 um 21:04:15 Uhr
Goto Top
Zitat von @Fitzel69:

Hallo zusammen,
Nabend...

aufgrund eines Firmeninternen Projekts wurde ich mit der Erweiterung unser Firmennetzwerkes beauftragt
ok.. Glückwunsch.. was ist dein eigentlicher Job ?

Zur Info:

Wir haben einen Standort. Dieser verteilt sich über 6 Gebäude. Die Gebäude sind mit LWL Verbunden. In jedem Gebäude steht mindestens 1 Administrierbarer Switch mit fester IP von HP
ok.... und welche wären das genau?

Wir setzen einen DC mit einem DHCP Bereich von IP 192.168.x.20 bis 192.168.x.120 für 65 Clients ein
Wir haben ca. 30 Ducker ( 20 mit statischer IP)
Wir setzen 13 Server mit statischen IP Adressen, Einige Firmenspezifische Einrichtungen mit 10 statischen IPs
Ein Überwachungssystem mit 20 IPs in einem 2 Vlan (192.168.y.x)
Einige Systeme in der Produktion ( VPN, Überwachung von Systemen etc) brauchen 10 IP Adresse.

Problem:
Uns ( jetzt mir) gehen die IPs aus. Ich brauche in den nächsten Wochen / Monaten gute Ansätze um ca. 30 - 50 IPs zu bekommen. Unter anderem für WLAN Router
warum zum Geier wollen immer alle WLAN Router kaufen?
sprich mir nach... ich brauche Acess Points... keine WLAN Router..


Ja, wir könnten uns ein externes Systemhaus holen, das will aber jemand nicht.
wer will das nicht ? du ?

Für Hilfe ( gegoogelt wird bereits) bin ich dankbar.
eigentlich eine einfache aufgabe... aber du hast uns vergessen zu sagen was für einen Router / Firewall ihr habt?
du kannst das Class C Netz vergrößern (Subnet), was ich aber nicht so gut finde....
oder du spannst einfach weitere Class C Netze hinzu, und routest diese... mit deinem Router.


Merci

Frank
Vision2015
Vision2015 06.06.2017 um 21:05:02 Uhr
Goto Top
Zitat von @7Gizmo7:

Hallo,

ein weiteres VLan und ein neuer DHCP Bereich?!

das wäre zu einfach face-smile ... wie die Frage face-smile

Frank
BassFishFox
BassFishFox 06.06.2017 aktualisiert um 21:31:00 Uhr
Goto Top
Hallo,

Einfach ein zweites Class C im VLAN und den DHCP erweitern?

Abgesehen davon.
Wenn ich zusammenzaehle was ihr benutzt, also aufgerundet 150, habt ihr noch Platz fuer fast 100. face-wink

BFF
brammer
brammer 07.06.2017 um 08:14:40 Uhr
Goto Top
Hallo,

hört sich ein bisschen danach an, das du nicht der Netzwerker des Unternehmens bist.... oder es gar keinen gibt.

Ein weiteres VLAN mit eigenem DHCP Bereich und Routing ist ja schon genannt worden... damit ist dann eigentlich auch schon alles erledigt.

Worüber du dir noch mal Gedanken machen solltest:

Wir haben ca. 30 Ducker ( 20 mit statischer IP)

Also 10 Drucker mit dynamischer IP?
Umstellen auf feste IP's... das sollte man immer mit allen Netzwerk Geräten außer Clients machen...

Generell scheint ein Trennung des Netzes durch VLAN's und eine saubere Segmentierung hier der richtige Weg zu sein...
Also:
Server in ein VLAN
Drucker in ein VLAN
VPN in ein VLAN
Überwachung von Systemen in ein VLAN
WLAN in ein VLAN

Das schöne an RFC 1918 IP Adressen ist ja das die kostenlos sind und jeder nutzen darf....

Btw.: die Bezeichnung "Klassen" für IP Adressen wurde bereits 1993 mit Einführung von CIDR abgeschafft.

brammer
aqui
aqui 07.06.2017 um 08:45:56 Uhr
Goto Top
In jedem Falle solltest du segmentieren mit weiteren VLANs.
Niemals solltest du die Layer 2 Broadcast Domain vergrößern durch globale Änderung der Subnetzmaske, denn das ist kontraproduktiv und triggert weitere Folgeprobleme durch erhöhte Broad- und Multicast Last.

Da ihr ja schon mit mehreren VLANs arbeitet und afministrierbare Switches überall habt ist das eine Lachnummer und schnell gemacht. Erstelle also ein oder 2 neue VLANs mit einem /24 Prefix darin und gut iss.
Kollege brammer hat es ja oben schon perfekt aufgeführt wie man es bilderbuchmässig macht !
Das ist gängige Allerweltspraxis und hätte bei deiner dafür bestens vorbereiteten Infrastruktur eigentlich keines Threads in einem Administrator Forum bedurft.
Bei einem platten Reifen weiss man ja eigentlich das man den Reifen wechseln muss und müsste nicht extra fragen face-wink
Pedant
Pedant 07.06.2017 um 10:47:49 Uhr
Goto Top
Hallo,
Zitat von @aqui:
Bei einem platten Reifen weiss man ja eigentlich das man den Reifen wechseln muss und müsste nicht extra fragen face-wink

Manche Frage erscheint simpel, wenn man sich auskennt, aber...

Meint Ihr es könne sich lohnen eine Pumpe zu kaufen, vielleicht ist er ja nicht kaputt oder was haltet Ihr von Pannenspray?
Wenn ich einen neuen Reifen aufziehen lasse, muss der auf der anderen Seite auch gewechselt werden, obwohl der nicht kaputt ist, damit auf einer Achse die Profiltiefen gleich sind? Ich hätte auch noch ein Ersatzrad, aber der Reifen darauf ist 12 Jahre alt, soll ich das montieren oder ist der Reifen schon zu alt und ich habe auch den Eindruck, er hätte eine etwas andere Felge, würde das stören? Bei ebay hab ich zwei passende, runderneuerte Reifen für kleines Geld gefunden, ist den Dingern im Prinzip zu trauen?
Kann man Reifen einfach fahradmäßig flicken oder ist das bei Autoreifen bedenklich oder verboten?


Zum Thema:

Zitat von @brammer:
Server in ein VLAN
Drucker in ein VLAN
VPN in ein VLAN
Überwachung von Systemen in ein VLAN
WLAN in ein VLAN

Ich bin mir bezüglich dieser Anweisung nicht sicher was damit gemeint ist.
VLan habe ich bisher nur selten genutzt und auch nur um aus einem Switch zwei zu machen, also ohne dass irgendwelche Ports in mehreren VLan liegen.

Variante 1
Server      - VLAN 192.168.1.0/24
Drucker     - VLAN 192.168.2.0/24
VPN         - VLAN 192.168.3.0/24
Überwachung - VLAN 192.168.4.0/24
WLAN        - VLAN 192.168.5.0/24
Man hätte dann 5-mal soviel IP zur Verfügung, prima, aber da es dann getrennte IP-Netze wären, müsste man zwischen den Netzen routen, war das so gedacht?

Variante 2
Server      - VLAN 192.168.1.0/24
Drucker     - VLAN 192.168.1.0/24
VPN         - VLAN 192.168.1.0/24
Überwachung - VLAN 192.168.1.0/24
WLAN        - VLAN 192.168.1.0/24
Man könnte dann, bei strikter "pseudo-physikalischer" Trennung, jede IP 5-mal vergeben (1x pro VLan), aber wie könnte dann VLanübergreifend kommuniziert werden?

Variante 3
?

Gruß Frank
aqui
aqui 07.06.2017 aktualisiert um 10:57:57 Uhr
Goto Top
oder was haltet Ihr von Pannenspray?
Das wäre schlecht denn dann muss der Reifen komplett neu so oder so. Die Pumpe wäre dann die klügere Wahl face-wink

Variante 1 ist die perfekte Lösung und auch genau der richtige Weg !
müsste man zwischen den Netzen routen, war das so gedacht?
Ja, natürlich. Guckst du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Da ihr ja schon mit VLANs arbeitet ist der dort beschriebene Router in einem vorhandenen Layer 3 (Routing) Switch schon integriert und muss NICHT extern dazugenommen werden.

Variante 2 ist eine totale Sackgasse und IP technischer Blödsinn. Vergiss das ganz schnell wieder es löst auch nicht dein Adressproblem.
Variante 3 => go to Variante 1
Variante 3 wäre dann statt eines /24 Prefix einen /23 zu verwenden. Dann hättest du 510 IPs frei. Das ist aber genau der falsche Weg, weil jeder Netzwerker weiss das man bei Ethernet nie mehr als 150-200 Endgeräte in einer flachen Layer 2 Collision Domain haben sollte.
Fitzel69
Fitzel69 13.06.2017 um 13:14:36 Uhr
Goto Top
Servus.

Entschuldigung an alle, die sich gemeldet haben. Ich bin erst seit heute wieder in Germany und schaue mir die Beiträge an

Danke
Fitzel69
Fitzel69 05.08.2017 um 10:25:25 Uhr
Goto Top
Germany hat mich wieder.....

Danke für die ernstgemeinte Hilfe

mein Hauptjob besteht in der Betreuung von einem ERP System. Das Netzwerk wurde von einem externen Systemhaus aufgebaut und dann immer erweitert. Da ich Ansprechpartner für den damals ausgeschiedenen Kollgen war, landete das ganze unromatisch und vollkommen Diktatorisch auf meinem Schreibtisch.Wahrscheinlich kam die Anfrage hier im Portal zu früh, falsch oder was auch immer. Oder ich habe den Begriff "Hilfe" hier falsch interpretiert.................so einfach und ehrlich ist das ganze.

Wir führen derzeit mit einem externen Systemhaus Gespräche um zu schauen wie wir am besten vorran gehen.

Ich habe eine Testumgebung aus 1 Switch und 4 PCs aufgebaut, ( 3 Vlans mit unterschiedliche Subnetze ) welches auch Funktioniert.

Aktuell hänge ich an folgendem Problem.( Bitte nur Antworten, wenn jemand helfen will, Danke )
Ich würde im nächsten Schritt hingehen, und 2 Switche miteinander über Cat 7 verbinden, um dann die Netze Pcs aus den unterschiedlichen Netzen zu "Verbinden".
Ich habe 1 GB Switche von HP mit der neuesten Firmeware, aber ich kann das Protokoll "GVRP", was ich glaube ich benötige nicht aktivieren
Frage : Welche Einstellung muß ich vornehmen, das die anderen Switche die Subnetze unterscheiden können.

Danke für eure Hilfe
aqui
aqui 05.08.2017 aktualisiert um 16:52:46 Uhr
Goto Top
Ich habe 1 GB Switche von HP mit der neuesten Firmeware
Igitt...auch mit der neuesten Firmware Schrott... Drucker und Laptops können die besser...
aber ich kann das Protokoll "GVRP", was ich glaube ich benötige nicht aktivieren
Glauben heisst: Nichtwissen wie man hier an der Äußerung mehr als deutlich erkennt....leider !
Besser du holst dir jemanden an die Seite der wirklich weiss was er da tut.
GVRP ist Unsinn, das braucht man dafür nicht. Das ist lediglich ein Protokoll was VLAN IDs automatisch auf Komponenten propagiert und ist nicht zwingend.

Deine gesamte Beschreibung ist mehr als dürftig und oberflächlich, sorry. Hier einmal ein paar Fakten mit 2 Optionen wie man heutzutage mit moderner Netzwerk Hardware sowas löst...

1.) Normales Layer 3 HA Szenario mit Routing Failover:
  • 2 Layer 3 fähige Switches redundant oder besser über LAG (Link Aggregation) gekoppelt
  • Beide Switches bekommen die gleichen VLANs konfiguriert
  • Beide Switches bekommen in den jeweiligen VLANs eine IP zum Routing
  • Damit Layer 3 Redundanz herrscht wird auf beiden Switches VRRP (Router Redundanz) konfiguriert.
Fertig...
Vorteil: Mit allen Layer 3 Switches am Markt umsetzbar auch billigen HPs (sofern sie L3 können)
Nachteil: Aufwendige Konfig, Spanning Tree abhängig

2.) Verwendung von normalen Full Stack fähigen Switches:
  • 2 Layer 3 fähige Full Stacking kompatible Switches redundant stacken.
  • Im Stack die VLANs definieren
  • Im Stack die Routing IPs pro VLAN definieren
Fertig....
Vorteil: Sehr einfaches Management da nur einmal im Stack konfiguriert werden muss, Layer 3 Redundanz (VRRP) entfällt, keine Spanning Tree Abhängigkeit daher besser skalierbar.
Nachteil: Full Stack Switches sind geringfügig teurer.

Du erkennst selber das die 2te Variante die heutzutage technisch erheblich Bessere ist wenn man denn die richtige und aktuellste HW beschafft.
Auch Vorsicht hier bei Billigheimer HP die supporten auf ihren ProCurve/Aruba Billigserien kein Full Stacking sondern nur ein billiges Clustering das sie technisch unbeleckten Kunden aber blumig als "HP Stacking" verkaufen was aber nix anderes ist als ein gemeinsames Management.
Darüber solltest du dann mal mit deinem "Systemhaus" diskutieren !
Fitzel69
Fitzel69 07.08.2017 um 08:32:21 Uhr
Goto Top
Servus aqui

Danke für deine Info
Die HP Switche die wir einsetzen wurden uns empfohlen und bisher für 1 Lan genutzt. Da komme ich mit klar.
Ich baue zur Zeit eine Testumgebung auf, um einige Fakten für mich zu klären. Da wird ein externer Netzwerktechniker kommen

Anmerkung:

Wenn ich einen bzw zwei Switche habe oder diese separat schalte, dann funktionieren die 3 unterschiedlichen V-Lans auch. Ohne Probleme
Sobald ich die Switche miteinander verbinde, sind alle "Vlan Funktionen" weg. Da kann ich hin und her Pingen
Bei einem Swich kriege ich immer nur die IP , die ich dem jeweiligen LAN zugeordnet habe.

Eine weitere Konfigurationseinstellung der Switche sehe ich nicht.

Danke für eure Hilfe
aqui
aqui 07.08.2017 um 11:03:25 Uhr
Goto Top
Die HP Switche die wir einsetzen wurden uns empfohlen
Sagt sehr viel über KnowHow und Expertise desjenigen der empfohlen hat. Dessen Netzwerk Horizont hört gleich hinter Billigheimer HP auf... face-sad Aber egal...jeder bekommt den Switch den er verdient...
Wenn ich einen bzw zwei Switche habe oder diese separat schalte, dann funktionieren die 3 unterschiedlichen V-Lans auch. Ohne Probleme
Ja, das klappt vollkommen problemlos und ist ein simples Standard Design
  • VLANs auf beiden Switches mit entsprechenden IDs einrichten
  • Untagged Ports in den jeweiligen VLANs für Endgeräte zuweisen
  • Tagged Port auf beiden Switches mit VLAN Tagging für alle VLANs einrichten für einen Uplink Port der beide Switches verbindet
  • Beide Switches über diesenTagged Uplink Port verbinden
  • Fertisch
Ist ne Sache von 10 Minuten.
Sobald ich die Switche miteinander verbinde, sind alle "Vlan Funktionen" weg.
Sorry aber das ist Blödsinn. Wenn du die Konfig speicherst mit dem write Kommando verschwindet die Konfig auch nicht.
Vermutlich hast du das vergessen und auch das Tagging der VLAN s auf dem Link Port der beide Switc hes verbindendet ?!
Ohne das scheitert natürlich so eine Kopplung schon im Ansatz.
Fitzel69
Fitzel69 10.08.2017 um 08:38:24 Uhr
Goto Top
Servus Aqui

für die Switche kann ich nichts. Hilft mir aber auch nicht weiter weil das damals kaufmännische Entscheidungen unter dem Ex-Kollegen waren.
Das mit den Switchen ist genau so wie beschrieben.
JEder Switch für sich gensehen, funktioniert mit den v-Lans. Zusammen geschaltet haben die ein total sinnfreies Verhalten.
Aber Ich denke mein Fehler liegt im Tagged Uplink Port. Den habe ich noch nicht eingestellt. Werde ich gleich mal machen
Allerdings sehe ich keine Einstellung, in dem ich noch was ändern kann. Egal ob Konsole oder über Web......

Merci
aqui
aqui 10.08.2017 um 10:52:16 Uhr
Goto Top
weil das damals kaufmännische Entscheidungen unter dem Ex-Kollegen waren.
Das hat man dann davon wenn fachfremde Kaufleute solche Entscheidungen treffen ;-(
Aber gut dann musst du halt damit leben....
Zusammen geschaltet haben die ein total sinnfreies Verhalten.
Das kann dann nur eine Fehlkonfig deinerseits sein. Einen Defkt kann man sicher ausschliessen wenn beide Switches für sich funktionieren.
Normla ist es kinderleicht und eigentlich kann man fast keine Fehler machen:
  • VLANs auf beiden Switches identisch einrichten
  • Jeweils einen Uplink Port zur Switchverbindung festlegen
  • Alles VLANs (außer dem Default VLAN) auf diesem Uplink Port Tagged konfigurieren
  • Switches zusammenstecken...
  • Fertisch
Das macht wie gesagt der Azubi im ersten Lehrjahr in 10 Minuten.
Diese Schritte sind so banal das sie mit jedem China Billigswitch auf Anhieb funktionieren und auch deine HP Gurken sollten das allemal hinbekommen.
Vielleicht versuchst du es nchmal mit einem Werksreset und fängst nochmal sauber an.
"Sinnfrei" kann es nur werden wenn du ggf. Spanning Tree aktiviert hast und diesen nicht oder falsch konfiguriert hast.
Ohne Spanning Tree ist das aber wie gesagt eine banale Lachnummer....auch mit HP.
Aber Ich denke mein Fehler liegt im Tagged Uplink Port. Den habe ich noch nicht eingestellt.
Genau DAS ist der Punkt !!
Wie sollte es denn ohne diesen Link funktionieren nach deiner Meinung ?? Das kann ja niemals gehen. Also mal zuerst nachdenken und dann handeln !!
Allerdings sehe ich keine Einstellung,
Bitte GENAU hinsehen !!
In den VLAN Einstellungen siehst du die Ports die du diesem VLAN zuweisen kannst.
Dort klickst du den Uplink Port in allen VLANs (außer 1) auf Tagged !
Siehe auch VLAN Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Fitzel69
Fitzel69 10.08.2017 um 11:31:10 Uhr
Goto Top
Du ich danke dir für deine Hilfe und werde das heute mal umsetzen
Wahrscheinlich sehe ich irgendwo etwas nicht.

Melde mich dann zum WE ob es geklappt hat

Merci
aqui
aqui 11.08.2017 um 14:46:14 Uhr
Goto Top
Wir sind gespannt face-wink
Fitzel69
Fitzel69 16.08.2017 um 13:39:34 Uhr
Goto Top
Ich sehe es nicht........................;-(

Einstellbar sind :
Name Vlan , ID vom Vlan , DHCP oder Manu / statisch , Gateway , Grundsätzlich Spanningtree , IGMP
Eingestellt sind
Vlan_10 , 10 , Manuel mit Gateway, IGMP ist aktiviert

??????

Danke
aqui
aqui 16.08.2017 aktualisiert um 14:29:18 Uhr
Goto Top
Du siehst es nicht in der grundlegenden VLAN Einstellung sondern immer in der Port Konfiguration.
Das hängt aber auch immer etwas vom Hersteller ab. der eine macht das so der andere so.
Du musst im Setup das menü oder das Kommando suchen was dem Port ein VLAn zuweist.
Hier kannst du das dann einstellen ob du das tagged oder untagged machen willst.

Benutzt du ein Command Line Interface oder ein Klicki Bunti GUI auf dem Switch ??
Hier mal eine Beispielkonfig auf einem HP Switch im CLI (show run). Der Port 1 ist hier der Port der die Swiotches verbindet und tagged für alle VLANs eingetragen ist:
!
HP_Switch#
!
time timezone 60
time daylight-time-rule Middle-Europe-and-Portugal
spanning-tree protocol-version rstp
spanning-tree force-version rstp-operation
exit
interface 1
name "VLAN Tagged Link zum anderen Switch"

exit
vlan 1
name "DEFAULT_VLAN"
untagged 1-9
ip address 172.16.1.254 255.255.255.0
exit
vlan 10
name "Vlan 10"
untagged 10-11
tagged 1
exit
vlan 20
name "Vlan 20"
untagged 12-13
tagged 1
exit
vlan 30
name "WLAN"
untagged 14-15
tagged 1
exit
vlan 40
name "Gaeste Netzwerk"
untagged 16-17
tagged 1
exit


Identisch wir der Port 1 am zweiten Switch definiert und die Switches jeweils am Port 1 verbunden.
So wird zwischen beiden Switches die VLAN Information ausgetauscht und die Switches können so den entsprechenden Traffic wieder jedem VLAN richtig zuordenen.
Eigentlich doch kinderleicht, oder ?
Fitzel69
Fitzel69 16.08.2017 um 15:36:47 Uhr
Goto Top
Hallo,

Frage 1: die IP Adresse 172.16.1.254 ist der Gateway vom VLAN 10 oder vom "Haupt-Lan"

Frage 2 : Wenn ich in dem jeweiligen VLAN die IP Konfiguration auf manuell setze, welchen Gateway ( 10.1 ??) oder wähle ich einen Hauptswitch aus.
setze ich ?
Bei mehreren Switchen könnte ichnicht alles Addressen auswählen, daher die Frage ?!
aqui
aqui 17.08.2017 aktualisiert um 12:37:05 Uhr
Goto Top
Was für eine Topologie hast du denn ??
Im Ethernet ist eine sternförmige Topologie üblich, also ein Hauptswitch von dem sternförmig die Access Switches abgehen.
Kontraproduktiv sind Kettendesigns in dem die Switches alle hintereinanderhängen. Geht auch man muss aber mit Nachteilen rechnen. Mehr als 3 in einer Kette sollten niemals sein !

IP Adressen in den VLANs brauchst du am Switch nur wenn du auch routest über den Switch also einen Layer 3 Switch hast.
Hast du den nicht sind IP Adressen erstmal völlig uninteressant für dich denn ohne L3 Funktion auf dem Switch musst du auf einem externen Router der Firewall die VLANs routen wie in diesem Tutorial beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern