Netzwerksegmentierung eines 16bit Kundennetzes
Hallo lieber IT Mitstreiter,
ich habe folgendes Problem bei einem Kunden, der ein grosses /16 Netz hat und bei dem wir endlich eine Segmentierung einführen dürfen. Die neuen Netzsegmente werden wir auf einer zusätzlichen Firewall im Backend (jetzt 2 stufiges FW Konzept) einrichten und die Netzte dann pro Netz umstellen.
Zum Glück sind die Bereich der Clients und Server etc. zumindest IP technisch schon sauber in /24 er Netze getrennt, aber natürlich mit einer /16 Maske versehen. Wir haben bei der Umstellung, die möglichst smart für den Kunden laufen soll, folgendes Problem. Die Umstellung des default GW zusammen mit der Netzmaske. Bei Geräten wie Clients, die über DHCP Ihre IP erhalten, können wir für alle das Def. GW und Netzmaske via DHCP Scope auf einen Schlag ändern und gut ist. Das Problem liegt aber mehr bei den statischen Adressen wie z.B. der Server.
Die Server alle auf einen Schlag (am WE) mit den Clients, Drucker etc. umzuheben ist nicht machbar, da der Kunde zu wenig Ressourcen hat und dies sehr waghalsig wäre. Der Laden muss Montags wieder gehen.
Problem: Stellen wir einige Server auf die neue Netzmaske /24 um und geben das Interface der neuen Backend FW als Gateway an, dann haben die restlichen Server, die noch im grossen /16 er Netz sind, noch das Problem, daß sie wenn Sie z.B. aus dem Netz 10.4.5.0/16 (altes Netz) in ein anderes /24 Netz z.B. 10.4.2.0/24 kommunizieren wollen, nicht Ihr Gateway ansprechen, weil die Adresse ja in deren lokalen Netz (/16) ist. Dies bedeutet, diese Server sprechen, bis zur Umstellung ins neue kleinere Segment aufgrund der grossen Netzmaske, nicht die Firewall als GW an. Bisher hatten die Geräte als GW nur die FW im Frontend, wenn Sie ins Internet oder in ein VPN wollten.
Ich hoffe ich konnte das Problem einigermaßen schildern. Ansonsten fragt ruhig nach.
Hat jemand dafür eine Idee/Lösung, ohne dass ich jedem Server bis zur Umstellung ins neue Netz eine explizite kleinere Route in seiner lokalen Routing Table verpassen muss?
Vielen Dank vorab.
Grüße Locke
ich habe folgendes Problem bei einem Kunden, der ein grosses /16 Netz hat und bei dem wir endlich eine Segmentierung einführen dürfen. Die neuen Netzsegmente werden wir auf einer zusätzlichen Firewall im Backend (jetzt 2 stufiges FW Konzept) einrichten und die Netzte dann pro Netz umstellen.
Zum Glück sind die Bereich der Clients und Server etc. zumindest IP technisch schon sauber in /24 er Netze getrennt, aber natürlich mit einer /16 Maske versehen. Wir haben bei der Umstellung, die möglichst smart für den Kunden laufen soll, folgendes Problem. Die Umstellung des default GW zusammen mit der Netzmaske. Bei Geräten wie Clients, die über DHCP Ihre IP erhalten, können wir für alle das Def. GW und Netzmaske via DHCP Scope auf einen Schlag ändern und gut ist. Das Problem liegt aber mehr bei den statischen Adressen wie z.B. der Server.
Die Server alle auf einen Schlag (am WE) mit den Clients, Drucker etc. umzuheben ist nicht machbar, da der Kunde zu wenig Ressourcen hat und dies sehr waghalsig wäre. Der Laden muss Montags wieder gehen.
Problem: Stellen wir einige Server auf die neue Netzmaske /24 um und geben das Interface der neuen Backend FW als Gateway an, dann haben die restlichen Server, die noch im grossen /16 er Netz sind, noch das Problem, daß sie wenn Sie z.B. aus dem Netz 10.4.5.0/16 (altes Netz) in ein anderes /24 Netz z.B. 10.4.2.0/24 kommunizieren wollen, nicht Ihr Gateway ansprechen, weil die Adresse ja in deren lokalen Netz (/16) ist. Dies bedeutet, diese Server sprechen, bis zur Umstellung ins neue kleinere Segment aufgrund der grossen Netzmaske, nicht die Firewall als GW an. Bisher hatten die Geräte als GW nur die FW im Frontend, wenn Sie ins Internet oder in ein VPN wollten.
Ich hoffe ich konnte das Problem einigermaßen schildern. Ansonsten fragt ruhig nach.
Hat jemand dafür eine Idee/Lösung, ohne dass ich jedem Server bis zur Umstellung ins neue Netz eine explizite kleinere Route in seiner lokalen Routing Table verpassen muss?
Vielen Dank vorab.
Grüße Locke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 516491
Url: https://administrator.de/forum/netzwerksegmentierung-eines-16bit-kundennetzes-516491.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
29 Kommentare
Neuester Kommentar
Hallo Locke,
ich glaube, du brauchst entweder mehr Manpower oder ein entsprechend solides Skripting/Vorbereitung.
Daneben ist natürlich auch die Frage: Reden wir bei der Umstellung von 10 Server oder von 1000? Sind es 240 Clients oder 5000? Kann es nach und nach passieren, oder muss alles auf einen Rutsch?
Das alles führt zu Bewertungsanpassungen.
Viele Grüße,
Christian
certifiedit.net
ich glaube, du brauchst entweder mehr Manpower oder ein entsprechend solides Skripting/Vorbereitung.
Daneben ist natürlich auch die Frage: Reden wir bei der Umstellung von 10 Server oder von 1000? Sind es 240 Clients oder 5000? Kann es nach und nach passieren, oder muss alles auf einen Rutsch?
Das alles führt zu Bewertungsanpassungen.
Viele Grüße,
Christian
certifiedit.net
So ist das nicht lösbar, denn du willst ja die /16er Maske so nicht verändern bei den statischen Maschinen die du nicht anfassen willst.
Das geht dann nur wenn der Bereich der /24er Subnetze extern ist und sich nicht überschneidet mit dem /16er Netz. Dann könnte man zwischen diesem neuen /24 Kontingent und dem /16er Altnetz routen. Will man aber das /16er Subnetz so beibehalten geht das nicht oder nur bedingt.
Ein "Trick" wäre diese statischen Adressen zu belassen und die mit einer /17er Maske zu betreiben. Das geht aber nur wenn diese ALLE im /17er Netz liegen und du den 2ten Teil des /17ers dann in die /24er aufteilst.
Klingt etwas verwirrend aber dieser Thread erklärt dir wie es geht:
Aufsplittung Subnetz in VLANs
So oder so musst du da aber auch die Subnetzmaske anfassen auch wenn die IPs bestehen bleiben können. Um das kommst du nicht herum.
Das geht dann nur wenn der Bereich der /24er Subnetze extern ist und sich nicht überschneidet mit dem /16er Netz. Dann könnte man zwischen diesem neuen /24 Kontingent und dem /16er Altnetz routen. Will man aber das /16er Subnetz so beibehalten geht das nicht oder nur bedingt.
Ein "Trick" wäre diese statischen Adressen zu belassen und die mit einer /17er Maske zu betreiben. Das geht aber nur wenn diese ALLE im /17er Netz liegen und du den 2ten Teil des /17ers dann in die /24er aufteilst.
Klingt etwas verwirrend aber dieser Thread erklärt dir wie es geht:
Aufsplittung Subnetz in VLANs
So oder so musst du da aber auch die Subnetzmaske anfassen auch wenn die IPs bestehen bleiben können. Um das kommst du nicht herum.
Hallo Locke,
ich stelle fest, dass du für den Job nicht geeignet bist. Schon alleine die Aussage " der Kunde kennt seine Infrastruktur schlecht" sagt, dass du keine Vorbereitung in der Hinsicht getroffen hast - du musst die kennen, denn du willst die Infra umstellen. Es hilft nichts, wenn der Kunde die Infra kennt, du aber nicht.
100 Server ist nun, je nach System, überschaubar. Kommt natürlich auch darauf an, was darauf läuft.
VG
ich stelle fest, dass du für den Job nicht geeignet bist. Schon alleine die Aussage " der Kunde kennt seine Infrastruktur schlecht" sagt, dass du keine Vorbereitung in der Hinsicht getroffen hast - du musst die kennen, denn du willst die Infra umstellen. Es hilft nichts, wenn der Kunde die Infra kennt, du aber nicht.
100 Server ist nun, je nach System, überschaubar. Kommt natürlich auch darauf an, was darauf läuft.
VG
Eins geht aber de facto nicht:
Du kannst natürlich niemals an einem Router oder Firewall an einem Interface das 10.1.0.0 /16 Netz haben (wozu natürlich auch 10.1.3.X /16 gehört) und dann gleichzeitig dort ein Interface mit 10.1.3.X /24 definieren.
Dann hast du nämlich genau die oben angesprochenen sich überschneidenen Adressräume !! Ein Routing ist damit völlig unmöglich, logisch !
Mal ganz davon abgesehen das sich sowas an einem Router/Firewall auch gar nicht konfigurieren lässt weil es sofort einen Fehler im Setup GUI provoziert durch die falsche IP Adressierung.
Was geht, ist das alte 10.1.0.0 /16 zu belassen und dann die neue Segmentierung auf 10.2.x.0 /24 mit den 24er Subnetzen zu legen. Das willst du aber ja genau nicht wenn du die 10.1.0.0 behalten willst.
Du hast dann nur die Option das alte Netz zu halbieren in ein /17 und eine der Hälften in die /24er zu teilen und hoffen das du die restlichen statischen Adressen dann alle in der einen oder anderen Hälfte hast.
So oder so musst du da aber auch die Subnetzmaske anfassen.
Eine Aufteilung des Netzes unter Beibehaltung der /16er Maske für das alte Netz ist technisch unmöglich.
Du kannst natürlich niemals an einem Router oder Firewall an einem Interface das 10.1.0.0 /16 Netz haben (wozu natürlich auch 10.1.3.X /16 gehört) und dann gleichzeitig dort ein Interface mit 10.1.3.X /24 definieren.
Dann hast du nämlich genau die oben angesprochenen sich überschneidenen Adressräume !! Ein Routing ist damit völlig unmöglich, logisch !
Mal ganz davon abgesehen das sich sowas an einem Router/Firewall auch gar nicht konfigurieren lässt weil es sofort einen Fehler im Setup GUI provoziert durch die falsche IP Adressierung.
Was geht, ist das alte 10.1.0.0 /16 zu belassen und dann die neue Segmentierung auf 10.2.x.0 /24 mit den 24er Subnetzen zu legen. Das willst du aber ja genau nicht wenn du die 10.1.0.0 behalten willst.
Du hast dann nur die Option das alte Netz zu halbieren in ein /17 und eine der Hälften in die /24er zu teilen und hoffen das du die restlichen statischen Adressen dann alle in der einen oder anderen Hälfte hast.
So oder so musst du da aber auch die Subnetzmaske anfassen.
Eine Aufteilung des Netzes unter Beibehaltung der /16er Maske für das alte Netz ist technisch unmöglich.
Ich mach gerade etwas Brainstorming:
Ein wird ein zweiter Router benötigt, temporär, bis alles umgestellt ist.
Der alte Router mit /16er Maske bleibt und spielt auch DHCP. Er ist mit dem Hauptswich verbunden.
Der Router erhält ein zweites Netz mit neuer IP außerhalb des Firmennetzes z.B. 172.0.0.0/24 und versorgt es mit dem Internet.
Das neue Gateway wird mit dem WAN Anschluss an das neue Netz des alten Routers gesteckt, daher holt es sich die Internet Daten.
Das neue Gateway bekommt 24er Netze auf mehrere Schnittstellen:
Schnittstelle 1: 10.10.1.1/24 sind für Server
Schnittstelle 2: 10.10.2.1/24 sind für Clients
Usw...
Alle Schnittstellen des Gateway (ausser WAN) sind ebenfalls mit dem Hauptswitch verbunden.
Das Gateway darf kein DHCP machen, das macht immer noch der alte Router.
Noch funktioniert die Kommunikation unverändert. Das neue Gateway kennt noch niemand, alles läuft über den alten Router.
Nun wird DHCP umgestellt. Alle DHCP Clients bekommen die /24 Maske und das neue Gateway, also die IP der Schnittstelle 2 zugewiesen. Der Client fragt nach einem Server, das sich nicht in seinem /24 Netz befindet. Das neue Gateway hört es auf der Schnittstelle 2 und routet es zu Schnittstelle 1 und es geht zum Switch zurück. Der Server hört es, hat noch seine /16 Maske und antwortet direkt über den Swich zum Client. Der Switch bekommt doppelten Traffic ab, aber STP dürfte nicht greifen, da im ersten Paket das Gateway als Ziel drinnen steht.
Sobald alle Server auf /24 umgestellt sind, funktioniert die gesamte Kommunikation nur noch über das neue Gateway und der alte Router hat keine Arbeit mehr Im /16er Netz. Dann kann aufgeräumt werden.
Ein wird ein zweiter Router benötigt, temporär, bis alles umgestellt ist.
Der alte Router mit /16er Maske bleibt und spielt auch DHCP. Er ist mit dem Hauptswich verbunden.
Der Router erhält ein zweites Netz mit neuer IP außerhalb des Firmennetzes z.B. 172.0.0.0/24 und versorgt es mit dem Internet.
Das neue Gateway wird mit dem WAN Anschluss an das neue Netz des alten Routers gesteckt, daher holt es sich die Internet Daten.
Das neue Gateway bekommt 24er Netze auf mehrere Schnittstellen:
Schnittstelle 1: 10.10.1.1/24 sind für Server
Schnittstelle 2: 10.10.2.1/24 sind für Clients
Usw...
Alle Schnittstellen des Gateway (ausser WAN) sind ebenfalls mit dem Hauptswitch verbunden.
Das Gateway darf kein DHCP machen, das macht immer noch der alte Router.
Noch funktioniert die Kommunikation unverändert. Das neue Gateway kennt noch niemand, alles läuft über den alten Router.
Nun wird DHCP umgestellt. Alle DHCP Clients bekommen die /24 Maske und das neue Gateway, also die IP der Schnittstelle 2 zugewiesen. Der Client fragt nach einem Server, das sich nicht in seinem /24 Netz befindet. Das neue Gateway hört es auf der Schnittstelle 2 und routet es zu Schnittstelle 1 und es geht zum Switch zurück. Der Server hört es, hat noch seine /16 Maske und antwortet direkt über den Swich zum Client. Der Switch bekommt doppelten Traffic ab, aber STP dürfte nicht greifen, da im ersten Paket das Gateway als Ziel drinnen steht.
Sobald alle Server auf /24 umgestellt sind, funktioniert die gesamte Kommunikation nur noch über das neue Gateway und der alte Router hat keine Arbeit mehr Im /16er Netz. Dann kann aufgeräumt werden.
Na ja, du nimmst dann aber auch für die neue /24er Struktur ein komplett neues IP Netz. Das das dann ganz einfach funktioniert ist klar, dafür bräuchte es dann diesen Thread hier auch gar nicht, denn dieses IP Netz kann man ja parallel auf Router oder Firewall einrichten und dann sanft Schritt für Schritt im laufenden Betrieb migrieren.
Diese Klimmzüge mit extra Router wären dann völlig überflüssig und müsste man nicht machen. Das ginge dann auch so direkt wenn man dem Router oder FW der jetzt das /16er Altnetz routet diese neuen IPs einfach anhängt.
Das wäre der klassische Weg wie es jeder machen würde bei einer solchen Migration, genau nämlich deswegen weil man eben sowas langsam Stück für Stück im laufenden Betrieb machen kann.
Diese kleinen Migrationsschritte minimieren so dann auch das Ausfallrisiko weill man dann einfach zurückstekcne kann sollte dennoch mal was nicht klappen. Wie bereits gesagt, der ideale Weg aber eben mit einer ganz neuen IP Range.
Versteht man den TO aber im Ursprungsthread oben richtig, sollte es ja eben nicht mit einer neuen IP Netz Adresse gemacht werden sondern die alte 10.4.0.0 /16 er Adresse beibehalten werden und diese nur in /24er Segmente aufgeteilt werden. Und eben DAS geht so dann parallel eben wegen der Überschneidung nicht ohne das Altnetz zu unterteilen.
Wenn man parallel die neue /24er Struktur in einem neuen 10.5.0.0 /16er Subnetz Segment aufbaut ist das dann natürlich problemlos parallel möglich, keine Frage.
Aber für solche Binsenweisheit bräuchte man diesen Thread und auch einen Zusatzrouter gar nicht !!
Diese Klimmzüge mit extra Router wären dann völlig überflüssig und müsste man nicht machen. Das ginge dann auch so direkt wenn man dem Router oder FW der jetzt das /16er Altnetz routet diese neuen IPs einfach anhängt.
Das wäre der klassische Weg wie es jeder machen würde bei einer solchen Migration, genau nämlich deswegen weil man eben sowas langsam Stück für Stück im laufenden Betrieb machen kann.
Diese kleinen Migrationsschritte minimieren so dann auch das Ausfallrisiko weill man dann einfach zurückstekcne kann sollte dennoch mal was nicht klappen. Wie bereits gesagt, der ideale Weg aber eben mit einer ganz neuen IP Range.
Versteht man den TO aber im Ursprungsthread oben richtig, sollte es ja eben nicht mit einer neuen IP Netz Adresse gemacht werden sondern die alte 10.4.0.0 /16 er Adresse beibehalten werden und diese nur in /24er Segmente aufgeteilt werden. Und eben DAS geht so dann parallel eben wegen der Überschneidung nicht ohne das Altnetz zu unterteilen.
Wenn man parallel die neue /24er Struktur in einem neuen 10.5.0.0 /16er Subnetz Segment aufbaut ist das dann natürlich problemlos parallel möglich, keine Frage.
Aber für solche Binsenweisheit bräuchte man diesen Thread und auch einen Zusatzrouter gar nicht !!
Zitat von @aqui:
Na ja, du nimmst dann aber auch für die neue /24er Struktur ein komplett neues IP Netz.
Na ja, du nimmst dann aber auch für die neue /24er Struktur ein komplett neues IP Netz.
Versteht man den TO aber im Ursprungsthread oben richtig, sollte es ja eben nicht mit einer neuen IP Netz Adresse gemacht werden sondern die alte 10.4.0.0 /16 er Adresse beibehalten werden
Ach, doch, ich meinte schon das gleiche Netz. Ich bin nur nicht seinem alten Netz gefolgt (hab auf die schnelle seine IPs nicht gesehen) und habe mir Beispiel IPs ausgedacht.
Der alte Router bleibt also auf 10.4.0.0/16
Der neue Router bekommt
10.4.1.0 auf /24 und
10.4.2.0 auf /24
Der neue Router ist dafür da damit der alte Router keine Überschneidung seines 16er Netzes bekommt und die 172er Verbindung ist dafür da, dass der neue Router nicht meckert, dass seine LAN und WAN Seite die gleichen IPs verwenden, damit der neue Router ins Internet kommt.
Wird in der Firma das Netz am WE der Umstellung benötigt ?
Die Clients via DHCP alle umzustellen sollte wohl kein Problem darstellen.
Die Drucker werden hoffentlich auch über DHCP versorgt.
Bleiben 100 Server die umgestellt werden müssen. Wie viele Standorte und wie viel Manpower? Da es sicherlich um keine Server handelt die nach Änderung der IP neu booten müssen, sollte das doch sicherlich zu stemmen sein.
Die Clients via DHCP alle umzustellen sollte wohl kein Problem darstellen.
Die Drucker werden hoffentlich auch über DHCP versorgt.
Bleiben 100 Server die umgestellt werden müssen. Wie viele Standorte und wie viel Manpower? Da es sicherlich um keine Server handelt die nach Änderung der IP neu booten müssen, sollte das doch sicherlich zu stemmen sein.
Das ist doch Unsinn, das kann doch niemals funktionieren. Denk doch mal selber etwas nach !
Endgeräte im Altnetz die dann dann ein neues Endgerät im 10.4.2.x /24er Netz erreichen wollen, wie sollte das denn gehen ?? Das musst du der Community hier dann mal erklären.
So ein Endgerät im Altnetz "denkt" doch die 10.4.2.x ist in seinem lokalen Netz und ARPt noch nicht einmal nach dem Router sondern das Endgerät direkt. Klar es ja ein Endgerät im lokalen Netz aus seiner netzsicht mit 16 Bit.
Der Router wird also noch nicht einmal erkannt. Wie auch mit einer inkonsistenten Subnetz Maske. Sowas ist noch nicht einmal erlaubt.
Sorry, aber der Vorschlag ist doch kompletter Blödsinn und kann niemals klappen !
Geräte im Altnetz mit /16er Maske haben doch gar keine Ahnung das irgendwo was steht was das gleiche IP Netz weiter subnettet.
Mal ganz abgesehen von der Überschneidung der IP Adressen die dann sofort einen Konfig Fehler in einem Gerät (Router, Firewall) erzeugen würde, würde man versuchen den Unsinn zu konfigurieren.
Wenns so einfach wäre....
Das Netzwerk ist falsch designed und soll richtigerweise in VLANs geteilt werden um die L2 Broadcast Domains entsprechend klein zu halten und das Netzwerk damit an sich performant. Technisch ja auch ein absolut richtiger und sehr vernünftiger Weg. Nur geht es eben nicht so einfach wenn man das alte /16er IP Netz behalten will in einer neuen /24er Aufteilung.
Endgeräte im Altnetz die dann dann ein neues Endgerät im 10.4.2.x /24er Netz erreichen wollen, wie sollte das denn gehen ?? Das musst du der Community hier dann mal erklären.
So ein Endgerät im Altnetz "denkt" doch die 10.4.2.x ist in seinem lokalen Netz und ARPt noch nicht einmal nach dem Router sondern das Endgerät direkt. Klar es ja ein Endgerät im lokalen Netz aus seiner netzsicht mit 16 Bit.
Der Router wird also noch nicht einmal erkannt. Wie auch mit einer inkonsistenten Subnetz Maske. Sowas ist noch nicht einmal erlaubt.
Sorry, aber der Vorschlag ist doch kompletter Blödsinn und kann niemals klappen !
Geräte im Altnetz mit /16er Maske haben doch gar keine Ahnung das irgendwo was steht was das gleiche IP Netz weiter subnettet.
Mal ganz abgesehen von der Überschneidung der IP Adressen die dann sofort einen Konfig Fehler in einem Gerät (Router, Firewall) erzeugen würde, würde man versuchen den Unsinn zu konfigurieren.
Wenns so einfach wäre....
Wie viele Standorte und wie viel Manpower?
Die Frage ist ja auch sinnfrei wenn es nur ein einziges /16er Netz ist in dem die Server und der gesamte Rest stehen. Sowas wie "Standorte" kanns ja dann wohl kaum geben. Der TO redet davon ja logischerweise auch nicht.Das Netzwerk ist falsch designed und soll richtigerweise in VLANs geteilt werden um die L2 Broadcast Domains entsprechend klein zu halten und das Netzwerk damit an sich performant. Technisch ja auch ein absolut richtiger und sehr vernünftiger Weg. Nur geht es eben nicht so einfach wenn man das alte /16er IP Netz behalten will in einer neuen /24er Aufteilung.
Die müssen doch gar nicht unterscheiden.
Ein Client im Altnetz hat z.B. die 10.4.7.45 und will auf den 10.4.1.4 zugreifen. Durch seine 16er Maske im Altnetz schickt er das Paket einfach über seine Schnittstelle raus. Der Server hängt ja auch am Switch, also hört er es.
Ein Client im Neunetz hat z.B. die 10.4.2.45 und will auf den 10.4.1.4 zugreifen. Im Neunetz hat er die 24er Maske und schickt das Paket zum neuen Gateway. Das Gateway hört es und schickt es weiter auf Schnittstelle 1. Dann hört es der Server wieder.
Bedenke, es läuft ja sowieso alles wieder auf den Hauptswitch. Es kann sich also kein Paket verirren.
Ein Client im Altnetz hat z.B. die 10.4.7.45 und will auf den 10.4.1.4 zugreifen. Durch seine 16er Maske im Altnetz schickt er das Paket einfach über seine Schnittstelle raus. Der Server hängt ja auch am Switch, also hört er es.
Ein Client im Neunetz hat z.B. die 10.4.2.45 und will auf den 10.4.1.4 zugreifen. Im Neunetz hat er die 24er Maske und schickt das Paket zum neuen Gateway. Das Gateway hört es und schickt es weiter auf Schnittstelle 1. Dann hört es der Server wieder.
Bedenke, es läuft ja sowieso alles wieder auf den Hauptswitch. Es kann sich also kein Paket verirren.
Ein Client im Altnetz hat z.B. die 10.4.7.45 ....
OK das ist der Verlauf einer klassischen IP Kommunikation. Das ist zweifelsohne richtig.Ein Client im Neunetz hat z.B. die 10.4.2.45....
Und hier ist dein fataler Denkfehler !Im Neunetz hat er die 24er Maske und schickt das Paket zum neuen Gateway.
Das ist noch richtig und korrekt.Das Gateway hört es und schickt es weiter auf Schnittstelle 1.
Und hier geht es jetzt los !- Schnittstelle 1 ist gar nicht so konfigurierbar mit einer /16er Adresse, denn das Gateway würde sofort einen Konfig Fehler detektieren, denn dein 10.4.2.45 /24 Host Segment liegt im gleichen Netzwerk wie Schnittstelle 1, überschneidet sich also und ergibt einen Syntax bzw. Adress Konfig Error.
- Gesetzt den Fall du findest ein dummes Gateway das solche falsche Konfig zulässt oder konfigurierst die Altnetz Schnittstelle bewusst falsch mit einer /24er Maske und hängst sie ins /16er Netz. Was passiert dann:
- 1.) Schnittstelle 1 hat dann z.B. die Adresse 10.4.200.1 /24. Die könnte dann aber niemals auf den Server 10.4.1.4 zugreifen da keine Route dafür vorhanden. Das Packet wird sofort verworfen. Scheitert also sofort.
- 2.) Schnittstelle 1 hat z.B. die Adresse 10.4.1.1 mit falscher Maske /24. Dann ARPt das Gateway nach dem Server und würde den auch erreichen. Eine Verbindung kommt dann auch nicht zustande.
Im Paket das der Router dann an den Server schickt steht ja als Absender die IP 10.4.2.45 an die der Server das Antwort IP Paket senden muss. Der Server hat die Mac Adresse dafür aber nicht und muss danach ARPen. Er denkt das es im lokalen Netz ist und ARPt also danach. Aber niemand antwortet auf den ARP....
Folglich wird auch das Paket verworfen bzw. timed aus.
Auch wenn aus dem Server z.B. durch eine längere Pause der ARP Cache gelöscht ist müsste er neu nach dem Host 10.4.2.45 ARPen, was er dann auch tut. Das dann aber mit einer /16er Maske und der Router würde logischerweise niemals antworten darauf. Dann stirbt die Kommunikation.
Abgesehen das so eine Konfig mit nicht konsistenten Masken nicht Standard konform ist und natürlich auch aus den o.g. Gründen nicht supportet scheitert auch so eine Kommunikation.
Eine klare Sackgasse also und auch erwartbar bei solch falscher IP Adressierung.
Lass dir doch einfach mal den IP Paket Flow durch den Kopf gehen dann ist es doch klar das sowas scheitern muss.
Wenn du es dennoch nicht glaunst stell das mit einem kleinen Router mal nach. Ist ja schnell gemacht und Wireshark wird dir dann die Augen öffnen...
Hi,
ich habe mir jetzt zwar nicht alles durchgelesen, aber ich würde dies anders lösen, um nach und nach die Endgeräte in das richtige VLAN zu setzen.
Das bisherige Netz lautet 10.4.0.0/16 GW sagen wir mal 10.4.0.1
Dann würde ich VLANs anlegen und mit 10.5.0.0/24, 10.5.1.0/24, 10.5.2.0/24 usw. anfangen
Routing zwischen den Netzen 10.4.0.0/16 und den 24er Subnetzen anlegen.
Notfalls ein Transfernetz anlegen...
DHCP Bereiche auf dem DHCP Server anlegen
Und nun nach und nach die Server Drucker usw in die jeweiligen VLANs nehmen.
Dies kann der Kunde dann auch immer mal machen, wenn er Zeit findet.
LG
Patrick
ich habe mir jetzt zwar nicht alles durchgelesen, aber ich würde dies anders lösen, um nach und nach die Endgeräte in das richtige VLAN zu setzen.
Das bisherige Netz lautet 10.4.0.0/16 GW sagen wir mal 10.4.0.1
Dann würde ich VLANs anlegen und mit 10.5.0.0/24, 10.5.1.0/24, 10.5.2.0/24 usw. anfangen
Routing zwischen den Netzen 10.4.0.0/16 und den 24er Subnetzen anlegen.
Notfalls ein Transfernetz anlegen...
DHCP Bereiche auf dem DHCP Server anlegen
Und nun nach und nach die Server Drucker usw in die jeweiligen VLANs nehmen.
Dies kann der Kunde dann auch immer mal machen, wenn er Zeit findet.
LG
Patrick
Aber wie Du schon gesagt hast ist das Routing zwischen dem alten grossen Segment und den neuen Segmenten so nicht machbar.
Das stimmt ja so nicht oder du hast die obige Diskussion nicht gelesen oder verstanden. So ist es ja nicht gesagt....Machbar ist es schon, es bedeutet aber einen höheren Aufwand und Nachteile als wenn du in einen /24er Bereich mit einem neuen 2ten Oktet migrierst.
Du hast dann eine längere Downtime, weil du mehr zu tun hast und du hast das Damoklesschwert das du es in der Downtime zwingend umsetzen musst.
Du bringst dich mit der Beibehaltung der IP Adressierung also um die Option langsam und sukzessive zu migrieren.
Gerade im Hinblick auf diese statische Drucker Applikation wäre das einer der Hauptpunkte diesen Weg eben nicht zu gehen und eine sanfte Migration zu machen.
Das würde ja auch explizit den Kundenwünschen entsprechen, denn so kannst du das Altnetz so belassen wie es ist und nimmst dann erstmal sukzessive alle einfach zu migrierenden Clients, Server und Hardware raus in die neuen /24er Segmente. Das kannst du dann in mehreren Sessions Schritt für Schritt machen ohne das du das Altnetz anfassen musst. Alles rennt weiter wie gehabt nur das aus dem Altnetz nach und nach die Geräte rausgehen in die neue Infrastruktur. Das geht alles parallel und sogar im laufenden Betrieb wenn erforderlich.
Mehr Freiheiten kann man doch bei einer Migration gar nicht haben.... Sollte etwas bei der schrittweisen Migration mal nicht klappen (was sehr unwahrscheinlich ist) hast du immer die Option alles schnell wieder ins Altnetz zurückzustecken.
Das machst du dann soweit bis nur noch die wenigen harten Restkandidaten im Altnetz vorhanden sind. Für die gibt es dann eine letzte Downtime wo du ihnen entweder im Altnetz nur eine neue /24er Maske setzt unter Beibehaltung der IP Adresse oder indem du sie dann auch auf die neue /24er IP Adressierung bzw. in ihre dortigen Segmente migrierst.
Da diese neue Infrastruktur ja schon parallel koexistiert hast du sogar alle Optionen diese statische Druckeranwendung auch schon im neuen Bereich mal vorab wasserdicht zu testen um ggf. Probleme bei der Migration vorab zu eliminieren !
Fazit:
Es spricht also alles dafür parallel zum Altnetz deine neue Struktur mit z.B. 10.5.x.y /24 anzulegen und loszulegen !! Es ist ja alles bei dir vorhanden um das schnell und einfach umzusetzen.
Ich berichte gerne wie wir mit dem Kunde verblieben sind.
Wir sind sehr gespannt ! Und...du musst keinerlei Angst vor dieser Segmentierung haben. Es ist in jedem Falle der richtige und vernünftige Weg und wenn der Kunde einem neuen Segment zustimmt ist das eine sehr einfache Nummer und kann eben wie bereits oben mehrfach gesagt sanft und parallel um Tagebetrieb erfolgen !
Zitat von @Locke2016:
Hallo Certified.
Sag doch nicht immer, cih würde das nicht verstehen oder das Pferd falsch ehrum aufzäumen, Du kennst doch die Verhältnisse gar nicht.
Hallo Certified.
Sag doch nicht immer, cih würde das nicht verstehen oder das Pferd falsch ehrum aufzäumen, Du kennst doch die Verhältnisse gar nicht.
Das ist witzig, das zu sagen, nachdem du uns ja quasi als Planende Institution eingebunden hast, sagst du uns, dass wir die Verhältnisse nicht kennen? Das mag ich.
Es war anfangs geplant im zweiten Octet zu springen von 10.1.0.0/16 auf 10.2.0.x/24, dann hätten wir alle Probleme nicht.
Warum hast du es nicht getan?
Die Stolpesteine kamen vom Kunden und man versucht ja immer möglichst kundenfreundlich und smart zu agieren. In dem Fall gibt es wohl keine andere Lösung. Und noch mal extra für Dich, der Kunde hat kaum ManPower, und mega Angst vor der Segmentierung.
Kundenfreundliches unmögliches möglich zu machen sollte man in dem Job als erstes sein lassen, außer, man nennt sich Marketing. Fällt aber dann wieder uns (also dem Administrator.de Forum) auf die Füße...
Das iwderspricht sich mit dem Auftrag ganz klar, hatte ich denne auch gesagt, ist aber erst nunmal so.
Nun, dann musst du das durchbringen oder eben weiteres externes Personal hin zu ziehen.
Nächste Woche gibt es klärende Gespräche dazu, kurz gesagt "take it or leave it".
WICHTIG: Ich danke allen für die nette Hilfe und das Brainstorming.
@certifiedit.net, warum bist Du hier im Portal? Nimm es nicht persönlich, aber ich habe den Eindruck, dass Du gar nicht helfen möchtest. Du wirfst mir vor ich sei nicht geeignet, hast aber bisher noch nicht ein schlaues Wörtchen abgegeben. Ich finde das in bisschen schwach, aber auch Dir trotzdem Danke für Dein Feedback.
WICHTIG: Ich danke allen für die nette Hilfe und das Brainstorming.
@certifiedit.net, warum bist Du hier im Portal? Nimm es nicht persönlich, aber ich habe den Eindruck, dass Du gar nicht helfen möchtest. Du wirfst mir vor ich sei nicht geeignet, hast aber bisher noch nicht ein schlaues Wörtchen abgegeben. Ich finde das in bisschen schwach, aber auch Dir trotzdem Danke für Dein Feedback.
Ich hab mal den Namen korrigiert, ist nicht so schwer.
Zum Warum, ich bin hier tatsächlich um zu helfen, aber bei dir schreit in vielen Punkten das "eigentlich bin ich nicht fit genug in der Materie" heraus. Ob du dir also alleine (insbesondere anscheinend in planender und umsetzender Funktion) zutrauen solltest, stelle ich daher zur Disposition, vielleicht hat der Kunde auch genau deswegen Angst. - Weil er deine bemerkt, ist ein wenig wie mit Tieren (nicht negativ gemeint). Und aus deinen Nachrichten ergibt sich (fast) jedes mal ein neues Problem und die Aussage, dass du damit (noch) nicht klar kommst.(-> erstmal "trocken üben" musst...). Wenn du das nicht als Hilfe ansiehst, sei es so, ich hab schon oft genug hingefrickelte Netze flicken müssen und mich gewundert...
@ Aqui: Kompliment. Immer gestochen scharf und auf den Punkt. Eine grosse Bereicherung hier.
Ich berichte gerne wie wir mit dem Kunde verblieben sind.
Viele Grüße
Locke