chriscar
Goto Top

IP-Adressen im gesamten LAN umstellen

Moin!

Kürzlich habe ich die Verantwortung über ein LAN übernommen, in welchem ein Vorgänger sämtlichen Geräten öffentliche IP-Adressen zugeteilt hat (128.10.10...), d.h. es wurde keiner der üblichen privaten IP-Bereiche (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) verwendet. Einen erkennbaren Grund habe ich dafür nicht entdecken können.

Ich möchte dieses LAN nun auf einen privaten IP-Bereich umstellen (aufgrund der Geräteanzahl voraussichtlich auf 172.16.8.0/22). Bis auf die IP-Telefone haben alle Geräte feste IP-Adressen. Als Reihenfolge bei der Umstellung schwebt mir folgendes vor:

  1. Geräte, die nicht leicht zu erreichen sind bzw. nur über ein Webinterface konfiguriert werden können: Terminals, Router, Drucker, virtuelle Server.
  2. Server.
  3. PCs.
  4. Telefone (über DHCP).

Haltet Ihr das für die richtige Reihenfolge? Was muss ich noch beachten?

Gruß
Carsten

Content-ID: 466598

Url: https://administrator.de/forum/ip-adressen-im-gesamten-lan-umstellen-466598.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

dwaldmannDE
dwaldmannDE 27.06.2019 um 17:32:05 Uhr
Goto Top
Hallo!

Ich würde als erstes über die Aufteilung des neuen Netzwerks nachdenken. /22 bedeutet ja, dass du über 1000 Hosts in einem Netz haben willst. Du schreibst von einer Vielzahl von Geräten. Ich denke Segmentierung wäre eine gute Idee, wenn schon die Netzwerkarchitektur neu gemacht wird.

Es ist auch wichtig, dass das Routing zwischen dem alten und den neuen Netzen reibungslos funktioniert. Eine Umstellung in der Größenordnung wird immer in Etappen gemacht. Ich würde mit den Geräten anfangen, die in Zukunft auch eine statische IP haben sollen (Netzwerkkomponenten, Server, et cetera). Clients, Drucker und Telefone würde ich über DHCP versorgen. Achtung manche ältere Drucker machen zwar DHCP, aber kriegen dann die DNS registrieren nicht sauber hin.

Grüße
Daniel
Vision2015
Vision2015 27.06.2019 um 17:36:59 Uhr
Goto Top
Moin...
Zitat von @chriscar:

Moin!

Kürzlich habe ich die Verantwortung über ein LAN übernommen, in welchem ein Vorgänger sämtlichen Geräten öffentliche IP-Adressen zugeteilt hat (128.10.10...), d.h. es wurde keiner der üblichen privaten IP-Bereiche (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) verwendet. Einen erkennbaren Grund habe ich dafür nicht entdecken können.
ich auch nicht....

Ich möchte dieses LAN nun auf einen privaten IP-Bereich umstellen (aufgrund der Geräteanzahl voraussichtlich auf 172.16.8.0/22). Bis auf die IP-Telefone haben alle Geräte feste IP-Adressen. Als Reihenfolge bei der Umstellung schwebt mir folgendes vor:
nen /22.... bleib mal auf dem Boden...ich vermute ein /24 reicht dicke!

  1. Geräte, die nicht leicht zu erreichen sind bzw. nur über ein Webinterface konfiguriert werden können: Terminals, Router, Drucker, virtuelle Server.
  2. Server.
  3. PCs.
  4. Telefone (über DHCP).
die Telefone bekommen erst mal nen eigenes Vlan.... der rest natürlich auch

Haltet Ihr das für die richtige Reihenfolge? Was muss ich noch beachten?
ja.. lass den blödsin mit /22

Gruß
Carsten

Frank
aqui
aqui 27.06.2019 aktualisiert um 19:12:11 Uhr
Goto Top
ein Vorgänger sämtlichen Geräten öffentliche IP-Adressen zugeteilt hat (128.10.10...)
Ein Netzwerk Laie der ein falsches Handbuch gelesen hat wo 128er Netze als Beispiel abgedruckt waren. Kommt leider oft vor... face-sad
aufgrund der Geräteanzahl voraussichtlich auf 172.16.8.0/22
Tödlich, und zeugt leider eher von wenig Fachkenntnis und Praxis im Bereich Netzwerke. Jeder Netzwerker kennt die goldene Design Regel das eine L2 Broadcast Doamin niemals mehr als 100 bis max. 150 Endgeräte haben sollte. Das hällt Broad- und Multicast Lasten und überschaubaren Größen und kommt der Performance zugute.
Sinnvoll ist also eine intelligente Segmentierung.
Das was du da machst ein dummes, flaches Riesennetz mit einem /22 Prefix ist der falsche Weg und eine Sackgasse die dich vom Regen in die Traufe bringt.
Wenn, dann mache es bitte von Anfang an gleich richtig. Layer 3 Switches im Core und sinnvolle VLAN Segmentierung der Bereiche wie Server, Clients, Drucker, WLAN, Gast-WLAN, Telefonie usw. Genau wie du es ja oben auch schon richtig in deiner Reihenfolge 1 (Management), 2 (Server), 3 (Clients), und 4 (Voice) aufgeführt hast. Nur eben mit nicht mehr als 100 plus/minus Endgeräten.
Ein simples Firmen Standard Netzwerk Design mit L3 Core und Redundanz sieht so aus:

stackdesign

Grundlagen zu VLANs findest du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Verständnissproblem Routing mit SG300-28
usw.
brammer
brammer 27.06.2019 um 19:50:27 Uhr
Goto Top
Hallo,

Segmentieren.... segmentieren und noch mal segmentieren.

Und mach es dir einfach...
Wenn du 128.10.10.x mach daraus 10.10.10.x ...
Damit machst du dir alle weiteren Anpassungen und Fehlersuchen einfacher.

Brammer
Lochkartenstanzer
Lochkartenstanzer 28.06.2019 um 09:39:50 Uhr
Goto Top
Moin moin,

Das meiste wurde zwar schon von den Kollegen gesagt, aber trotzdem noch mein Senf dazu:

/22 ist eine schlechte Idee. Segmentiere Dein Netz z.B. nach Telefonie, Clients, Server, IoT, etc., ggf. mit VLANS. Mach Deine Subnetze /24-groß (vermeidet Flüchtigkeitsfehler und erleichtert Fehlersuche) und stecke möglichst nicht mehr als 100 Geräte in ein Subnetz.

Plane Parallelbetrieb ein. Denn eine Umstellung braucht Zeit in der Du den Produktivbetrieb möglichst wenig einschränken willst.

Und stelle möglichst viel auf DHCP um, um den Verwaltungsaufwand zu reduzieren. Selbst Geräte die eine fixe IP brauchen kann man über DHCP-Reservierungen eine solche verpassen, so daß letztendlich nur der DHCP-Server und die Router (und ggf. einige wenige Server) selbst eine statisch zugewiesene IP-Adresse brauchen.

lks
chriscar
chriscar 28.06.2019 um 10:48:57 Uhr
Goto Top
Vielen Dank schon mal für Eure Tipps!

Ich versuche mal zusammenzufassen:

  • Ein einzelnes großes Netz ist nicht empfehlenswert.
  • Das Netz sollte mittels VLANs segmentiert werden.
  • Schritt für Schritt (bzw. Segment für Segment) vorgehen.
  • Ich war etwas naiv und sollte mich tunlichst in VLANs einarbeiten!

Server, Router und Drucker würde ich weiterhin mit festen IP-Adressen versehen (speziell bei den Druckern kann ich mich an ähnliche wie die von Daniel genannten Probleme erinnern; außerdem läuft auf mindestens einem der Server ein Programm, dessen Lizenzierung an die IP-Adresse gebunden ist). Für PCs, IP-Telefone und WLAN würde ich dann DHCP einsetzen.

Folgende Switche sind hier in Verwendung:

  • Cisco SG200-26 (2x)
  • Cisco SRW2016
  • Cisco SRW2024
  • Gigaline 2024 Fixed
  • Lancom GS2326P+ (2x), PoE-Switch für IP-Telefone

Wenn ich das richtig sehe, sind (evtl. mit Ausnahme des Gigaline 2024 Fixed) alle managebar. Kann ich mit denen arbeiten oder wäre es sinnvoll, die Switche zu vereinheitlichen (also neue zu beschaffen)?

Gruß
Carsten
aqui
aqui 28.06.2019 aktualisiert um 11:37:06 Uhr
Goto Top
Ich versuche mal zusammenzufassen:
Alle Punkte richtig erkannt ! 👍
Server, Router und Drucker würde ich weiterhin mit festen IP-Adressen versehen
Das ist auch absolut üblicher Standard so ! Insbesondere gilt das auch für die Management IP Adressen von Switches, Routern und WLAN Accesspoints.
Folgende Switche sind hier in Verwendung:
Wenigstens die Ciscos und der Lancom sind allesamt VLAN fähig. Die dummen, nicht VLAN fähigen kannst du dann verwenden z.B. für den Client Access wo alle Ports in einem festen VLAN liegen.
Du musst also nichts vereinheitlichen !
Wichtig ist das du Cisco und Lancom auf ein gemeinsames Spanning Tree Protokoll einstellst RSTP und dem Haupt Switch (Core) eine ensprechend höhere RSTP Priority vergibst (Vielfache von 4096) ! Bei Cisco z.B.:
stpinfo
Das wars dann auch schon...
brammer
brammer 28.06.2019 um 12:58:51 Uhr
Goto Top
Hallo,

wobei du überlegen solltest den Gigaline Switch zu tauschen.
Ich würde einem Gerät das aktuell für 16,- € angeboten wird nicht weiter trauen als ich es werfen kann.

brammer
aqui
aqui 28.06.2019 um 14:36:07 Uhr
Goto Top
wird nicht weiter trauen als ich es werfen kann.
Sehr wahr !!
Zumal es den auch managebar dann als preiswerten Ersatz gibt:
https://www.reichelt.de/switch-24-port-fast-ethernet-cisco-sf250-24-p256 ...
Oder gleich in Gig:
https://www.reichelt.de/switch-26-port-2-gigabit-ethernet-cisco-sg250-26 ...
Bei einem Netzwerk Refresh wäre das allemal besser den zu tauschen !
areanod
areanod 29.06.2019 um 11:13:19 Uhr
Goto Top
Hey Chriscar,

Als Ergänzung zu den Kommentaren meiner Kollegen werfe ich noch ins Feld, dass du bei der Segementierung der Netze auch darauf achten solltest, ob Teilnehmer gibt die nur Broadcast sprechen.

Speziell im Smart-Home/Office Bereich gibt es auch 2019 immer noch Hersteller die es nicht schaffen ihre Devices untereinander oder mit einem zentralen Server/Nexus mit Unicast sprechen zu lassen.

Ich gebe dem Kollegen Aqui vollkommen recht, wenn du Netzwerk neu machst dann aktualisiere die Hardware auch!
Wenn dein Herz nicht an Cisco hängt, ich habe mit Edgemax Switches von Ubiquiti und mit der CRS3xx-Serie von Mikrotik sehr gute Erfahrungen gemacht.

lG
Areanod
aqui
aqui 01.07.2019 aktualisiert um 17:20:33 Uhr
Goto Top
...lieber die CRS3xx-Serie von Mikrotik. Die sind in der Tat sehr gut und können noch weit mehr als die Ciscos ! face-wink
(Wenigstens mit Router OS als OS)
chriscar
chriscar 01.07.2019 um 19:01:35 Uhr
Goto Top
Den Gigaline-Switch werde ich zeitnah austauschen.
chriscar
chriscar 01.07.2019 um 19:17:02 Uhr
Goto Top
An den Cisco-Switches hänge ich nicht. Da sie aber offenbar einwandfrei funktionieren, würde ich sie lieber weiterverwenden wollen als fünf neue Switche zu kaufen.

Der Mikrotik CRS3xx wäre dann dafür gedacht, die VLANs zu verwalten?
aqui
aqui 01.07.2019 um 22:51:34 Uhr
Goto Top
einwandfrei funktionieren, würde ich sie lieber weiterverwenden wollen als fünf neue Switche zu kaufen.
Das solltest du auch unbedingt ! Sie sind eine gute Wahl.
Der Mikrotik CRS3xx wäre dann dafür gedacht, die VLANs zu verwalten?
Verwalten ist vielleicht das falsche Wort und etwas laienhaft beschrieben. Du meinst sicher zw. den VLANs routen. Ja das kännen sie denn das sind L3 Switches. Nach der o.a. Skizze wären sie dann etwas für den Core eines Netzes.
chriscar
chriscar 02.07.2019 um 12:40:31 Uhr
Goto Top
Zitat von @aqui:
Der Mikrotik CRS3xx wäre dann dafür gedacht, die VLANs zu verwalten?
Verwalten ist vielleicht das falsche Wort und etwas laienhaft beschrieben. Du meinst sicher zw. den VLANs routen.
Genau, so meinte ich es.

Wäre ein MikroTik RouterBOARD RB3011UiAS-RM dafür geeignet?
Oder eher ein MikroTik Cloud Router Switch - CRS309-1G-8S+IN? Letzterer hat SFP+-Ports, während die Cisco-Switche nur SFP-Ports (ohne "+") haben. Ist SFP+ kompatibel zu SFP?
areanod
areanod 02.07.2019 um 13:37:45 Uhr
Goto Top
Hey Chriscar,

der CRS309 kommt halt ausschließlich mit SFP Ports. Wenn du mehr Kupfer-Ports benötigst würde ich dir zum CRS326 raten, der kostet (bei Amazon) deutlich weniger und bietet 24 Cu-Ports und 2x SFP+ an.

Zur Frage zu SFP+, da geht's eigentlich ausschließlich um die Geschwindigkeit, d.h. SFP+ können mehr Bandbreite verarbeiten als SFP. In der Regel kannst du ein SFP Modul in einen SFP+ stecken.

lG
aqui
aqui 02.07.2019 um 15:49:38 Uhr
Goto Top
@areanod
Weisst du wo der generelle Unterschied ist zw. den Produkten der Ethernet Router oder Switch Serie ?
Z.B. wenn man einen RB2011 und einen CRS112-8G-4S-IN mal vergleicht. Da beide Router OS fahren sind die ja vom Featureset wohl exakt gleich.
Der RB2011/3011 hat dieses etwas unglückliche Konstrukt mit den 2 internen Chipsets aber mal abgesehen davon und ob der eine 2 oder 3 Ports mehr hat, gibt es da sonst gravierende Unterschiede vom internen HW Design zwischen den als Router titulierten Produkten und den Switches im MT Portfolio ?
areanod
areanod 02.07.2019 um 21:03:09 Uhr
Goto Top
@aqui:
Tatsächlich ist das "unglückliche Konstrukt" mit zwei internen Chipsets durchaus von Vorteil, wenn man das Blockdiagramm angesehen hat. Ich habe mich jetzt ein wenig bei meiner Antwort verzettelt, wollt aber die ganze Schreibarbeit nicht einfach löschen ;)

RB2011 war für seine Zeit ziemlich revolutionär, denn die Ports ETHER1-5 hatten einen eigenen Switch Chip, der über eine gemeinsame 1GBit/s Pipeline an die CPU angebunden war; gleichzeitig hat der Chipsatz noch nativ vom Hersteller einen eigenen Fast-Ethernet Switch Chip integriert gehabt, wodurch man damals de facto nochmal 5 Ethernetports (6-10) gratis dazu bekommen hat. Soweit ich weiß werden die Ports 6-10 auch nicht Hardware-Offloaded sondern werden über die CPU abgearbeitet .

Beim RB3011 ist eine andere Architektur (ARM) mit einem Dual-Core Setup verbaut; die beiden Switch Chips haben jeweils 2x1GBit/s Anbindung an jeden Core, damit kann bei höherem CPU-lastigem Datentraffic (mangling, routing, ...) bei geschickter Aufteilung der Teilnehmer die CPU Last verteilt werden.

Zum CRS112 kann ich leider nur wenig sagen; ich setze den ein, wenn ich an bestimmten Orten mehrere SFP Module für Glas benötige.

TL;DR:
Meiner Meinung nach sind RB2011, 3011 und jetzt auch 4011 vom Hardware Design am ehesten darauf ausgelegt Layer-3 oder Layer-4 Operationen durchzuführen; es gibt hier die Möglichkeit Layer-2 zu optimieren, allerdings nur begrenzt;
Die CRS1xx Serie war (meines Wissens nach) die erste Serie, die man auch mit SwOS betreiben konnte und damit praktisch alle durchgeführten VLANs hardware-offloaden konnte und somit die Geschwindigkeit des Switchings nur von physikalischen Begebenheiten (zB c in Cu) begrenzt war.

Die neue CRS3xx Serie, die es erst seit verhältnismäßig kurzer Zeit gibt, ist meiner Meinung nach der wichtigste Unterschied zu den anderen Routerboards; hier können nämlich RouterOS genutzt werden UND durchgeleitete VLANs (ohne Interface) hardware-offloaded durchgeleitet werden. Das, und nur das, war auch der Grund warum ich meine (sonst noch guten) CRS125 gegen CRS326 abgetauscht habe.
Detailunterschiede gibts natürlich auch, so hat der CRS328P als einzige Komponente von Mikrotik die Fähigkeit aktives + passives PoE softwaregesteuert auszugeben, ohne dass man mehr als ein Netzteil benötigt (siehe CRS112).


Wo würde ich was verwenden?
In einem Unternehmens-HQ mit einigen Aussenstellen, mit IPIP/IPSEC angebundenen Tunnel und dynamischen Routen würde ich definitiv einen RB3011 oder RB4011 hinstellen.
An einer der Aussenstellen, wo ich ein paar User habe und nur den Uplink ins HQ würde ich alles (NAT/MASQUERADING, Routing, Tunnel, ....) über einen RB2011 oder einen CRS326/CRS125 machen


Um das ganze noch abzurunden, noch die CCR face-smile
Sind für Datacenter oder WANs gedacht, haben viel RAM und viele Kerne. Bei allem, das instanziert oder anderweitig über mehrere Kerne aufgeteilt werden kann (z.B. OSPF) sind diese Dinger großartig; Der kleinste CCR hat 9 Kerne und kann damit 9 Tasks gleichzeitig durchführen, die sonst von einem, zwei oder maximal vier Kernen durchgeführt würden.
Nach meinem letzten Wissenstand ist die einzige Carrier-Grade Funktion, die mit einem CCR langsamer als mit einem RB4011 ausgeführt wird: BGP Routen lernen.


Nochmal TL;DR:
Ja, es gibt Unterschiede, auf der Website von Mikrotik unter Hardware findest du bei dem jeweiligen Produkt (fast) immer auch ein Block Diagramm. Dieses findest du dort im Reiter "Support & Downloads".
Iirc war auf dem MUM Europe in Wien auch ein VOrtrag mit dem Thema: Welcher Tik für welche Anwendung.

Sorry für den Text-Tsunami, manchmal kann ich mich einfach nicht halten ;)

lG
Areanod
aqui
aqui 03.07.2019 aktualisiert um 17:07:30 Uhr
Goto Top
Hi areanod !
Klasse, danke für das ausführliche Statement und gerade das es so ausführlich war. Das bringt schon erheblich mehr Licht ins Dunkel des Modelldschungels !