12
Sinnvolle Subnetzkonfiguration
Wir sind eine kleine Unternehmensgruppe mit 4 Firmen und jeweils 5-10 Mitarbeitern (Dienstleistungen, nicht im IT Bereich). Ich habe die Administration als Entwickler vor gut einem Monat übernommen. Zuvor hat dies ein Ein-Mann-Unternehmen gemacht ..
In letzter Zeit macht sich immer mehr eine Art "Sturm" und Routingprobleme im Netzwerk bemerkbar. Dabei ist mir aufgefallen das die Subnetze hier komplett kurios vergeben wurden. Folgende Konstellation herrscht vor:
- Router und default-gateway auf allen Geräten ( DLINK DSR-1000N ) - 172.16.100.1 mit Subnetz 255.255.0.0
- TK-Anlage von Siemens - 172.16.10.1 mit Subnetz 255.255.0.0
- SBS 2011 - 172.16.100.3 mit Subnetz 255.255.0.0
- W2K8R2 als Datenserver - 172.16.100.4 mit Subnetz 255.255.0.0
- DHCP Server auf SBS 2011 => Adresspool 172.16.100.10 bis 172.16.100.199 mit Subnetz 255.255.255.0
- IP-Phones erhalten ihre IP auch über den o.a. DHCP Server, greifen aber auf die o.a. TK-Anlage zu
- NAS (QNAP) mit 2 Gbit Interfaces - 172.16.100.90 + 172.16.100.91 mit Subnetz 255.255.255.0
Es ist in dieser Konstellation auch so das alle PCs von allen Firmen in einem gemeinsamen Subnetz liegen, obwohl sie ausser auf den SBS 2011 und den Datenserver keine Zugriffe untereinander haben.
Über VLANs kann ich es leider nicht lösen, da nicht jeder PC und jedes Telefon einen eigenen Port hat. Die Anbindung des PCs erfolgt bei einigen auch über das Telefon als Switch, oder direkt an einem weiteren Switch angebunden.
Wie kann man unser Szenario in eine gescheite Lösung packen ?
Ich bin für jede Hilfe dankbar!
In letzter Zeit macht sich immer mehr eine Art "Sturm" und Routingprobleme im Netzwerk bemerkbar. Dabei ist mir aufgefallen das die Subnetze hier komplett kurios vergeben wurden. Folgende Konstellation herrscht vor:
- Router und default-gateway auf allen Geräten ( DLINK DSR-1000N ) - 172.16.100.1 mit Subnetz 255.255.0.0
- TK-Anlage von Siemens - 172.16.10.1 mit Subnetz 255.255.0.0
- SBS 2011 - 172.16.100.3 mit Subnetz 255.255.0.0
- W2K8R2 als Datenserver - 172.16.100.4 mit Subnetz 255.255.0.0
- DHCP Server auf SBS 2011 => Adresspool 172.16.100.10 bis 172.16.100.199 mit Subnetz 255.255.255.0
- IP-Phones erhalten ihre IP auch über den o.a. DHCP Server, greifen aber auf die o.a. TK-Anlage zu
- NAS (QNAP) mit 2 Gbit Interfaces - 172.16.100.90 + 172.16.100.91 mit Subnetz 255.255.255.0
Es ist in dieser Konstellation auch so das alle PCs von allen Firmen in einem gemeinsamen Subnetz liegen, obwohl sie ausser auf den SBS 2011 und den Datenserver keine Zugriffe untereinander haben.
Über VLANs kann ich es leider nicht lösen, da nicht jeder PC und jedes Telefon einen eigenen Port hat. Die Anbindung des PCs erfolgt bei einigen auch über das Telefon als Switch, oder direkt an einem weiteren Switch angebunden.
Wie kann man unser Szenario in eine gescheite Lösung packen ?
Ich bin für jede Hilfe dankbar!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 184419
Url: https://administrator.de/contentid/184419
Ausgedruckt am: 05.11.2024 um 06:11 Uhr
12 Kommentare
Neuester Kommentar
...SBS 2011 und den Datenserver keine Zugriffe untereinander haben... Witzig du meinst sicher "keine Zugriffe haben sollten", oder ?? Denn derzeit haben die alle Zugriffe und jeder kann jedem auf dem rechner rumfummeln, denn sie sind ja alle in einem gemeinsamen Class B IP Netz.
Die Subnetzmasken sind inkonsistent und damit wirklich Kraut und Rüben...kein Wunder das es da chaotisch abgeht... Allein schon das NAS ist vollkommen falsch angebunden mit 2 IPs im gleichen Netz, denn die 2 Links sollten eigentlich eine Link Aggregation machen und die Bandbreite verdoppeln was so nicht erreicht wird Im Gegenteil.
Voice gehört allein schon aus rechtlichen Gründen in ein separates VLAN !
Da ist also recht viel im Argen bei dir und so wie es aussieht haben da ein Menge "Bastler" sich verewigt die nicht wussten was sie tun... !!
VLANs sind die sinnvollste Lösung zur richtigen Segmentierung, denn auch Switches in Telefonen sind VLAN fähig.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Auch wenigstens einen Basis Switch zu nehmen und die VLANs abzutrennen und dann pro VLAN wieder nicht VLAN Switche zur Porterweiterung zu nehmen ist ein gangbarer Weg.
Die Alternative ist dann für jedes LAN IP Segment einen einzelne Infrastruktur zu verwenden was natürlich völliger Unsinn ist. Deshalb bleiben sinnvoll nur VLANs wenn auch erstmal nur im Core. Wenigstens im die IP Segmente sauber zu trennen.
Wenn du eine vernünftige Access und Zugangssteuerung benötigst, kommst du um den Einsatz einer Firewall nicht drum rum:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Alternative wäre ein VLAN fähiger Layer 3 (Routing) Switch im Core mit der Möglichkeit von Accesslisten um den Zugang zu steuern. Ist technisch das Beste, kostet aber etwas.
Es gibt mehrere Wege nach Rom..... Was tun musst du aber allemal in dem kranken Netz.
Die Subnetzmasken sind inkonsistent und damit wirklich Kraut und Rüben...kein Wunder das es da chaotisch abgeht... Allein schon das NAS ist vollkommen falsch angebunden mit 2 IPs im gleichen Netz, denn die 2 Links sollten eigentlich eine Link Aggregation machen und die Bandbreite verdoppeln was so nicht erreicht wird Im Gegenteil.
Voice gehört allein schon aus rechtlichen Gründen in ein separates VLAN !
Da ist also recht viel im Argen bei dir und so wie es aussieht haben da ein Menge "Bastler" sich verewigt die nicht wussten was sie tun... !!
VLANs sind die sinnvollste Lösung zur richtigen Segmentierung, denn auch Switches in Telefonen sind VLAN fähig.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Auch wenigstens einen Basis Switch zu nehmen und die VLANs abzutrennen und dann pro VLAN wieder nicht VLAN Switche zur Porterweiterung zu nehmen ist ein gangbarer Weg.
Die Alternative ist dann für jedes LAN IP Segment einen einzelne Infrastruktur zu verwenden was natürlich völliger Unsinn ist. Deshalb bleiben sinnvoll nur VLANs wenn auch erstmal nur im Core. Wenigstens im die IP Segmente sauber zu trennen.
Wenn du eine vernünftige Access und Zugangssteuerung benötigst, kommst du um den Einsatz einer Firewall nicht drum rum:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Alternative wäre ein VLAN fähiger Layer 3 (Routing) Switch im Core mit der Möglichkeit von Accesslisten um den Zugang zu steuern. Ist technisch das Beste, kostet aber etwas.
Es gibt mehrere Wege nach Rom..... Was tun musst du aber allemal in dem kranken Netz.
Die Telefone unterstützen VLANs und der Router und einige Etagenswitche auch ..
Aber nichts desto trotz müsste ich dennoch erstmal die Subnetze gerade ziehen damit sie einigermaßen sinnvoll deklariert sind oder ? bzw. auch die IPs allgemein ...
Aber nichts desto trotz müsste ich dennoch erstmal die Subnetze gerade ziehen damit sie einigermaßen sinnvoll deklariert sind oder ? bzw. auch die IPs allgemein ...
Ja, klar, das IP Konzept ist deine allererste Aufgabe:
4 Firmen = 4 Subnetze wie z.B.: (253 mögliche Endgeräte pro Firma)
Firma 1 = 172.16.10.0 /24
Firma 2 = 172.16.20.0 /24
Firma 3 = 172.16.30.0 /24
Firma 4 = 172.16.40.0 /24
Ggf. noch IP Segmente für Gastnetz und WLAN usw. und ein separates Servernetz sofern alle auf einen Server arbeiten.
4 Firmen = 4 Subnetze wie z.B.: (253 mögliche Endgeräte pro Firma)
Firma 1 = 172.16.10.0 /24
Firma 2 = 172.16.20.0 /24
Firma 3 = 172.16.30.0 /24
Firma 4 = 172.16.40.0 /24
Ggf. noch IP Segmente für Gastnetz und WLAN usw. und ein separates Servernetz sofern alle auf einen Server arbeiten.
Seitze einen managed Switch ein. Dort seitzt du am besten ein VLAN-Tag für die Telefone, damit diese seperat sind und per QoS priorisiert werden können. Für das VLAN Taging musst nicht zwingend jedes Gerät einen eigenen Port an diesen Switch haben. Man kann auch nach MAC-Adresse taggen.
Wenn das NAS schon zwei Ports hat mache einen Trunk drauß.
Setze zum Routen einen Anständigen Router ein z.B. Lancom mit ARF-Funktion. Damit kannst Du dann zwischen den Netzen routen. Sowas macht man nicht mit einem Switch den nimmt man maximal zum taggen.
Setze alle Masken auf B und mache die Trennung der Netze über VLANs.
Eigentlich dürfen die vier Firmen aus Datenschutzgründen nicht auf einem Server arbeiten. Außerdem hast Du ein Problem, wenn das Finanzamt mal den Server beschlagnahmt. Dann können die andern drei nicht arbeiten.
Wenn das NAS schon zwei Ports hat mache einen Trunk drauß.
Setze zum Routen einen Anständigen Router ein z.B. Lancom mit ARF-Funktion. Damit kannst Du dann zwischen den Netzen routen. Sowas macht man nicht mit einem Switch den nimmt man maximal zum taggen.
Setze alle Masken auf B und mache die Trennung der Netze über VLANs.
Eigentlich dürfen die vier Firmen aus Datenschutzgründen nicht auf einem Server arbeiten. Außerdem hast Du ein Problem, wenn das Finanzamt mal den Server beschlagnahmt. Dann können die andern drei nicht arbeiten.
dann brauche ich auf dem Router jeweils ein virtuelles Interfaces für jedes Subnetz, damit alle darauf zugreifen können oder ? Also um bei deinem Beispiel zu bleiben 172.16.10.1, 172.16.20.1, 172.16.30.1, 172.16.40.1 ?
naja wir sind ja an sich eine Unternehmensgruppe, haben nur variierende Geschäftsfelder. Geschäftsführung + Buchhaltung ist für alle eins
Nein Du kannst das auch über VLANs machen
@active...
Also so eine Aussage wie "...Sowas macht man nicht mit einem Switch den nimmt man maximal zum taggen." ist natürlich barer Unsinn und zeugt eher von wenig Know How in Verbindung mit Netzwerk Switches und Netzwerk Design.
Natürlich ist das immer der Königsweg ein segmentiertes Netzwerk zusammenzufassen und einen Layer 3 Switch zu nutzen ! Das ist die einzig skalierbare Lösung. Mal sehen wenn man 10 VLANs und mehr hast wie deine externe Lancom Gurke damit klar kommt.... Vergiss also diese falsche) Aussage ganz schnell von oben !
Nicht immer ist man aber gewillt eine neue Anschaffung wie einen L3 Switch zu tätigen und auch für eine Minifirma wie die obige ist das oft mit Kanonen auf Spatzen. Deshalb bieten sich ja auch Teillösungen an mit Layer 2 VLAN Switches und externen Routern um den Weg anders zu beschreiten aber im Ergebnis das gleiche zu erreichen wenn auch mit weniger Aufwand aber genau so effektiv !
Wenn also schon eine Switch Infrastruktur mit L2 Switches vorhanden ist die VLAN fähig ist, ist das der richtige Startpunkt.
Hier segementiert man in die entsprechenden VLANs und routet über einen externen Router. Sinnvollerweise über einen Trunk (tagged Link), damit man nicht für jedes VLAN eine separate Strippe ziehen muss logischerweise. Das obige Tutorial beschreibt die Vorgehensweise im Detail.
Natürlich ist auch einen Lösung über einen vorhandenen Server denkbar:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Das ist aber nicht immer gut denn es beeinträchtigt den Server in seiner Performance und ist wenig skaliebar ! Besser also immer der Switchweg....
Kollege hykohh ist also schon aur dem richtigen Wege zu einer gangbaren Lösung für ihn ohne erstmal eine Großinvestition zu tätigen...
Die Antwort auf deinen Frage lautet also: Ja, für jedes IP Segment hast du auch ein Router Interface. Ob das nun physisch ist oder virtuell spielt erstmal keinerlei Rolle !
Also so eine Aussage wie "...Sowas macht man nicht mit einem Switch den nimmt man maximal zum taggen." ist natürlich barer Unsinn und zeugt eher von wenig Know How in Verbindung mit Netzwerk Switches und Netzwerk Design.
Natürlich ist das immer der Königsweg ein segmentiertes Netzwerk zusammenzufassen und einen Layer 3 Switch zu nutzen ! Das ist die einzig skalierbare Lösung. Mal sehen wenn man 10 VLANs und mehr hast wie deine externe Lancom Gurke damit klar kommt.... Vergiss also diese falsche) Aussage ganz schnell von oben !
Nicht immer ist man aber gewillt eine neue Anschaffung wie einen L3 Switch zu tätigen und auch für eine Minifirma wie die obige ist das oft mit Kanonen auf Spatzen. Deshalb bieten sich ja auch Teillösungen an mit Layer 2 VLAN Switches und externen Routern um den Weg anders zu beschreiten aber im Ergebnis das gleiche zu erreichen wenn auch mit weniger Aufwand aber genau so effektiv !
Wenn also schon eine Switch Infrastruktur mit L2 Switches vorhanden ist die VLAN fähig ist, ist das der richtige Startpunkt.
Hier segementiert man in die entsprechenden VLANs und routet über einen externen Router. Sinnvollerweise über einen Trunk (tagged Link), damit man nicht für jedes VLAN eine separate Strippe ziehen muss logischerweise. Das obige Tutorial beschreibt die Vorgehensweise im Detail.
Natürlich ist auch einen Lösung über einen vorhandenen Server denkbar:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Das ist aber nicht immer gut denn es beeinträchtigt den Server in seiner Performance und ist wenig skaliebar ! Besser also immer der Switchweg....
Kollege hykohh ist also schon aur dem richtigen Wege zu einer gangbaren Lösung für ihn ohne erstmal eine Großinvestition zu tätigen...
Die Antwort auf deinen Frage lautet also: Ja, für jedes IP Segment hast du auch ein Router Interface. Ob das nun physisch ist oder virtuell spielt erstmal keinerlei Rolle !
ich habe gerade nochmal einen Blick in das Webinterface der Switche geworfen .. leider bietet keiner mir die Option auf MAC Adressen zu taggen. Alle VLAN Einstellungen können nur port-basiert vorgenommen werden. Dann stellt sich natürlich die Frage wie sich die Telefone verhalten würden .. in den Settings der Telefone kann ich eine VLAN ID setzen - was das aber für eine Auswirkung auf die über das Telefon angeschlossenen PCs hätte, keine Ahnung.
Wenn ich die Subnetze und Router-Interface alle anlege, dann läuft ja sämtlicher Verkehr von Client zu Servern oder von Telefonen zu TK Anlage über den Router oder ? Wäre dieser dann nicht für mich ein viel engerer Flaschenhals als es das krumme Subnetting momentan schon ist ?
Ist auch völliger Unsinn ! Wozu soll das gut sein auf Mac Adressen zu taggen. Vergiss so einen Blödsinn. Taggen tut man VLAN basierend auf Switch Uplinks und Router Uplinks.
Die Port basierte Tag Option ist auch normal und der übliche Standard. Lass dich nicht verrückt machen das ist auch OK so !
Mit den Telefonen ist das die Frage. Wenn die eine 802.1p Priorisierung fahren, dann machen die so oder ein Tagging weil .1p immer ein Teil von .1q ist und Tagging dann zwingend voraussetz.
Wenn du DSCP basierte Priorisierung fährst passiert die auf IP Basis dann ist Tagging eh außen vor.
Da kann man aber wegen fehlender Info von dir nur im freien Fall raten....
Im banalsten Falle machst du gar keine Priorisierung und dann kannst du die Telefone in ein Port basiertes VLAN (Voice) bringen.
Pfiffig wäre dann das dann doch über einen VLAN Tag zu machen. Damit kannst du die Telefone dann z.B. über deren Tag immer ins VLAN 10 legen und die am Telefon angeschlossenen PC senden ihren Traffic immer untagged.
Billige Switches vorwarden diesen Traffic dann ins Default VLAN (oft 1).
Bei etwas besseren Switches kann man bestimmen an der Port Konfig in welches VLAN untagged Traffic an diesem Port geforwardet werden soll.
Auch da kann man jetzt nur raten, da du ebenfalls deine Switchhardware nicht beschrieben hast. Sonst könnten wir für dich mal die Handbücher lesen !!
Was dein Routing anbetrifft lautet die Antwort: Jein...
Telefon und TK Anlage kommen beide in ein gemeinsames VLAN also da wird dann nicht geroutet.
Bei den Clients ja. Wenn alle 4 Firmen die du abtrennst auf dem Server arbeiten dann werden die einmal geroutet. Hast du damit ein Problem ??
Ein kleiner Gigabit Router wie der Mikrotik 750G macht das mit links:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
http://shop.varia-store.com/product_info.php?language=de&info=p1168 ...
Die Port basierte Tag Option ist auch normal und der übliche Standard. Lass dich nicht verrückt machen das ist auch OK so !
Mit den Telefonen ist das die Frage. Wenn die eine 802.1p Priorisierung fahren, dann machen die so oder ein Tagging weil .1p immer ein Teil von .1q ist und Tagging dann zwingend voraussetz.
Wenn du DSCP basierte Priorisierung fährst passiert die auf IP Basis dann ist Tagging eh außen vor.
Da kann man aber wegen fehlender Info von dir nur im freien Fall raten....
Im banalsten Falle machst du gar keine Priorisierung und dann kannst du die Telefone in ein Port basiertes VLAN (Voice) bringen.
Pfiffig wäre dann das dann doch über einen VLAN Tag zu machen. Damit kannst du die Telefone dann z.B. über deren Tag immer ins VLAN 10 legen und die am Telefon angeschlossenen PC senden ihren Traffic immer untagged.
Billige Switches vorwarden diesen Traffic dann ins Default VLAN (oft 1).
Bei etwas besseren Switches kann man bestimmen an der Port Konfig in welches VLAN untagged Traffic an diesem Port geforwardet werden soll.
Auch da kann man jetzt nur raten, da du ebenfalls deine Switchhardware nicht beschrieben hast. Sonst könnten wir für dich mal die Handbücher lesen !!
Was dein Routing anbetrifft lautet die Antwort: Jein...
Telefon und TK Anlage kommen beide in ein gemeinsames VLAN also da wird dann nicht geroutet.
Bei den Clients ja. Wenn alle 4 Firmen die du abtrennst auf dem Server arbeiten dann werden die einmal geroutet. Hast du damit ein Problem ??
Ein kleiner Gigabit Router wie der Mikrotik 750G macht das mit links:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
http://shop.varia-store.com/product_info.php?language=de&info=p1168 ...
Vielen Dank für die zahlreichen und ausführlichen Infos aqui. Ich werde das nächste Woche mal versuchen und mich hier garantiert hier nochmal zurückmelden ...
