Firmen Netzwerk IP-Adressbereiche Subnetting Planung und Design
Hallo,
ich mache mir gerade Überlegungen, welchen Adressbereich ich am besten nutze sollte, um ein Firmen-Netzwerk zu strukturieren? Ich möchte es natürlich überschaubar halten und nicht überdimensionieren. Momentan wird 172.16.0.0/16 verwendet (also von 172.16.0.1 bis 172.16.254.254) soviel brauche ich natürlich nicht. Das Netzwerk besteht aus:
in der Zentrale ca. 400 Hosts momentan. Also ein Klasse-C reicht definitiv nicht aus. Es sollen aber auch Filialen per VPN-/Standleitungen angebunden werden, z.B. 3 Filialen mit jeweils 50 Rechnern. Diese Filialen sind momentan ein 192.168.0.0 /24 Class-C Netzwerk und über OpenVPN durch unsere Route/Firewall angebunden. Es könnte aber sein, dass in Zukunft extra Standleitungen hierfür verwenden werden.
Meine Grundüberlegung war, dass ich in der Zentrale bereits durch Subnetting ordentlich trenne, also z.B. nach EINKAUF, VERTRIEB, MARKETING, GL, PRODUKTION, usw.. einfach um ein schönes und übersichtliches Design zu bewahren. Das einzig sichere ist wohl, dass es ein Class-B Netz werden muss. Ich habe bei meiner Überlegung bewußt von 172.16.*.* auf 172.24.*.* gewechselt, damit eine saubere Trennung zwischen ALT und NEU erfolgen kann. Natürlich müssen alle Hosts darauf umgestellt werden, aber so würden automatisch die 'Leichen' entdeckt *lol*
Meine Idee bisher: ein 172.24.0.0/21 (also das Netz 172.24.0.1 bis 172.24.7.254 mit der Subnetmask 255.255.248.0). Das würde insgesamt 2046 Hosts erlauben, was mir wohl ausreichen sollte (grins). Ich könnte also 172.24.0.* für meine Serverlandschaft und die ganzen Systemgeräte verwenden. Den Bereich 172.24.1.* würde ich zum Beispiel für Geschäftsleitung und Controlling verwenden, 172.24.2.* für den Einkauf, 172.24.3.* für Vertrieb, usw...
Und für die Filialanbindungen würde ich im Falle von OpenVPN sowieso andre Netze verwenden können, oder nicht?
Welche wichtigen Punkte sollte ich bei dieser Planung berücksichtigen? Ich möchte keine Design-Fehler begehen, deswegen bitte um fachliche Meinungen, Tips und Empfehlungen. Recht herzlichen Dank an Alle.
ich mache mir gerade Überlegungen, welchen Adressbereich ich am besten nutze sollte, um ein Firmen-Netzwerk zu strukturieren? Ich möchte es natürlich überschaubar halten und nicht überdimensionieren. Momentan wird 172.16.0.0/16 verwendet (also von 172.16.0.1 bis 172.16.254.254) soviel brauche ich natürlich nicht. Das Netzwerk besteht aus:
in der Zentrale ca. 400 Hosts momentan. Also ein Klasse-C reicht definitiv nicht aus. Es sollen aber auch Filialen per VPN-/Standleitungen angebunden werden, z.B. 3 Filialen mit jeweils 50 Rechnern. Diese Filialen sind momentan ein 192.168.0.0 /24 Class-C Netzwerk und über OpenVPN durch unsere Route/Firewall angebunden. Es könnte aber sein, dass in Zukunft extra Standleitungen hierfür verwenden werden.
Meine Grundüberlegung war, dass ich in der Zentrale bereits durch Subnetting ordentlich trenne, also z.B. nach EINKAUF, VERTRIEB, MARKETING, GL, PRODUKTION, usw.. einfach um ein schönes und übersichtliches Design zu bewahren. Das einzig sichere ist wohl, dass es ein Class-B Netz werden muss. Ich habe bei meiner Überlegung bewußt von 172.16.*.* auf 172.24.*.* gewechselt, damit eine saubere Trennung zwischen ALT und NEU erfolgen kann. Natürlich müssen alle Hosts darauf umgestellt werden, aber so würden automatisch die 'Leichen' entdeckt *lol*
Meine Idee bisher: ein 172.24.0.0/21 (also das Netz 172.24.0.1 bis 172.24.7.254 mit der Subnetmask 255.255.248.0). Das würde insgesamt 2046 Hosts erlauben, was mir wohl ausreichen sollte (grins). Ich könnte also 172.24.0.* für meine Serverlandschaft und die ganzen Systemgeräte verwenden. Den Bereich 172.24.1.* würde ich zum Beispiel für Geschäftsleitung und Controlling verwenden, 172.24.2.* für den Einkauf, 172.24.3.* für Vertrieb, usw...
Und für die Filialanbindungen würde ich im Falle von OpenVPN sowieso andre Netze verwenden können, oder nicht?
Welche wichtigen Punkte sollte ich bei dieser Planung berücksichtigen? Ich möchte keine Design-Fehler begehen, deswegen bitte um fachliche Meinungen, Tips und Empfehlungen. Recht herzlichen Dank an Alle.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 182724
Url: https://administrator.de/forum/firmen-netzwerk-ip-adressbereiche-subnetting-planung-und-design-182724.html
Ausgedruckt am: 24.04.2025 um 16:04 Uhr
20 Kommentare
Neuester Kommentar
Moin,
Cheers,
jsysde
Meine Grundüberlegung war, dass ich in der Zentrale bereits durch Subnetting ordentlich trenne, also z.B. nach EINKAUF,
VERTRIEB, MARKETING, GL, PRODUKTION, usw.. einfach um ein schönes und übersichtliches Design zu bewahren.
Was ist daran übersichtlich?VERTRIEB, MARKETING, GL, PRODUKTION, usw.. einfach um ein schönes und übersichtliches Design zu bewahren.
Cheers,
jsysde
Hallo
Also bei kleiner 1000 Stationen würd ich mir schon überlegen ob es Sinn macht das Netz zu segmentieren. Es wäre eventuell sinnvoll falls die Topologie damit abgebildet wird d.h. z.B. Entwicklung/Vertrieb/Verwaltung in getrennten Gebäuden oder ähnliches aber ansonsten würde ich eher folgendes machen:
- Ein flaches Netz für die Arbeitsstationen
- Ein zweites Netz für den Serverbackbone (Backup, Datenbanken, Servermanagement etc.)
- Eventuell noch ein zweites Serverbackbone für iSCSI oder ähnliches falls vorhanden
- Eine DMZ Struktur mit Zwischennetz
Ansonsten würde ich nur dann segmentieren wenn es besondere Anforderungen z.B. Hochsicherheitsbereich gibt.
Gruß
Andi
Also bei kleiner 1000 Stationen würd ich mir schon überlegen ob es Sinn macht das Netz zu segmentieren. Es wäre eventuell sinnvoll falls die Topologie damit abgebildet wird d.h. z.B. Entwicklung/Vertrieb/Verwaltung in getrennten Gebäuden oder ähnliches aber ansonsten würde ich eher folgendes machen:
- Ein flaches Netz für die Arbeitsstationen
- Ein zweites Netz für den Serverbackbone (Backup, Datenbanken, Servermanagement etc.)
- Eventuell noch ein zweites Serverbackbone für iSCSI oder ähnliches falls vorhanden
- Eine DMZ Struktur mit Zwischennetz
Ansonsten würde ich nur dann segmentieren wenn es besondere Anforderungen z.B. Hochsicherheitsbereich gibt.
Gruß
Andi
Hallo,
ich würde grundsätzlich keine Netzmit mehr als 254 Hosts verwenden, es sei den es gibt einen zwingenden Grund dafür!
Jede Abteilung bekommt ein Netz mit der erforderlichen Maske, d.h. bei 25 Mitarbeitern in einer Abteilung ein Netz mit 62 Teilnehmern.
(Immer genug Reserve
)
Zusätzlich Trennung in VLAN's.
Ist halt abhängig von deiner Netzwerk Hardware!
brammer
ich würde grundsätzlich keine Netzmit mehr als 254 Hosts verwenden, es sei den es gibt einen zwingenden Grund dafür!
Jede Abteilung bekommt ein Netz mit der erforderlichen Maske, d.h. bei 25 Mitarbeitern in einer Abteilung ein Netz mit 62 Teilnehmern.
(Immer genug Reserve
)Zusätzlich Trennung in VLAN's.
Ist halt abhängig von deiner Netzwerk Hardware!
brammer
Aha, interessant. Nungut, Einkauf,Vertrieb,Marketing,etc.. sitzen alle im gleichen Gebäude in jeweiligen Etagen verteilt. Es gibt aber noch Produktion (eine Halle nebenan) und Kommisionierung (ebenso etwas räumlich getrennt). Deshalb dachte ich von Anfang an zu trennen.
Du meintest "Hochsicherheitsbereich und segmentieren", was genau meinst du damit? In einem einzigen Subnet würde ja jede Maschine die andere erreichen können (ohne Router) da sie im gleichen Subnet befindet. Beispiel würde die 172.24.1.111 Zugriff auch auf die 172.24.5.222 haben, ohne Router/Gateway, da sie im selben Subnet sind. Einen Sicherheitsvorteil würde ja diese Art von Segmentierung nicht bringen, oder meintest du was anderes? ich verstehe den Sinn nicht.
@jsysde: einfach nur Kosmetik, ein Blick auf die IP würde mir schon gleich verraten, um was es sich für eine Maschiene handelt.
Ich muss doch aber eh ein Class-B Netz verwenden, um all meine Hosts unterzubringen, oder nicht? Um Mißverständnissen aus dem Weg zu gehen, noch eine Frage:
wenn ich 5 einzelne Class-C Subnets verwenden würde
192.168.0-4.* mit netmask 255.255.255.0
wäre ja eine Verbindung zwischen den einzelnen Subnets nicht möglich, hier müsste zwingend ein Router/Gateway dazwischengeschaltet werden. Soweit richtig, oder?
Andi, meintest du vielleicht mit deiner Aussage DIESE ART VON SEGMENTIERUNG? das würde IMHO schon ein wenig Sicherheit reinbringen, aber in meinem Fall und meinem Verständnis mit der vorgeschlagenen Subnetmask \21 nicht.
Du meintest "Hochsicherheitsbereich und segmentieren", was genau meinst du damit? In einem einzigen Subnet würde ja jede Maschine die andere erreichen können (ohne Router) da sie im gleichen Subnet befindet. Beispiel würde die 172.24.1.111 Zugriff auch auf die 172.24.5.222 haben, ohne Router/Gateway, da sie im selben Subnet sind. Einen Sicherheitsvorteil würde ja diese Art von Segmentierung nicht bringen, oder meintest du was anderes? ich verstehe den Sinn nicht.
@jsysde: einfach nur Kosmetik, ein Blick auf die IP würde mir schon gleich verraten, um was es sich für eine Maschiene handelt.
Ich muss doch aber eh ein Class-B Netz verwenden, um all meine Hosts unterzubringen, oder nicht? Um Mißverständnissen aus dem Weg zu gehen, noch eine Frage:
wenn ich 5 einzelne Class-C Subnets verwenden würde
192.168.0-4.* mit netmask 255.255.255.0
wäre ja eine Verbindung zwischen den einzelnen Subnets nicht möglich, hier müsste zwingend ein Router/Gateway dazwischengeschaltet werden. Soweit richtig, oder?
Andi, meintest du vielleicht mit deiner Aussage DIESE ART VON SEGMENTIERUNG? das würde IMHO schon ein wenig Sicherheit reinbringen, aber in meinem Fall und meinem Verständnis mit der vorgeschlagenen Subnetmask \21 nicht.
brammer: wieso nicht? dann müsste ich ja laut deiner Aussage einzelne Subnets aus der Klasse C wählen und unnötige Hardware anschaffen ,um zwischen den Subnets zu routen. Ausserdem würde iMHO unnötig Traffic dadurch erzeugt, was man ja eigentlich mit der passenden Subnetmask umgehen kann.
Oder habe ich jetzt grundsätzliches fehlverstanden, was Subnetting betrifft?
Oder habe ich jetzt grundsätzliches fehlverstanden, was Subnetting betrifft?
Moin,
Du siehst: Ansichtssache.
Cheers,
jsysde
ich würde grundsätzlich keine Netzmit mehr als 254 Hosts verwenden, es sei den es gibt einen zwingenden Grund
dafür!
Ich würde immer so wenig Netze wie möglich einrichten, es sei denn, es gibt einen zwingenden Grund, es anders zu machen.dafür!
Du siehst: Ansichtssache.
Cheers,
jsysde
bitte begründet das mal, damit ich das verstehe.
Moin,
Cheers,
jsysde
@jsysde: einfach nur Kosmetik, ein Blick auf die IP würde mir schon gleich verraten, um was es sich für eine Maschiene
handelt.
Das kannst du mit DHCP-Reservierung aber wesentlich einfacher erreichen. handelt.
Cheers,
jsysde
Das kommt doch auch immer auf die Anforderungen im Netz an. Haben die Abteilungen eigene Server? Welche Hardware ist vorhanden? Wieviel Traffic gibt es? Bedenke auch, das z.B. eine defekte Netzwerkkarte unter Umständen ein ganzes Layer2 Netz runterziehen kann oder auch die Fehlersuche deutlich erschwert. Oder ein Access Point den ein Mitarbeiter mal mitbringt und auch DHCP spielt. Oder ein Privatgerät, das zufällig den gleichen Namen hat wie ein Server. (Bitte nicht lachen, ich habe das alles schon erlebt.) Habt Ihr ausser VPN noch Zugriffe von aussen, z.B. HTTP? Wenn unterschiedliche Subnetze genutzt werden ist es z.B. auch nicht mehr so einfach allen möglichen Traffic zu sniffen. Wenn alle Geräte in einer Broadcast Domain sind, wird auch der Broadcast Traffic unter Umständen irgendwann unübersichtlich (was ich pers. nicht mag).
So wie Du das beschreibst (trennen mit "Subnetting" von 172.24.0.* 172.24.1.* usw mit einer Subnetzmaske von 255.255.248.0) wird gar nichts getrennt, da ja alle im gleichen Subnetz sind! Das macht unter Umständen nur die Rechner einfacher auffindbar, ist aber kein Design!
Ich bin selbst ein großer Freund von Segmentierung, da es die Sicherheit (sowohl die Betriebssicherheit als auch die Informationssicherheit) erhöht und man in einem Netz schneller Fehler findet, den Traffic regeln und übersehen kann.
Wenn Du z.B. igendwann VOIP einsetzen willst kommst Du vermutlich sowieso nicht mehr drum herum.
So wie Du das beschreibst (trennen mit "Subnetting" von 172.24.0.* 172.24.1.* usw mit einer Subnetzmaske von 255.255.248.0) wird gar nichts getrennt, da ja alle im gleichen Subnetz sind! Das macht unter Umständen nur die Rechner einfacher auffindbar, ist aber kein Design!
Ich bin selbst ein großer Freund von Segmentierung, da es die Sicherheit (sowohl die Betriebssicherheit als auch die Informationssicherheit) erhöht und man in einem Netz schneller Fehler findet, den Traffic regeln und übersehen kann.
Wenn Du z.B. igendwann VOIP einsetzen willst kommst Du vermutlich sowieso nicht mehr drum herum.
Ok, ich habe also vermutlich den Begriff "Segmentierung" oder "Subnetting" mißinterpretiert. In meinem vorgeschlagenen Beispiel würde also keine Segmentierung stattfinden, da alle Hosts in ein und derselben Broadcast-Domain untergebracht sind. Also spricht man von Segmentierung, bzw. Subnetting dann, wenn die einzelnen Netze untereinander strikt getrennt sind, z.B.
Netz1 = 172.16.0.0/24 (mask 255.255.255.0)
Netz2 = 172.16.1.0/24 (mask 255.255.255.0)
Das wäre also als Subnetting/Segmentierung, richtig?
Netz1 = 172.16.0.0/24 (mask 255.255.255.0)
Netz2 = 172.16.1.0/24 (mask 255.255.255.0)
Das wäre also als Subnetting/Segmentierung, richtig?
Zitat von @panguu:
Ok, ich habe also vermutlich den Begriff "Segmentierung" oder "Subnetting" mißinterpretiert. In meinem
vorgeschlagenen Beispiel würde also keine Segmentierung stattfinden, da alle Hosts in ein und derselben Broadcast-Domain
untergebracht sind. Also spricht man von Segmentierung, bzw. Subnetting dann, wenn die einzelnen Netze untereinander strikt
getrennt sind, z.B.
Netz1 = 172.16.0.0/24 (mask 255.255.255.0)
Netz2 = 172.16.1.0/24 (mask 255.255.255.0)
Das wäre also als Subnetting/Segmentierung, richtig?
Ja, das ich richtig so. Die Netze können dann über einen Router oder einen Layer3 Switch miteinander kommunizieren. Ob das in Deinem Fall so notwendig und sinnvoll wäre, ist mit den gegebenen Infos schwer zu sagen.Ok, ich habe also vermutlich den Begriff "Segmentierung" oder "Subnetting" mißinterpretiert. In meinem
vorgeschlagenen Beispiel würde also keine Segmentierung stattfinden, da alle Hosts in ein und derselben Broadcast-Domain
untergebracht sind. Also spricht man von Segmentierung, bzw. Subnetting dann, wenn die einzelnen Netze untereinander strikt
getrennt sind, z.B.
Netz1 = 172.16.0.0/24 (mask 255.255.255.0)
Netz2 = 172.16.1.0/24 (mask 255.255.255.0)
Das wäre also als Subnetting/Segmentierung, richtig?
Kurz gesagt alles in einer Broadcast Domain (in einem Subnetz) -> Layer2 -> Kommunikation innerhalb des Subnetzes erfolgt direkt
Verschiedene Subnetze -> Layer3 -> Kommunikation zwischen den Subnetzen erfolgt über Routing.
Ok, danke. Das habe ich jetzt verstanden. Aber wie sollte ich denn nun meine Hosts zuordnen? Sagen wir beispielsweise ich hab 50 Server, alle in einem großen Serverraum. Dann gibts von mir aus 300 Arbeitsclients (Linux+Windows alles verschiedene Distris und Versionen). Es gibt eine 'dicke' Internetleitung. Als Firewall wird IPFire eingesetzt, ein eigenständiger Linux-Host mit mehreren Netzwerkkarten. Diese Maschine ist auch OpenVPN-Server. Der IPFire hängt in der DMZ (10.0.0.0/24). In der DMZ gibts einen Webserver, und den Mailserver. Wenn sich jemand über OpenVPN einloggt, erhält er eine 10.58.20.* Adresse. Nungut, die einzelnen Abteilungen muss ich ja nicht unbedingt irgendwie trennen. Gerne hätte ich aber meine Serverlandschaft und wichtige Systemhosts getrennt, ebenso all die Drucker, und die Arbeitsstationen. Des Weiteren werden auch viele WLAN-Hosts verwendet, nicht für Gäste, jedoch für Überbrückung von Strecken. Das WLAN sollte ich doch wohl mindestens trennen, oder auch nicht?
Erklär mir bitte nähere, das mit dem Beispiel der defekten NIC und dass es das Layer2-Netz runterzieht. Auch dein Beispiel mit dem AP und dem DHCP-Server ist ein guter Punkt, wie schützt man sich eigentlich effektiv gegen so etwas? Oder dass eben jemand einen Server (BIND, DHCP, SAMBA) installiert und im Firmen-LAN in Betrieb nimmt? Das könnte ja wirklich fatal werden, wenn so ein Host mal übernimmt *schwitz*
Wie sollte ich also das neue Netz strukturieren eurer Meinung nach? Einerseits entnehmen ich euren Kommentaren, dass Segmentierung gut ist, andrerseits wird das Gegenteil behauptet.
Sollte ich also keine Segmentierung verwenden, sondern nur ein einzelnes grosses Subnet (172.24.0.0/21) oder in einzelne Class-C Subnetze trennen (172.24.0.0/24) und diese untereinander mit Layer3-Routern koppeln?
Erklär mir bitte nähere, das mit dem Beispiel der defekten NIC und dass es das Layer2-Netz runterzieht. Auch dein Beispiel mit dem AP und dem DHCP-Server ist ein guter Punkt, wie schützt man sich eigentlich effektiv gegen so etwas? Oder dass eben jemand einen Server (BIND, DHCP, SAMBA) installiert und im Firmen-LAN in Betrieb nimmt? Das könnte ja wirklich fatal werden, wenn so ein Host mal übernimmt *schwitz*
Wie sollte ich also das neue Netz strukturieren eurer Meinung nach? Einerseits entnehmen ich euren Kommentaren, dass Segmentierung gut ist, andrerseits wird das Gegenteil behauptet.
Sollte ich also keine Segmentierung verwenden, sondern nur ein einzelnes grosses Subnet (172.24.0.0/21) oder in einzelne Class-C Subnetze trennen (172.24.0.0/24) und diese untereinander mit Layer3-Routern koppeln?
Zitat von @panguu:
Ok, danke. Das habe ich jetzt verstanden. Aber wie sollte ich denn nun meine Hosts zuordnen? Sagen wir beispielsweise ich hab 50
Server, alle in einem großen Serverraum. Dann gibts von mir aus 300 Arbeitsclients (Linux+Windows alles verschiedene Distris
und Versionen). Es gibt eine 'dicke' Internetleitung. Als Firewall wird IPFire eingesetzt, ein eigenständiger
Linux-Host mit mehreren Netzwerkkarten. Diese Maschine ist auch OpenVPN-Server. Der IPFire hängt in der DMZ (10.0.0.0/24). In
der DMZ gibts einen Webserver, und den Mailserver. Wenn sich jemand über OpenVPN einloggt, erhält er eine 10.58.20.*
Adresse. Nungut, die einzelnen Abteilungen muss ich ja nicht unbedingt irgendwie trennen. Gerne hätte ich aber meine
Serverlandschaft und wichtige Systemhosts getrennt, ebenso all die Drucker, und die Arbeitsstationen.
Das kommt eben darauf an, meiner Meinung nach hängt das auch von der Topologie und den gewachsenen Strukturen ab (mehrere Gebäude usw., WLAN Brücken usw.). Fällt mir schwer, dazu konkret etwas zu sagen.Ok, danke. Das habe ich jetzt verstanden. Aber wie sollte ich denn nun meine Hosts zuordnen? Sagen wir beispielsweise ich hab 50
Server, alle in einem großen Serverraum. Dann gibts von mir aus 300 Arbeitsclients (Linux+Windows alles verschiedene Distris
und Versionen). Es gibt eine 'dicke' Internetleitung. Als Firewall wird IPFire eingesetzt, ein eigenständiger
Linux-Host mit mehreren Netzwerkkarten. Diese Maschine ist auch OpenVPN-Server. Der IPFire hängt in der DMZ (10.0.0.0/24). In
der DMZ gibts einen Webserver, und den Mailserver. Wenn sich jemand über OpenVPN einloggt, erhält er eine 10.58.20.*
Adresse. Nungut, die einzelnen Abteilungen muss ich ja nicht unbedingt irgendwie trennen. Gerne hätte ich aber meine
Serverlandschaft und wichtige Systemhosts getrennt, ebenso all die Drucker, und die Arbeitsstationen.
Erklär mir bitte nähere, das mit dem Beispiel der defekten NIC und dass es das Layer2-Netz runterzieht. Auch dein
Beispiel mit dem AP und dem DHCP-Server ist ein guter Punkt, wie schützt man sich eigentlich effektiv gegen so etwas? Oder
dass eben jemand einen Server (BIND, DHCP, SAMBA) installiert und im Firmen-LAN in Betrieb nimmt? Das könnte ja wirklich
fatal werden, wenn so ein Host mal übernimmt *schwitz*
Ich hatte eine Netzwerkkarte, die erfolgreich jeglich Kommunikation mit dem Router verhindert hat für alle Rechner die an dem gleich Switch hingen. Einen defekten Billigswitch, der zwei Ports so durcheinander gebracht hat, das beide Rechner nicht korrekt miteinander kommunizieren konnten, aber mit anderen schon. Einen AP, der bei Überhitzung den HTTP Verkehr auf die Zugriffsseite von einem NAS umgeleitet hat usw. usf.. Fast alles Billighardware.Beispiel mit dem AP und dem DHCP-Server ist ein guter Punkt, wie schützt man sich eigentlich effektiv gegen so etwas? Oder
dass eben jemand einen Server (BIND, DHCP, SAMBA) installiert und im Firmen-LAN in Betrieb nimmt? Das könnte ja wirklich
fatal werden, wenn so ein Host mal übernimmt *schwitz*
Ein Azubi bei uns hat mal einen DHCP Server aufgesetzt (unter Linux zum testen) und nicht aus dem Netz genommen, daraufhin hat der SBS seinen DHCP Dienst abgestellt (Eigenart v. SBS). Und einen gleichnamigen Rechner wie einen wichtigen Server hatte ich auch schon... mir würden evtl. auch noch mehr Beispiele einfallen... Die meisten dieser Dinge sind schwieriger zu finden desto größer die Broadcast Domain ist...
Wie sollte ich also das neue Netz strukturieren eurer Meinung nach? Einerseits entnehmen ich euren Kommentaren, dass Segmentierung
gut ist, andrerseits wird das Gegenteil behauptet.
Sollte ich also keine Segmentierung verwenden, sondern nur ein einzelnes grosses Subnet (172.24.0.0/21) oder in einzelne Class-C
Subnetze trennen (172.24.0.0/24) und diese untereinander mit Layer3-Routern koppeln?
Eher mit Layer-3 Switchen, Router sind immer Layer-3. Layer-2 Switche übernehmen dann die Verteilung auf die Clients.gut ist, andrerseits wird das Gegenteil behauptet.
Sollte ich also keine Segmentierung verwenden, sondern nur ein einzelnes grosses Subnet (172.24.0.0/21) oder in einzelne Class-C
Subnetze trennen (172.24.0.0/24) und diese untereinander mit Layer3-Routern koppeln?
Ok, also wenn ich solche Netze überbrücke, dann mit L3-Switches. Aber leider bin ich jetzt immer noch nicht schlauer, ob sich Segmentierung in meinem Falle lohnt oder nicht. Du sagtest, es hängt von der Topologie und den Strukturen ab. Ich versuch das mal zu erläutern:
Gebäude1:
EG = Vertrieb
1.OG = Einkauf
2.OG = Controlling, GL, und IT (hier ist auch der Serverraum mit 50 Servern, hauptsächlich VMs auf Basis Hypervisor Xen)
Gebäude2:
Produktion. Hier sind überall WLAN-APs installiert, da es Handscanner gibt, die ihre erfassten Daten über WLAN an einen Server übermitteln.
Gebäude 1+2 sind mit Kabel verbunden, da sie sich direkt nebeneinander befinden. Aufgrund der nicht ultramodernen Hardware laufen Streckenverbindungen zwischen Etagen und Gebäuden auf 100MBit/s. Nur die Serverlandschaft kommuniziert untereinander mit 1GBit/s. Über die Hosts sage ich mal grob: 50 Server, 250 Clients, 100 Netzwerkdrucker, 20 APs, +sonstige.
Gebäude1:
EG = Vertrieb
1.OG = Einkauf
2.OG = Controlling, GL, und IT (hier ist auch der Serverraum mit 50 Servern, hauptsächlich VMs auf Basis Hypervisor Xen)
Gebäude2:
Produktion. Hier sind überall WLAN-APs installiert, da es Handscanner gibt, die ihre erfassten Daten über WLAN an einen Server übermitteln.
Gebäude 1+2 sind mit Kabel verbunden, da sie sich direkt nebeneinander befinden. Aufgrund der nicht ultramodernen Hardware laufen Streckenverbindungen zwischen Etagen und Gebäuden auf 100MBit/s. Nur die Serverlandschaft kommuniziert untereinander mit 1GBit/s. Über die Hosts sage ich mal grob: 50 Server, 250 Clients, 100 Netzwerkdrucker, 20 APs, +sonstige.
Hallo
also die Frage zur Segmentierung wurde soweit ich sehe schon beantwortet, bedeutet tatsächlich nicht getrennte Nummernblöcke sondern durch Router (Layer3) getrennt. Sorry für die Unklarheiten.
In deinem Fall würde ich die Gebäude per Router/Firewall trennen sodass ein Virus-Problem z.B. nicht ohne weiteres in das Produktionsnetz kommt. Eventuell könnte man noch die WLANs in ein Subnetz/Segment stopfen welches ebenfalls per Firewall/Router getrennt ist, hängt aber davon ab ob sich die Zugriffe schön reglementieren lassen. Was bei 50 Server auch sinnvoll wäre ist wie gesagt ein Server-Backbone, d.h. alle Server die nicht direkt von den Clients im Zugriff sein müssen in ein getrenntes Netz und die Server die darauf zugreifen müssen als Dual-Homed (zwei Netzwerkanschlüsse) ausführen. In diesem Netz kann dann auch z.b. der Backup Server oder ähnliches stehen der i.d.R. nur mit den Servern sprechen muss.
Das Gebäude 1 würde ich (bis auf den Serverraum) nicht segmentieren, ob du dort unterschiedliche IP-Bereiche verwendest ist Geschmackssache.
Weitere Unterteilung würde ich nur dann vornehmen wenn konkrete Sicherheitsbedenken bestehen z.b. Abschottung der Drucker oder des WLAN.
Kommt dann aber auf den Einzelfall an.
Gruß
Andi
also die Frage zur Segmentierung wurde soweit ich sehe schon beantwortet, bedeutet tatsächlich nicht getrennte Nummernblöcke sondern durch Router (Layer3) getrennt. Sorry für die Unklarheiten.
In deinem Fall würde ich die Gebäude per Router/Firewall trennen sodass ein Virus-Problem z.B. nicht ohne weiteres in das Produktionsnetz kommt. Eventuell könnte man noch die WLANs in ein Subnetz/Segment stopfen welches ebenfalls per Firewall/Router getrennt ist, hängt aber davon ab ob sich die Zugriffe schön reglementieren lassen. Was bei 50 Server auch sinnvoll wäre ist wie gesagt ein Server-Backbone, d.h. alle Server die nicht direkt von den Clients im Zugriff sein müssen in ein getrenntes Netz und die Server die darauf zugreifen müssen als Dual-Homed (zwei Netzwerkanschlüsse) ausführen. In diesem Netz kann dann auch z.b. der Backup Server oder ähnliches stehen der i.d.R. nur mit den Servern sprechen muss.
Das Gebäude 1 würde ich (bis auf den Serverraum) nicht segmentieren, ob du dort unterschiedliche IP-Bereiche verwendest ist Geschmackssache.
Weitere Unterteilung würde ich nur dann vornehmen wenn konkrete Sicherheitsbedenken bestehen z.b. Abschottung der Drucker oder des WLAN.
Kommt dann aber auf den Einzelfall an.
Gruß
Andi
Klingt doch soweit vernünfig, Andi. Ich würde evtl. auch die Abteilungen in eigene Subnetze packen.
Hallo nochmal,
ich möchte noch gerne folgendes dazu wissen. Angenommen ich hab mir verschiedene Subnets erstellt
172.16.0.0/24
172.16.1.0/24
172.16.2.0/24
usw...
und diese über Layer3-capable Router miteinander verbunden. Was würde passieren wenn:
a) ich im 172.16.0.0/24 einen DHCP-Server installiere, damit er DHCP-Leases nur an dieses Subnet (also 172.16.0.0/24) verteilt und in den anderen Subnets auch jeweils einen eigenen DHCP-Server installiere für ihre eigenen Subnets ? Normalerweise sollten die sich ja nicht gegenseitig stören oder erreichen, weil sie ja in verschiedene Segmente liegen. Oder nicht?
b) ich im 172.16.0.0/24 einen DHCP-Server installiere, damit aber auch ein anderes Netz gerne mit DHCP-Leases versorgen möchte, also zusätzlich auch das 172.16.1.0/24 , nicht aber das 172.16.2.0/24 ! Das soll dann seinen eigenen DHCP-Server haben. Geht das überhaupt? Können DHCP-Anfragen/Broadcasts über Segmente hinweg durchgeschleift werden?
Wie würde so etwas funktionieren? Ich frage aus dem einfachen Grund, weil ich an folgendes dachte:
Subnet1 (172.16.0.0/24) : hier sollen alle bare-metal Server dranhängen (Bladeserver, IBM x Server, Dell PowerEdge,)
Subnet1-1 (172.16.11/24): hier würde ich gerne alle VMs betreiben unter unseren Hypervisor Farmen
Subnet2 (172.16.22.0/24) hier möchte ich alle Management-Interfaces dranhängen. Also nicht die produktive NIC des jeweiligen Gerätes, sondern nur für Steuerungszwecke von z.B. USV-Einheiten,BMC RSA der IBM-Server,oder KVM-Console Switch, oder die einzelnen IO-Module des Bladecenters, usw...
Subnet3 (172.16.33.0/24) hier hängen alle Workstation und Clients dran
Subnet4 (172.16.44.0/24) hier werden alle Netzwerkdrucker hängen, oder Projektoren/Beamer,usw..
Subnet5 (172.16.55.0/24) das soll die DMZ werden, hier hängen FTP-Server, Mail-Server, WWW-Server, ...
Subnet6 (172.16.66.0/24) Filiale1 über OpenVPN angebunden
Subnet7 (172.16.77.0/24) Filiale2 über OpenVPN angebunden
Subnet8 (172.16.88.0/24): hier kommen alle WLAN-Geräte rein, da es schon knapp 30 APs sind, und ca. 50 WLAN-Geräte, und 30 Smartphones die sich per WLAN andocken. Das ist ein eigenes Netz, nicht fürs Internetsurfen gedacht, spezielle Anwendungen. Ich möchte die WLAN-Geräte definitiv getrennt haben
Subnet9 (172.16.99.0/24) Testumgebungen, Testdomänen, und ähnliche
Weiter oben im Fred wurde gesagt, man sollte nicht zu viele Segmente haben. Aber ich verstehe noch nicht warum das zu einem Problem werden könnte/sollte ? Sind das eurer Meinung nach viel zu viele Segmente ??
Ich überlege mir nun natürlich wie das mit DHCP funktionieren sollte. Ich möchte alle Workstation/Clients mit DHCP-Leases versorgen. Würde es also gehen, wenn ich auf dem virtuellen Server 172.16.11.x einen DHCP-Server installieren, so daß er Leases nur an das Subnet3 verteilt? Für die WLAN-Geräte habe ich extra einen speziellen Switch der das managen kann, das sollte also nicht das Problem sein.
ich möchte noch gerne folgendes dazu wissen. Angenommen ich hab mir verschiedene Subnets erstellt
172.16.0.0/24
172.16.1.0/24
172.16.2.0/24
usw...
und diese über Layer3-capable Router miteinander verbunden. Was würde passieren wenn:
a) ich im 172.16.0.0/24 einen DHCP-Server installiere, damit er DHCP-Leases nur an dieses Subnet (also 172.16.0.0/24) verteilt und in den anderen Subnets auch jeweils einen eigenen DHCP-Server installiere für ihre eigenen Subnets ? Normalerweise sollten die sich ja nicht gegenseitig stören oder erreichen, weil sie ja in verschiedene Segmente liegen. Oder nicht?
b) ich im 172.16.0.0/24 einen DHCP-Server installiere, damit aber auch ein anderes Netz gerne mit DHCP-Leases versorgen möchte, also zusätzlich auch das 172.16.1.0/24 , nicht aber das 172.16.2.0/24 ! Das soll dann seinen eigenen DHCP-Server haben. Geht das überhaupt? Können DHCP-Anfragen/Broadcasts über Segmente hinweg durchgeschleift werden?
Wie würde so etwas funktionieren? Ich frage aus dem einfachen Grund, weil ich an folgendes dachte:
Subnet1 (172.16.0.0/24) : hier sollen alle bare-metal Server dranhängen (Bladeserver, IBM x Server, Dell PowerEdge,)
Subnet1-1 (172.16.11/24): hier würde ich gerne alle VMs betreiben unter unseren Hypervisor Farmen
Subnet2 (172.16.22.0/24) hier möchte ich alle Management-Interfaces dranhängen. Also nicht die produktive NIC des jeweiligen Gerätes, sondern nur für Steuerungszwecke von z.B. USV-Einheiten,BMC RSA der IBM-Server,oder KVM-Console Switch, oder die einzelnen IO-Module des Bladecenters, usw...
Subnet3 (172.16.33.0/24) hier hängen alle Workstation und Clients dran
Subnet4 (172.16.44.0/24) hier werden alle Netzwerkdrucker hängen, oder Projektoren/Beamer,usw..
Subnet5 (172.16.55.0/24) das soll die DMZ werden, hier hängen FTP-Server, Mail-Server, WWW-Server, ...
Subnet6 (172.16.66.0/24) Filiale1 über OpenVPN angebunden
Subnet7 (172.16.77.0/24) Filiale2 über OpenVPN angebunden
Subnet8 (172.16.88.0/24): hier kommen alle WLAN-Geräte rein, da es schon knapp 30 APs sind, und ca. 50 WLAN-Geräte, und 30 Smartphones die sich per WLAN andocken. Das ist ein eigenes Netz, nicht fürs Internetsurfen gedacht, spezielle Anwendungen. Ich möchte die WLAN-Geräte definitiv getrennt haben
Subnet9 (172.16.99.0/24) Testumgebungen, Testdomänen, und ähnliche
Weiter oben im Fred wurde gesagt, man sollte nicht zu viele Segmente haben. Aber ich verstehe noch nicht warum das zu einem Problem werden könnte/sollte ? Sind das eurer Meinung nach viel zu viele Segmente ??
Ich überlege mir nun natürlich wie das mit DHCP funktionieren sollte. Ich möchte alle Workstation/Clients mit DHCP-Leases versorgen. Würde es also gehen, wenn ich auf dem virtuellen Server 172.16.11.x einen DHCP-Server installieren, so daß er Leases nur an das Subnet3 verteilt? Für die WLAN-Geräte habe ich extra einen speziellen Switch der das managen kann, das sollte also nicht das Problem sein.
Hallo
zu a.) Solange du deinen Router(?) nicht so einstellst das er DHCP Brücke spielt sollte es i.O. sein. Ist es allerdings ein Layer3 fähiger Switch musst du DHCP per VLAN einschränken. Ein Router arbeitet i.d.R. *nur* auf Layer 3, ein entsprechender Switch *kann* auch Layer 3.
zu b.) Geht erstmal nicht, da weder Client noch Server erstmal erkennen zu welchem Netz sie gehören.
Lässt sich umgehen indem man entweder die Stationen anhand der MAC Adresse in die passenden Netze zwängt (Fehleranfällig!!!) oder einen DHCP Server mit zwei Interfaces verwendet der in der Lage ist die Bereiche pro Interface zu verwalten
Zum Rest: Zumindest die Workstation/Clients werden eventuell etwas mehr als 255 Adressen brauchen...
Zu den vielen Segmenten: Jedes Segement will verwaltet werden, der Traffic über Segmentgrenzen geht i.d.R. über *einen* Router Port und Segmentübergreifende Dienste sind eher unschön zu machen --> KISS (Keep IT Small&Simple).
Gruß
Andi
zu a.) Solange du deinen Router(?) nicht so einstellst das er DHCP Brücke spielt sollte es i.O. sein. Ist es allerdings ein Layer3 fähiger Switch musst du DHCP per VLAN einschränken. Ein Router arbeitet i.d.R. *nur* auf Layer 3, ein entsprechender Switch *kann* auch Layer 3.
zu b.) Geht erstmal nicht, da weder Client noch Server erstmal erkennen zu welchem Netz sie gehören.
Lässt sich umgehen indem man entweder die Stationen anhand der MAC Adresse in die passenden Netze zwängt (Fehleranfällig!!!) oder einen DHCP Server mit zwei Interfaces verwendet der in der Lage ist die Bereiche pro Interface zu verwalten
Zum Rest: Zumindest die Workstation/Clients werden eventuell etwas mehr als 255 Adressen brauchen...
Zu den vielen Segmenten: Jedes Segement will verwaltet werden, der Traffic über Segmentgrenzen geht i.d.R. über *einen* Router Port und Segmentübergreifende Dienste sind eher unschön zu machen --> KISS (Keep IT Small&Simple).
Gruß
Andi
Danke soweit. Ich hatte irgendwo mal aufgeschnappt, dass es doch geht mit DHCP über mehrere Subnets durch. Da gab's irgendein Protokoll, der das erlaubt. Ich weiss nur nicht welches? Vielleicht wars auch was Router/Switch-spezifisches. Wer weiß da mehr? Wie könnte ich einem Switch beibringen, in welche Subnets er DHCP-Datenpakete weiterleiten/verarbeiten soll ?
Kann mir jemand brauchbare Links nennen zu Tutorials, wo genau beschrieben wird wie so Subnetting in der Praxis betrieben wird. Ich würde gerne mal sehen, wie das richtig gemacht wird, evtl. auch mit Layouts, Skizzen und Configs. Freue mich auf eure Antworten und sage schonmal ein dickes Danke im voraus.
Ein schönes Wochenende wünsche ich Allen.
Kann mir jemand brauchbare Links nennen zu Tutorials, wo genau beschrieben wird wie so Subnetting in der Praxis betrieben wird. Ich würde gerne mal sehen, wie das richtig gemacht wird, evtl. auch mit Layouts, Skizzen und Configs. Freue mich auf eure Antworten und sage schonmal ein dickes Danke im voraus.
Ein schönes Wochenende wünsche ich Allen.
Hallo,
was du meinst ist "IP helper"
Eine suche nach "subnetting Tutorial" findet 178.000 Treffer, da sollte was passendes dabei sein.
Ein Schema oder Grundsätzliche Aussage dazu sind relativ schwierig da die Struktur entweder auf jede Firma mit den jeweiligen Ansprüchen zugeschnitten ist, oder, es sich um eine gewachsene, gelebte Struktur handelt.
Empfehlenswert ist hier wieder mal das BSI
Die common criteria sind trocken aber informativ.
brammer
was du meinst ist "IP helper"
Eine suche nach "subnetting Tutorial" findet 178.000 Treffer, da sollte was passendes dabei sein.
Ein Schema oder Grundsätzliche Aussage dazu sind relativ schwierig da die Struktur entweder auf jede Firma mit den jeweiligen Ansprüchen zugeschnitten ist, oder, es sich um eine gewachsene, gelebte Struktur handelt.
Empfehlenswert ist hier wieder mal das BSI
Die common criteria sind trocken aber informativ.
brammer
