4
Netzplanung - Hab ich einen Denkfehler?
Ich wollte nur mal nachfragen ob mein Plan so funktionieren würde.
Ich möchte folgendes Netz aufbauen und wollt mich nur nochmal bei
weiteren Personen absichern, da es ja schnell mal zu Denkfehlern kommt
und ich das ganze auch schon ne Weile nimmer gemacht habe.
Netzaufbau:
Gateway / Firewall: 192.168.0.1/21 (255.255.248.0) VLAN ID:10
Netz1: WLAN Netz 192.168.1.1/24 (255.255.255.0) VLAN ID:20
Netz2: Rechner Netz 192.168.0.1/24 (255.255.255.0) VLAN ID: 10
Netz3: Telefon Netz 192.168.2.1/24 (255.255.255.0) VLAN ID:30
Netz4: Server Netz 192.168.3.1/24 (255.255.255.0) VLAN ID:40
Netz5: VPN Netz 192.168.4.1/24 (255.255.255.0) VLAN ID:50
Die Firewall routet alle Daten durch die versch. Netze und macht evtl. auch DHCP für die einzelnen Netze.
Würdet ihr die Subnetmaske generell auf 255.255.248.0 stellen?
Eigentlich sollte die Kommunikation zwischen den einzelnen VLAN's ja
funktionieren, der Switch kann das ja verwalten und die Firewall routet zwischen den einzelnen Netzen.
Hab ihr irgendwelche Tipps, hab ich Denkfehler? Is glaube auch zu soät für son Kram
Wie würdet ihr ein solches Netz planen (VLAN muss sein)?
ALTERNATIVE:
Ich geh hin und erstell ein großes Netz 192.168.0.1/21 (192.168.0.1 bis 192.168.7.254)
und unterteil das mit VLAN's. Dann muss nicht zwischen den Netzen geroutet werden sondern alles
ist durch das VLAN-Tagging voneinander getrennt.
Was meint ihr?
Danke & Gruß
Ich möchte folgendes Netz aufbauen und wollt mich nur nochmal bei
weiteren Personen absichern, da es ja schnell mal zu Denkfehlern kommt
und ich das ganze auch schon ne Weile nimmer gemacht habe.
Netzaufbau:
Gateway / Firewall: 192.168.0.1/21 (255.255.248.0) VLAN ID:10
Netz1: WLAN Netz 192.168.1.1/24 (255.255.255.0) VLAN ID:20
Netz2: Rechner Netz 192.168.0.1/24 (255.255.255.0) VLAN ID: 10
Netz3: Telefon Netz 192.168.2.1/24 (255.255.255.0) VLAN ID:30
Netz4: Server Netz 192.168.3.1/24 (255.255.255.0) VLAN ID:40
Netz5: VPN Netz 192.168.4.1/24 (255.255.255.0) VLAN ID:50
Die Firewall routet alle Daten durch die versch. Netze und macht evtl. auch DHCP für die einzelnen Netze.
Würdet ihr die Subnetmaske generell auf 255.255.248.0 stellen?
Eigentlich sollte die Kommunikation zwischen den einzelnen VLAN's ja
funktionieren, der Switch kann das ja verwalten und die Firewall routet zwischen den einzelnen Netzen.
Hab ihr irgendwelche Tipps, hab ich Denkfehler? Is glaube auch zu soät für son Kram
Wie würdet ihr ein solches Netz planen (VLAN muss sein)?
ALTERNATIVE:
Ich geh hin und erstell ein großes Netz 192.168.0.1/21 (192.168.0.1 bis 192.168.7.254)
und unterteil das mit VLAN's. Dann muss nicht zwischen den Netzen geroutet werden sondern alles
ist durch das VLAN-Tagging voneinander getrennt.
Was meint ihr?
Danke & Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 63271
Url: https://administrator.de/contentid/63271
Ausgedruckt am: 26.11.2024 um 07:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
Ansich wird das schon funktionieren, das einzige was mir auffällt ist, dass das Gateway nur im VLAN10 ist. Willst du zwischen den verschiedenen VLANs Routen muss, meiner Meinung nach, das Gateway in jedem VLAN als Member (untagged) konfiguriert sein. (kommt natürlich auf die verwendete Hardware an.) Das Gateway muss in der Lage sein VLAN Packete zu routen, das versteht sich(also Layer-3).
Ich persönliche bin aus kosmetischen Gründen kein Freund von Supernetting und würde daher bei solchen Anforderungen ein Class B oder C Netz vorziehen.Ist aber nur eien persönliche "Vorliebe".
Ausserdem würde ich das Servernetz (sofern es Server sind, die durch die Nutzer genutzt werden) nicht von den Rechnern trennen, denn fällt das Gateway aus, kannst du nicht mehr mit deinen Clients arbeiten.
CW
Ansich wird das schon funktionieren, das einzige was mir auffällt ist, dass das Gateway nur im VLAN10 ist. Willst du zwischen den verschiedenen VLANs Routen muss, meiner Meinung nach, das Gateway in jedem VLAN als Member (untagged) konfiguriert sein. (kommt natürlich auf die verwendete Hardware an.) Das Gateway muss in der Lage sein VLAN Packete zu routen, das versteht sich(also Layer-3).
Ich persönliche bin aus kosmetischen Gründen kein Freund von Supernetting und würde daher bei solchen Anforderungen ein Class B oder C Netz vorziehen.Ist aber nur eien persönliche "Vorliebe".
Ausserdem würde ich das Servernetz (sofern es Server sind, die durch die Nutzer genutzt werden) nicht von den Rechnern trennen, denn fällt das Gateway aus, kannst du nicht mehr mit deinen Clients arbeiten.
CW
Du hast scheinbar nicht verstanden wie sich Class A, B oder C IP Netze verhalten bzw. wie diese zu konfigurieren sind ??!!
...ich geh hin und erstell ein großes Netz 192.168.0.1/21 Das ist natürlich kompletter Unsinn, denn das Netzwerk bzw. die Maske wirst du auf Hostrechnern nicht konfigurieren können !! 192.168.x.0 sind Class C Adressen die auf Hostseite feste 24 Bit Masken haben !!! Du kannst diese Masken vergrößern aber niemals verkleinen, da 24 Bit schon das Kleinste ist was für ein Class C Netzwerk festgelegt ist !!! Wenn du was Großes nehmen willst dann solltest du wie sich es für ein sauberes IP design gehört auf ein Class B Netzwerk ausweichen.
Der freie RFC 1918 Bereich liegt hier bei 172.16.0.0 bis 172.32.0.0 mit einer 16 Bit Subnetzmaske. Du kannst natürlich auch das freie 10er Class A Netz (10.0.0.0) mit einer 16 Bit Maske betreiben. Wie gesagt größer geht immer aber niemals kleiner, da das die IP Adresskonvention nicht zulässt !!!
Variable Masken funktionieren nur bei sog. CIDR Routen. Das sind aber Routen und keine Netze !
Das ist auch der einzige Fehler in deinem o.a. Szenario. Du hast einen Subnetzmasken Missmatch in deiner Adressierung für VLAN 10 (192.168.0.0/24) die dir früher oder später erhebliche Verbindungsprobleme bescheren wird.
Deine Firewall hat eine 21 Bit Maske. Das wird die Firewall nicht annehmen als Konfig für das Interface da wie gesagt 24 Bit Minimum ist. Ansonsten hättest du ja mehrere Class C netze auf einem Draht, was kompletter Blödsinn ist und nebenbei im TCP/IP auch nicht erlaubt ist, da du lokal auf dem gleichen Draht routen müsstest. Dieses local Reroute ist aber kompletter Unsinn und technisch nicht machbar.
Ausserdem könnte deine Firewall routingtechnisch gar nicht mehr unterscheiden zwischen den unterschiedlichen VLANs. Abgesehen davon das eine Firewall NIEMALS routen sollte...aber das nur nebenbei.
Dieser Punkt ist ziemlich Kraut und Rüben bei dir, der Rest ist aber sicher so machbar und eine Segmentierung mit VLANs macht so auch Sinn.
...ich geh hin und erstell ein großes Netz 192.168.0.1/21 Das ist natürlich kompletter Unsinn, denn das Netzwerk bzw. die Maske wirst du auf Hostrechnern nicht konfigurieren können !! 192.168.x.0 sind Class C Adressen die auf Hostseite feste 24 Bit Masken haben !!! Du kannst diese Masken vergrößern aber niemals verkleinen, da 24 Bit schon das Kleinste ist was für ein Class C Netzwerk festgelegt ist !!! Wenn du was Großes nehmen willst dann solltest du wie sich es für ein sauberes IP design gehört auf ein Class B Netzwerk ausweichen.
Der freie RFC 1918 Bereich liegt hier bei 172.16.0.0 bis 172.32.0.0 mit einer 16 Bit Subnetzmaske. Du kannst natürlich auch das freie 10er Class A Netz (10.0.0.0) mit einer 16 Bit Maske betreiben. Wie gesagt größer geht immer aber niemals kleiner, da das die IP Adresskonvention nicht zulässt !!!
Variable Masken funktionieren nur bei sog. CIDR Routen. Das sind aber Routen und keine Netze !
Das ist auch der einzige Fehler in deinem o.a. Szenario. Du hast einen Subnetzmasken Missmatch in deiner Adressierung für VLAN 10 (192.168.0.0/24) die dir früher oder später erhebliche Verbindungsprobleme bescheren wird.
Deine Firewall hat eine 21 Bit Maske. Das wird die Firewall nicht annehmen als Konfig für das Interface da wie gesagt 24 Bit Minimum ist. Ansonsten hättest du ja mehrere Class C netze auf einem Draht, was kompletter Blödsinn ist und nebenbei im TCP/IP auch nicht erlaubt ist, da du lokal auf dem gleichen Draht routen müsstest. Dieses local Reroute ist aber kompletter Unsinn und technisch nicht machbar.
Ausserdem könnte deine Firewall routingtechnisch gar nicht mehr unterscheiden zwischen den unterschiedlichen VLANs. Abgesehen davon das eine Firewall NIEMALS routen sollte...aber das nur nebenbei.
Dieser Punkt ist ziemlich Kraut und Rüben bei dir, der Rest ist aber sicher so machbar und eine Segmentierung mit VLANs macht so auch Sinn.
Danke für eure Antwort!
@aqui, du hast dir ja echt Mühe gemacht, danke dafür
Also bzgl. des Class B Netzes hast du natürlich Recht -> 172.16.0.1/16
CIDR hebt das ganze allerdings auf, wenn ich korrekt informiert bin, es geht also nicht mehr zwingend um feste Masken. Aber wenn ich dich richtig verstehe ging es dir darum, das ich das ganze mit dem 192.168. Bereich machen wollte.
172.16.0.1/21 wäre in Ordnung wenn ich das korrekt interpretiere.
Aber meist möchte der Chef aber 192.168...weil er das von zu Hause kennt
Das mit den VLANS und der Firewall hab ich heute nochmal abgeklärt.
Die Firewall lässt es zu den Netzwerkport mit mehreren VLAN's zu versehen, ich kann also auf dem Switch sagen wir mal 5 Vlan's vergeben und steck ein Uplink von Switch zur Firewall und die Firewall kann alle VLAN's lesen.
Ob es Sinn macht die Firewall routen zu lassen, bleibt mal dahingestellt, die schönste Lösung ist es sicher nicht, aber manches muss man halt als Vorgabe akzeptieren.
Fazit:
Im Idelafall leg ich ein Class B Netz (172.16.0.1/16) an und unterteile es mit VLANs in diese VLAN Netze stell ich die einzelnen Bereiche.
@aqui, du hast dir ja echt Mühe gemacht, danke dafür
Also bzgl. des Class B Netzes hast du natürlich Recht -> 172.16.0.1/16
CIDR hebt das ganze allerdings auf, wenn ich korrekt informiert bin, es geht also nicht mehr zwingend um feste Masken. Aber wenn ich dich richtig verstehe ging es dir darum, das ich das ganze mit dem 192.168. Bereich machen wollte.
172.16.0.1/21 wäre in Ordnung wenn ich das korrekt interpretiere.
Aber meist möchte der Chef aber 192.168...weil er das von zu Hause kennt
Das mit den VLANS und der Firewall hab ich heute nochmal abgeklärt.
Die Firewall lässt es zu den Netzwerkport mit mehreren VLAN's zu versehen, ich kann also auf dem Switch sagen wir mal 5 Vlan's vergeben und steck ein Uplink von Switch zur Firewall und die Firewall kann alle VLAN's lesen.
Ob es Sinn macht die Firewall routen zu lassen, bleibt mal dahingestellt, die schönste Lösung ist es sicher nicht, aber manches muss man halt als Vorgabe akzeptieren.
Fazit:
Im Idelafall leg ich ein Class B Netz (172.16.0.1/16) an und unterteile es mit VLANs in diese VLAN Netze stell ich die einzelnen Bereiche.
Oha, dann hat dein Chef aber einen ziemlich begrenzten Horizont..... Der RFC 1918 beschreibt einen ganzen Sack voll freier Netzwerke. Welche du aus dem Korb nimmst ist mehr oder weniger kosmetisch.
http://de.wikipedia.org/wiki/Private_IP-Adresse
Mit den Adressen wollt ich dir nur mal in erinnerung bringen das du keinem Host einen Class C Adresse mit einer Maske mit weniger als 24 Bit konfigurieren kannst, das wird nichtmal auf deiner Firewall gehen.
Was die macht ist an dem Interface einen IEEE 802.1q Trunk zu akzeptiren, den man auch auf dem Switch so einrichtet. D.h. dort kommt jedes VLAN Packet mit einem spzifischen VLAN Tag im Packet an. Die Firewall kann das dann wieder eindeutig einem Netzwerk zuordenen.
Das macht sie aber nicht global auf einem Ethernet Interface sondern sie erzeugt sich pro VLAN auf diesem physischen Interface dann ein Subinterface wo sie den Traffic dann wieder sauber behandeln kann.
Auf diesen Subinterfaces hast du bei deinen netzwerken dann wieder normal Class C masken mit 24 Bit und niemals global eine 21 Bit Maske für ein Class C Netz.
Sowas gibt es nicht !!!
http://de.wikipedia.org/wiki/Private_IP-Adresse
Mit den Adressen wollt ich dir nur mal in erinnerung bringen das du keinem Host einen Class C Adresse mit einer Maske mit weniger als 24 Bit konfigurieren kannst, das wird nichtmal auf deiner Firewall gehen.
Was die macht ist an dem Interface einen IEEE 802.1q Trunk zu akzeptiren, den man auch auf dem Switch so einrichtet. D.h. dort kommt jedes VLAN Packet mit einem spzifischen VLAN Tag im Packet an. Die Firewall kann das dann wieder eindeutig einem Netzwerk zuordenen.
Das macht sie aber nicht global auf einem Ethernet Interface sondern sie erzeugt sich pro VLAN auf diesem physischen Interface dann ein Subinterface wo sie den Traffic dann wieder sauber behandeln kann.
Auf diesen Subinterfaces hast du bei deinen netzwerken dann wieder normal Class C masken mit 24 Bit und niemals global eine 21 Bit Maske für ein Class C Netz.
Sowas gibt es nicht !!!
