10
IP-Adressen erschöpft. Maske vergrößern oder Geräte in VLAN auslagern?
Hallo,
wir hatten in unserer Firma früher (vor rund 10 Jahren) ein /24-Netz mit somit 254 freien Adressen. Da diese knapp wurden, haben wir die Maske auf 255.255.254.0 (/23) geändert und somit den Adressvorrat verdoppelt. Durch immer mehr IP-Telefone, virtuelle Server usw. wird der Adressvorrat schon wieder knapp. Jetzt haben wir die Möglichkeit, z. B. die IP-Telefone (oder auch Server oder Drucker) in ein eigenes VLAN zu packen, was natürlich den Konfigurationsaufwand nach sich zieht, jeden Switch-Port, an dem ein Telefon hängt, taggen zu müssen oder den Adressvorrat erneut zu verdoppeln, indem wir auf /22 mit dann 1022 Adressen gehen. Dazu muss jedoch vorher das benachbarte Netz komplett umgezogen werden, was schon einen Aufwand darstellt (jedoch ein einmaliger Aufwand im Gegensatz zu einem andauernden bei der VLAN-Variante).
Ich persönlich tendiere dazu, das Netz auf /22 umzustellen, mein Kollege ist jedoch der Meinung, dass es nicht sinnvoll ist, so große Netze zu betreiben, weil der gesamte Traffic dann in diesem Netz stattfindet. Ich sehe das anders, denn der Traffic wird ja deswegen nicht weniger und läuft ja immer noch auf den gleichen Switchen. An der Bandbreite ändert die Aufteilung in mehrere VLANs ja nichts.
Bisher:
Netz 1: 192.168.100.0/23 (192.168.100.0-192.168.101.255)
Netz 2: 192.168.102.0/23 (192.168.102.0-192.168.103.255)
Neu:
Netz 1: 192.168.100.0/22 (192.168.100.0-192.168.103.255)
Netz 2: 192.168.120.0/23 (192.168.120.0-192.168.121.255)
Wie seht ihr das?
Ist ein Netz mit 1022 Adressen zu groß?
Sollten Telefone/Server/Drucker in ein eigenes Netz?
Nachtrag:
Ich spreche hier von derzeit folgender Geräteanzahl:
85 IP-Telefone
85 Rechner und Thin-Clients
40 Kopierer und Drucker
140 virtuelle Server und Clients
wir hatten in unserer Firma früher (vor rund 10 Jahren) ein /24-Netz mit somit 254 freien Adressen. Da diese knapp wurden, haben wir die Maske auf 255.255.254.0 (/23) geändert und somit den Adressvorrat verdoppelt. Durch immer mehr IP-Telefone, virtuelle Server usw. wird der Adressvorrat schon wieder knapp. Jetzt haben wir die Möglichkeit, z. B. die IP-Telefone (oder auch Server oder Drucker) in ein eigenes VLAN zu packen, was natürlich den Konfigurationsaufwand nach sich zieht, jeden Switch-Port, an dem ein Telefon hängt, taggen zu müssen oder den Adressvorrat erneut zu verdoppeln, indem wir auf /22 mit dann 1022 Adressen gehen. Dazu muss jedoch vorher das benachbarte Netz komplett umgezogen werden, was schon einen Aufwand darstellt (jedoch ein einmaliger Aufwand im Gegensatz zu einem andauernden bei der VLAN-Variante).
Ich persönlich tendiere dazu, das Netz auf /22 umzustellen, mein Kollege ist jedoch der Meinung, dass es nicht sinnvoll ist, so große Netze zu betreiben, weil der gesamte Traffic dann in diesem Netz stattfindet. Ich sehe das anders, denn der Traffic wird ja deswegen nicht weniger und läuft ja immer noch auf den gleichen Switchen. An der Bandbreite ändert die Aufteilung in mehrere VLANs ja nichts.
Bisher:
Netz 1: 192.168.100.0/23 (192.168.100.0-192.168.101.255)
Netz 2: 192.168.102.0/23 (192.168.102.0-192.168.103.255)
Neu:
Netz 1: 192.168.100.0/22 (192.168.100.0-192.168.103.255)
Netz 2: 192.168.120.0/23 (192.168.120.0-192.168.121.255)
Wie seht ihr das?
Ist ein Netz mit 1022 Adressen zu groß?
Sollten Telefone/Server/Drucker in ein eigenes Netz?
Nachtrag:
Ich spreche hier von derzeit folgender Geräteanzahl:
85 IP-Telefone
85 Rechner und Thin-Clients
40 Kopierer und Drucker
140 virtuelle Server und Clients
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1891097988
Url: https://administrator.de/contentid/1891097988
Printed on: May 8, 2024 at 00:05 o'clock
10 Comments
Latest comment
Moin,
hätte man wohl schon lange machen sollen. Macht das.
hätte man wohl schon lange machen sollen. Macht das.
Nun - ganz von der Sicherheit abgesehen - stell dir doch einfach mal folgendes vor: Du kommst in einen Raum und rufst laut "wer ist hier drin". Was hilft dir jetzt mehr: wenn in dem Raum dir nur z.B. 50 Leute antworten - oder wenn da 500 antworten (und am besten gleichzeitig). Und jedesmal wenn jemand in den Raum kommt wird der das auch wieder machen...
Das ganze nennt sich "Broadcast" - und allein dafür macht man solche Netze nicht mehr.
Und weiterhin würde ich bei der Menge an Geräten vermutlich allein schon zwischen "Arbeitsnetz", "Server", "Geräte" (wie drucker usw.) und ggf. noch Admin unterscheiden... Der Aufwand mit den VLANs ist heute nicht mehr wirklich gross und fast schon minimal-standard...
Das ganze nennt sich "Broadcast" - und allein dafür macht man solche Netze nicht mehr.
Und weiterhin würde ich bei der Menge an Geräten vermutlich allein schon zwischen "Arbeitsnetz", "Server", "Geräte" (wie drucker usw.) und ggf. noch Admin unterscheiden... Der Aufwand mit den VLANs ist heute nicht mehr wirklich gross und fast schon minimal-standard...
1
Ja was denn? Maske auf /22 oder VLAN?
Trennung, VLAN
Moin,
Definitiv VLAN
Fange mit den Clients an, das ist die leichteste Übung (grundsätzlich)
Als nächstes nimmst du dir die Telefone vor
Auch kein Problem, erfordert aber zwei... drei Schritte mehr...
Wenn die Clients und Telefone durch sind, kommen die Drucker dran...
Hier natürlich in Abstimmung mit den Printservern etc...
Definitiv VLAN
Fange mit den Clients an, das ist die leichteste Übung (grundsätzlich)
- neues VLAN an allen Switche anlegen
- Firewall-Regeln an der routenden Komponente definieren
- DHCP-Scope am DHCP-Server eröffnen
- Zug um Zug die Clients am Switch umziehen
Als nächstes nimmst du dir die Telefone vor
- wie oben, nur dass du für das VoIP-VLAN noch die TK-Anlage "anfassen" solltest
- sowie QoS für das VLAN definieren müsstest
jeden Switch-Port, an dem ein Telefon hängt
das klingt, als wenn die Clients an den Telefonen und nicht an einem eigenen Switchport hängen?Auch kein Problem, erfordert aber zwei... drei Schritte mehr...
Wenn die Clients und Telefone durch sind, kommen die Drucker dran...
Hier natürlich in Abstimmung mit den Printservern etc...
1
Moin...
also höre auf ihn
nutze VLANs... das ist schnell erledigt
Frank
Ich persönlich tendiere dazu, das Netz auf /22 umzustellen, mein Kollege ist jedoch der Meinung, dass es nicht sinnvoll ist, so große Netze zu betreiben, weil der gesamte Traffic dann in diesem Netz stattfindet.
da hat er fast recht mit...also höre auf ihn
Ich sehe das anders, denn der Traffic wird ja deswegen nicht weniger und läuft ja immer noch auf den gleichen Switchen. An der Bandbreite ändert die Aufteilung in mehrere VLANs ja nichts.
nutze VLANs... das ist schnell erledigt
Frank
Vielen Dank, der input hat mir sehr geholfen!
Nur in Ausnahmefällen, wenn kein Port mehr frei war, kommt also vor, aber selten.
Zitat von @em-pie:
das klingt, als wenn die Clients an den Telefonen und nicht an einem eigenen Switchport hängen?
Auch kein Problem, erfordert aber zwei... drei Schritte mehr...
das klingt, als wenn die Clients an den Telefonen und nicht an einem eigenen Switchport hängen?
Auch kein Problem, erfordert aber zwei... drei Schritte mehr...
Nur in Ausnahmefällen, wenn kein Port mehr frei war, kommt also vor, aber selten.
Zitat von @HanSolo72:
85 IP-Telefone
85 Rechner und Thin-Clients
40 Kopierer und Drucker
140 virtuelle Server und Clients
85 IP-Telefone
85 Rechner und Thin-Clients
40 Kopierer und Drucker
140 virtuelle Server und Clients
Du braucht mindestens 4, besser 5 VLANS/separate Netze. Einfach an der Maske herumspielen ist kontraproduktiv.
lks
Wenn ihr das von vornherein sauber plant und das Equipment es zulässt, könntet ihr die Clients und Telefone dynamisch und via NPS/ RADIUS in die richtigen VLANs verschieben lassen.
auf Basis von MAC-Adressen/ Zertifikaten wäre das umsetzbar.
Die Deucker würde ich manuell verschieben (da muss ohnehin Habd angelegt werden) und die Server einfach im bisherigen IP-Netz lassen…
auf Basis von MAC-Adressen/ Zertifikaten wäre das umsetzbar.
Die Deucker würde ich manuell verschieben (da muss ohnehin Habd angelegt werden) und die Server einfach im bisherigen IP-Netz lassen…
Es gilt ja immer die goldene Netzwerker Regel: "Nie mehr als 150 Endgeräte in einer L2 Broadcast Domain !"
Daran sollte man sich immer plus/minus als Daumenregel halten.
Klare Empfehlung also wie oben schon richtig gesagt: In jedem Falle mit VLANs segmentieren !
Daran sollte man sich immer plus/minus als Daumenregel halten.
Klare Empfehlung also wie oben schon richtig gesagt: In jedem Falle mit VLANs segmentieren !
