13
IP Adressen erschöpft
Hallo zusammen,
unsere IP - Adressen in der Hauptstelle sind "erschöpft". Was nun ?
Die Hauptstelle hat den IP-Bereich 192.168.1.X
Es gibt 4 Filialen, die über Cisco - Router verbunden sind:
192.168.2.x
192.168.3.x
192.168.4.x
192.168.5.x
Subnetz ist überall 255.255.255.0
In der Hauptstelle sind nun fast alle Adressen vergeben (Server und Drucker fix, Clients halt per DHCP von Win2003 Server).
Hat jemand ne Idee wie man das am dümmste lösen kann ?
Vielen Dank !
unsere IP - Adressen in der Hauptstelle sind "erschöpft". Was nun ?
Die Hauptstelle hat den IP-Bereich 192.168.1.X
Es gibt 4 Filialen, die über Cisco - Router verbunden sind:
192.168.2.x
192.168.3.x
192.168.4.x
192.168.5.x
Subnetz ist überall 255.255.255.0
In der Hauptstelle sind nun fast alle Adressen vergeben (Server und Drucker fix, Clients halt per DHCP von Win2003 Server).
Hat jemand ne Idee wie man das am dümmste lösen kann ?
Vielen Dank !
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 104952
Url: https://administrator.de/contentid/104952
Ausgedruckt am: 15.11.2024 um 07:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
als dümmste Lösung fällt mir z.b. ein IP-Adressen doppelt zu vergeben
Ich würde vorschlagen den IP-Bereich dort zu ändern in 10.1.n.n und als Maske 255.255.0.0 zu verwenden.
Die IP-Bereich in den anderen Standort muß man nicht unbedingt ändern. Der Übersichtlichkeit hilft es aber deutlich.
Stefan
als dümmste Lösung fällt mir z.b. ein IP-Adressen doppelt zu vergeben
Ich würde vorschlagen den IP-Bereich dort zu ändern in 10.1.n.n und als Maske 255.255.0.0 zu verwenden.
Die IP-Bereich in den anderen Standort muß man nicht unbedingt ändern. Der Übersichtlichkeit hilft es aber deutlich.
Stefan
Hallo,
Möglichkeit 1: wie Stefan schon beschrieben; komplett anderes Subnet.
Möglichkeit 2: Subnetting
Als Netz kannst Du z.B. 192.168.0.0 / 255.255.254.0 nehmen. Dann kannst Du Adressen von 192.168.0.1 bis 192.168.1.254 verwenden.
Vorteil: Du brauchst Deine vorhandenen IPs nicht anfassen; nur die Subnetmask (mit DHCP kein Problem). Die Server und Drucker musst Du manuell anfassen.
Gruss
Randy
Möglichkeit 1: wie Stefan schon beschrieben; komplett anderes Subnet.
Möglichkeit 2: Subnetting
Als Netz kannst Du z.B. 192.168.0.0 / 255.255.254.0 nehmen. Dann kannst Du Adressen von 192.168.0.1 bis 192.168.1.254 verwenden.
Vorteil: Du brauchst Deine vorhandenen IPs nicht anfassen; nur die Subnetmask (mit DHCP kein Problem). Die Server und Drucker musst Du manuell anfassen.
Gruss
Randy
Richtig,
das System von Randyman kann man bis zur Subnetzmaske 255.255.0.0 betreiben, weil 192.168.0.0 bis 192.168.255.255 für lokale Zwecke reserviert ist.
Denk aber dran, dass du auf sämtlichen Routern in der VPN-Konfiguration sehr wahrscheinlich auch die Subnetzmaske für das Remotenetz (also das Netz der Zentrale) ändern musst.
das System von Randyman kann man bis zur Subnetzmaske 255.255.0.0 betreiben, weil 192.168.0.0 bis 192.168.255.255 für lokale Zwecke reserviert ist.
Denk aber dran, dass du auf sämtlichen Routern in der VPN-Konfiguration sehr wahrscheinlich auch die Subnetzmaske für das Remotenetz (also das Netz der Zentrale) ändern musst.
hi,
danke für die vielen Antworten.
tikayevent, wenn ich die Subnetzmaske im Bereich 255.255.0.0 (wäre ja am besten, hätte man ja ip-adressen ohne ende) ansiedeln würde, würde ich aber doch die anderen Netzte (Filialen) mit einschließen, was doch zu Problemen führen würde oder nicht ?
Die Router werden vo t-systems betreut, denen muss man nur die neue ip-konfiguration des netztes geben und dann konfigurieren die das entsprechend um. Somit also erstmal nicht mein problem
Grüße und guten Rutsch euch allen !
danke für die vielen Antworten.
tikayevent, wenn ich die Subnetzmaske im Bereich 255.255.0.0 (wäre ja am besten, hätte man ja ip-adressen ohne ende) ansiedeln würde, würde ich aber doch die anderen Netzte (Filialen) mit einschließen, was doch zu Problemen führen würde oder nicht ?
Die Router werden vo t-systems betreut, denen muss man nur die neue ip-konfiguration des netztes geben und dann konfigurieren die das entsprechend um. Somit also erstmal nicht mein problem
Grüße und guten Rutsch euch allen !
Richtig, hab ja geschrieben man kann. Randymans Vorschlag sollte erstmal vollkommen ausreichen.
War halt nur ein Hinweis auf das globale Maximum für diesen Bereich von IP-Adressen.
War halt nur ein Hinweis auf das globale Maximum für diesen Bereich von IP-Adressen.
Der Fehler ist schon weit vorher gemacht worden bei der IP Adressierung.
In einem Firmennetz dumme Class C 192.168er Adressen zu verwenden und dann auch noch mit .1, .2 ist schon fragwürdig, da der RFC 1918 uns ja ausreichend Platz lässt:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Die Lösung ist recht banal....
Du kannst das Problem ganz einfach mit deinen Ciscos über dessen Konfiguration (Hauptstelle) lösen:
Der Cisco erlaubt für Migrationszwecke eine sogenannte "secondary IP Adresse" auf dem lokalen LAN Interface zu verwenden ! Damit kannst du dann 2 IP Netze auf einem LAN fahren.
Das ist zwar nicht ganz IP konform, rettet dich aber schnell und einfach erstmal aus deiner misslichen Adress Lage.
Du machst dazu folgendes:
So nun kannst du weitere 253 Endergäte im Netz 192.168.10.0 am LAN Interface zufügen und alles ist gut !
Langfristig solltest du das aber nicht so lassen, da du den Router damit ins Process switching zwingst (er muss ja nun lokal zw. dem .1er und .10 Netz routen !) und es Probleme mit den ICMP Paketen geben kann. (ICMP wird nur von der IP Primäradresse versendet !)
Es rettet dich aber erstmal schnell aus der Adress Zwickmühle.
Du solltest längerfristig dann dem Interface einen IP Adressbereich von 172.16.0.0 mit 16 Bit vergeben oder was auch immer in der Hauptstelle und damit ein etwas intelligenteres IP Design einläuten !!!
Das kann langsam Stück für Stück passieren wenn du eine weitere IP seconday Adress verwendes (Cisco supportet mehrere pro Interface) und dann deine Endgeräte in der Hauptstelle Schritt für Schritt migrierst.
Wenn du schlau bist dann nimmst du zur Migration auf ein neues Netz gleich eine Class B Adresse wie z.B. die 172.16.0.0 /16 statt der 192.168.10.0 wie oben beschrieben und migrierst langsam deine Hauptstelle von 192.168.0.0 /24 auf die 172.16.0.0 /16
Hast du alle Geräte in der Hauptstelle in diesem netz nimmst du einfach die 192.168.0.x vom Router weg und setzt die 172.16.1.254, Maske: 255.255.0.0 als Routeradresse und schon ist dein Netz unterbrechungsfrei auf eine neue IP migriert.
Damit kannst du dann 65.534 Endgeräte adressieren was ja erstmal für eine Weile reichen sollte, oder ???
In einem Firmennetz dumme Class C 192.168er Adressen zu verwenden und dann auch noch mit .1, .2 ist schon fragwürdig, da der RFC 1918 uns ja ausreichend Platz lässt:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Die Lösung ist recht banal....
Du kannst das Problem ganz einfach mit deinen Ciscos über dessen Konfiguration (Hauptstelle) lösen:
Der Cisco erlaubt für Migrationszwecke eine sogenannte "secondary IP Adresse" auf dem lokalen LAN Interface zu verwenden ! Damit kannst du dann 2 IP Netze auf einem LAN fahren.
Das ist zwar nicht ganz IP konform, rettet dich aber schnell und einfach erstmal aus deiner misslichen Adress Lage.
Du machst dazu folgendes:
- Telnet auf den Router und einloggen, dann conf t
- Dann mit int eth 0 (lokales Ethernet) anwählen...
- Dann 2te IP vergeben mit ip address 192.168.10.254 255.255.255.0 secondary
- mit ctrl z raus aus dem Konfig Modus und mit wr Konfig sichern
So nun kannst du weitere 253 Endergäte im Netz 192.168.10.0 am LAN Interface zufügen und alles ist gut !
Langfristig solltest du das aber nicht so lassen, da du den Router damit ins Process switching zwingst (er muss ja nun lokal zw. dem .1er und .10 Netz routen !) und es Probleme mit den ICMP Paketen geben kann. (ICMP wird nur von der IP Primäradresse versendet !)
Es rettet dich aber erstmal schnell aus der Adress Zwickmühle.
Du solltest längerfristig dann dem Interface einen IP Adressbereich von 172.16.0.0 mit 16 Bit vergeben oder was auch immer in der Hauptstelle und damit ein etwas intelligenteres IP Design einläuten !!!
Das kann langsam Stück für Stück passieren wenn du eine weitere IP seconday Adress verwendes (Cisco supportet mehrere pro Interface) und dann deine Endgeräte in der Hauptstelle Schritt für Schritt migrierst.
Wenn du schlau bist dann nimmst du zur Migration auf ein neues Netz gleich eine Class B Adresse wie z.B. die 172.16.0.0 /16 statt der 192.168.10.0 wie oben beschrieben und migrierst langsam deine Hauptstelle von 192.168.0.0 /24 auf die 172.16.0.0 /16
Hast du alle Geräte in der Hauptstelle in diesem netz nimmst du einfach die 192.168.0.x vom Router weg und setzt die 172.16.1.254, Maske: 255.255.0.0 als Routeradresse und schon ist dein Netz unterbrechungsfrei auf eine neue IP migriert.
Damit kannst du dann 65.534 Endgeräte adressieren was ja erstmal für eine Weile reichen sollte, oder ???
Bei IPv4 ist Subnetting (erst recht bei Filialen) ein Muss... Es lebe IPv6... wenn es denn irgendwann mal kommen möge! Dann hat der Spuk "Subnetz" ein Ende. Bis dahin favorisiere ich den Tip von Randyman.
Ein erfolgreiches & gesundes neues Jahr noch an alle!
Gruß, Marko
Ein erfolgreiches & gesundes neues Jahr noch an alle!
Gruß, Marko
Es ist nicht unbedingt ein Muss.... Man kann ja auch jeder Filiale ein eigenes IP Netz geben wenn man denn so verschwenderisch sein will.
Das hat er ja mit seinen Class C Netzen .2, .3, .4 usw. oben ja auch schon richtig gemacht..
Mit Class B RFC 1918 Adressen ginge das auch:
172.16.0.0
172.17.0.0
172.18.0.0 usw. usw.
Ist nur unsinnig, denn da wäre ein intelligentes Subnetting in der Tat besser !!!
Cisco und sein Featureset retten ihn aber erstmal temporär.....
Nebenbei: IPv6 macht das genau gleich nur eben dynamisch wenn man das dann will...
Das hat er ja mit seinen Class C Netzen .2, .3, .4 usw. oben ja auch schon richtig gemacht..
Mit Class B RFC 1918 Adressen ginge das auch:
172.16.0.0
172.17.0.0
172.18.0.0 usw. usw.
Ist nur unsinnig, denn da wäre ein intelligentes Subnetting in der Tat besser !!!
Cisco und sein Featureset retten ihn aber erstmal temporär.....
Nebenbei: IPv6 macht das genau gleich nur eben dynamisch wenn man das dann will...
Moin moin.
Mein Vorschlag:
Wenn die Clients nicht unbedingt direkt miteinander kommunizieren müssen, dann würde ich sämtliche Clients der Hauptfiliale hinter einem NAT-Router, der einen eigenen DHCP-Server hat (z.B. Clientnetz 10.11.0.0/16), verstecken, so daß dann für alle Clients der H.Fil. nur eine IP-Adresse des Netzes 192.168.1.0/24 genutzt wird.
Sollten dann jene Clients per mstsc/ssh/vnc erreicht werden, so wird halt je Client ein passender Port durch den NAT-Router durchgeschleift.
Mein Vorschlag:
Wenn die Clients nicht unbedingt direkt miteinander kommunizieren müssen, dann würde ich sämtliche Clients der Hauptfiliale hinter einem NAT-Router, der einen eigenen DHCP-Server hat (z.B. Clientnetz 10.11.0.0/16), verstecken, so daß dann für alle Clients der H.Fil. nur eine IP-Adresse des Netzes 192.168.1.0/24 genutzt wird.
Sollten dann jene Clients per mstsc/ssh/vnc erreicht werden, so wird halt je Client ein passender Port durch den NAT-Router durchgeschleift.
Srv1 ]-----------+ (andere
Srv2 ]-----------+ Filialen)<=#
... | |
Srv3 ]-----------+-------+---[Ci.-R.]====#
|
Cl.1}--+ |
Cl.2}--+ |
Cl.3}--+--[NAT-Router]---+
... | (z.B. 192.168.1.100)
Cl.n}--+
(10.11.x.y)
Kannst du vergessen, ...funktioniert schon dann nicht wenn die Clients alle in einem MS Netz arbeiten was vermutlich der Fall ist ?!
Die NAT Firewall kann das per PFW zwar für gerade einen einzigen Rechner freigeben kann aber NICHT für einen 2ten, 3ten, 4ten usw.
Der Aufwand macht auch wenig Sinn, denn die Eingabe des Kommandos:
ip address 172.16.0.0 255.255.0.0 secondary
auf dem Cisco Router am LAN Interface kostet ihn... na sagen wir mal im schlimmsten Falle (wenn er Laie ist) 30 Sekunden !
Dann ist sein Problem aber schon umfassend gelöst...
Da machen andere "..von hinten durch die Brust ins Auge" Lösungen, die mehr oder minder nur bedingt funktionieren, doch keinen Sinn mehr... ?!
jimknopf74 scheint ja aber eh das Interesse an einer Lösung verloren zu haben, denn Feedback gibt er ja leider keins mehr...
Die NAT Firewall kann das per PFW zwar für gerade einen einzigen Rechner freigeben kann aber NICHT für einen 2ten, 3ten, 4ten usw.
Der Aufwand macht auch wenig Sinn, denn die Eingabe des Kommandos:
ip address 172.16.0.0 255.255.0.0 secondary
auf dem Cisco Router am LAN Interface kostet ihn... na sagen wir mal im schlimmsten Falle (wenn er Laie ist) 30 Sekunden !
Dann ist sein Problem aber schon umfassend gelöst...
Da machen andere "..von hinten durch die Brust ins Auge" Lösungen, die mehr oder minder nur bedingt funktionieren, doch keinen Sinn mehr... ?!
jimknopf74 scheint ja aber eh das Interesse an einer Lösung verloren zu haben, denn Feedback gibt er ja leider keins mehr...
Hallo zusammen,
vielen Dank für die Tipps. Keine Angst, habe natürlich nicht das Interesse an einer Lösung verloren
Alle Clients arbeiten natürlich in einem MS - Netz. Ich favorisiere im Moment die Lösung der Migration auf ein Class B Netz, macht glaube ich auf lange Sicht am meisten Sinn.
Das ganze ist halt nur sehr kompliziert, die Filialen im Ausland, outgesourcte SAP Server, die über irgendwelche Skripts wiederrum mit eigenen Archivservern verknüpft sind. Das ganze Netz darf keinen Tag stillstehen.
Habe jetzt gerhört, das man eventuell noch was mit VLan's machen könnte, damit habe ich allerdings noch überhaupt keine Erfahrungen gemacht...
vielen Dank für die Tipps. Keine Angst, habe natürlich nicht das Interesse an einer Lösung verloren
Alle Clients arbeiten natürlich in einem MS - Netz. Ich favorisiere im Moment die Lösung der Migration auf ein Class B Netz, macht glaube ich auf lange Sicht am meisten Sinn.
Das ganze ist halt nur sehr kompliziert, die Filialen im Ausland, outgesourcte SAP Server, die über irgendwelche Skripts wiederrum mit eigenen Archivservern verknüpft sind. Das ganze Netz darf keinen Tag stillstehen.
Habe jetzt gerhört, das man eventuell noch was mit VLan's machen könnte, damit habe ich allerdings noch überhaupt keine Erfahrungen gemacht...
Ja, das würde auch gehen, erfordert aber neue Hardware für dich nämlich einen VLAN (und besser noch zusätzlich Layer 3 Routing) Switch.
Damit kannst du dann an deiner Hauptstelle diverse VLANs mit weiteren IP Netzen erzeugen und über den Switch lokal routen oder über einen Server wenn du willst.
Siehe hier:
Technisch ist aber aus Performance Sicht die Switch Lösung immer vorzuziehen !!
Letztlich erfordert das aber wiederum einen temporären Stillstand deines Netzes in der Hauptstelle was nicht sein muss !!!
Die Migration des IP Netzes mit der dem Weg über die Secondary IP Adresse des Ciscos kannst du ganz nebenbei in Ruhe während der Arbeitszeit machen OHNE das du das Netz je unterbrechen musst !!!
Du richtest das Netz einfach erstmal ein, passt das Routing an und migrierst dann Schritt für Schritt alle Rechner der Hauptstelle einzeln in dieses neue Class B Netzwerk !!!
Einfacher und problemloser kannst du es bei deinen Vorgaben doch nicht haben, oder ???
VLANs kannst du dann immer noch einrichten !! Infos zu VLANs findest du unter anderem hier:
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
Damit kannst du dann an deiner Hauptstelle diverse VLANs mit weiteren IP Netzen erzeugen und über den Switch lokal routen oder über einen Server wenn du willst.
Siehe hier:
Technisch ist aber aus Performance Sicht die Switch Lösung immer vorzuziehen !!
Letztlich erfordert das aber wiederum einen temporären Stillstand deines Netzes in der Hauptstelle was nicht sein muss !!!
Die Migration des IP Netzes mit der dem Weg über die Secondary IP Adresse des Ciscos kannst du ganz nebenbei in Ruhe während der Arbeitszeit machen OHNE das du das Netz je unterbrechen musst !!!
Du richtest das Netz einfach erstmal ein, passt das Routing an und migrierst dann Schritt für Schritt alle Rechner der Hauptstelle einzeln in dieses neue Class B Netzwerk !!!
Einfacher und problemloser kannst du es bei deinen Vorgaben doch nicht haben, oder ???
VLANs kannst du dann immer noch einrichten !! Infos zu VLANs findest du unter anderem hier:
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
Jo, denke so werde ichs machen. Vielen Dank !
