menace
Goto Top

Spezielle DHCP Konstellation gefordert

Hallo zusammen,

ich habe hier aktuell folgende etwas verzwickte Konstellation:

Am Standort gibt es ca. 100 Clients, welche physikalisch alle in einem Netzwerk hängen. IP-Adressen werden per DHCP verteilt.
Es gibt 4 ADSL Anschlüsse mit jeweils einem Router, also insgesamt 4 Internetgateways.

Vorgabe ist nun, dass die 4 Gateways per DHCP gleichmäßig auf alle 100 Clients verteilt werden, nach dem Motto

pc1 --> gateway 1
pc2 --> gateway 2
pc3 --> gateway 3
pc4 --> gateway 4
pc5 --> gateway 1
pc6 --> gateway 2
pc7 --> gateway 3
pc8 --> gateway 4
pc9 --> gateway 1
.
.
.
.
usw.


Ich habe mir nun gedacht, dass ich für jedes Gateway ein eigenes IP-Netz anlege.

192.168.1.1 - 192.168.1.254 --> gateway1
192.168.2.1 - 192.168.2.254 --> gateway2
192.168.3.1 - 192.168.3.254 --> gateway3
192.168.4.1 - 192.168.4.254 --> gateway4

Per Bindung an die MAC-Adresse bekommt dann jeder PC imm die gleiche IP-Adresse inkl. zugehörigem Gateway zugewiesen.
Nun habe ich nur das Problem, dass ich nicht weiß, welche Subnetzmasks ich vergeben soll. Die PCs müssen untereinander zugreifbar sein, bzw. sie müssen auf Server zugreifen, welche sich im 192.168.0.0 Netz befinden.

Kann mir hierzu bitte jemand Tipps geben?!


Besten Dank

Content-Key: 175266

Url: https://administrator.de/contentid/175266

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: Ravers
Ravers 25.10.2011 um 16:15:23 Uhr
Goto Top
Subnetz ist ja bei allen 255.255.255.0.
Routing/DNS macht dann das untereinander kommunizieren.

greetz
ravers
Mitglied: aqui
aqui 25.10.2011 um 16:17:53 Uhr
Goto Top
@Ravers
Diese Aussage ist sinnfrei und zudem noch falsch ! Erstens hat er gar kein Routing in dem Netz (wer sollte das denn machen ?), und zweitens könnte ein Host 192.168.1.100 niemals mit einem Host 192.168.2.100 direkt kommunizieren bei deiner Subnetzmaske. Und genau DAS ist aber ja gefordert.
In Zeiten von CIDR Netzen ist es keineswegs so das eine 192er Adresse auch zwingend eine 24 Bit Maske haben muss !
Vergiss diese Antwort also ganz schnell wieder....oder lies besser nochmal sorgfältig.

@menace
Die Subnetzmaske ist davon abhängig was in dem Netz für eine Maske vergeben ist. Normalerweise sind die 192er Adressen in alter klassischer Notation eine Class C Adresse mit einer 24 Bit Subnetzmaske was aber heute mit bitvariablen Masken aufgehoben ist !
http://de.wikipedia.org/wiki/IPv4#Lokale.2FPrivate_Netzwerkadressen

Mit einer Kristallkugel könnten wir ggf. sehen was dort für eine Subnetzmaske vergeben ist aber raten kommt ja in der IT nicht so gut.... Woher sollen wir also die Weisheit nehmen zu wissen welche Maske verwendet ist.
In Zeiten einer CIDR Notation kannst du auch mit einer 20 Bit oder 16 Bit oder was auch immer Maske in dem Netz arbeiten.
Wär so als wenn man im Forum sagen sollte welches Benzin du getankt hast nur mit einem Blick auf dein Auto....
Am einfachsten ist es wohl das du mal das Setup der 4 Router kontrollierst und checkst was im LAN Setup dort für eine Maske eingestellt ist. Die muss gleich sein und ist damit dann auch zwingend bindend für alle deine Clients.
Vermutlich (geraten !) arbeitet das Netzwerk mit einer 16 Bit Maske (255.255.0.0) so das die letzten beiden Oktette der Hoastanteil ist.
Bedneke das die Netzwerk Maske konsistent sein muss also überall gleich...auch auf den Routern !
Nebenbei: Das ganze Konzept ist krank. Man kann es natürlich so machen und es funktioniert auch...keine Frage. Es hat aber keinerlei Ausfalloption wenn einer der Router ausfällt. dann steht wenigstens für 1/4 aller Clients das Netz.
Kein verantwortungsvoller Netzadmin macht so einen Bastelmist für 100 Clients in einem Produktivnetz. Dafür setzt man in der Regel preiswerte Multi WAN Port Router ein die ein automatisches Load Balancing mit gegenseitigem Ausfall Backup machen...aber nicht so einen Murks.
Mitglied: Pago159
Pago159 25.10.2011 um 16:22:13 Uhr
Goto Top
Zitat von @menace:
Am Standort gibt es ca. 100 Clients, welche physikalisch alle in einem Netzwerk hängen. IP-Adressen werden per DHCP
verteilt.
Es gibt 4 ADSL Anschlüsse mit jeweils einem Router, also insgesamt 4 Internetgateways.

Vorgabe ist nun, dass die 4 Gateways per DHCP gleichmäßig auf alle 100 Clients verteilt werden, nach dem Motto

pc1 --> gateway 1
pc2 --> gateway 2
pc3 --> gateway 3
pc4 --> gateway 4
pc5 --> gateway 1
pc6 --> gateway 2
pc7 --> gateway 3
pc8 --> gateway 4
pc9 --> gateway 1
.
.
.
.
usw.


Ich habe mir nun gedacht, dass ich für jedes Gateway ein eigenes IP-Netz anlege.

192.168.1.1 - 192.168.1.254 --> gateway1
192.168.2.1 - 192.168.2.254 --> gateway2
192.168.3.1 - 192.168.3.254 --> gateway3
192.168.4.1 - 192.168.4.254 --> gateway4

Per Bindung an die MAC-Adresse bekommt dann jeder PC imm die gleiche IP-Adresse inkl. zugehörigem Gateway zugewiesen.
Nun habe ich nur das Problem, dass ich nicht weiß, welche Subnetzmasks ich vergeben soll. Die PCs müssen untereinander
zugreifbar sein, bzw. sie müssen auf Server zugreifen, welche sich im 192.168.0.0 Netz befinden.

Also wenn ich das deiner Aufgabenstellung her richtig entnehme, geht es hier aber daraum, dass nicht 50 User über ein Gateway gehen, wenn von den anderen 150 Usern keiner Online ist (sprich die Last soll auf die Gateways verteilt werden)

Bei deinem Lösungsansatz ist es ja leider so, dass wenn alle User aus dem Netz 192.168.1.1-254 online sind, während kein anderer da ist, dann gehen alle über das Gateway1 dies sollte aber ja wohl nicht der fall sein, sondern diese 50 sollten dann auf die 4 Gateway´s verteilt werden oder sehe ich dort gerade etwas Falsch?

[EDIT]
Ich würde mir an deiner Stelle mal ein paar gedanken über Loadbalancing machen. Hier können deine 4 Leitungen zu einer zusammengefasst werden und die last wird auf alle Rechner vernünftig aufgeteilt.
[/EDIT]

Lg Grapper
Mitglied: Ravers
Ravers 25.10.2011 um 16:28:19 Uhr
Goto Top
Moin,

ich glaube nicht das menace eine Einführung in Subnetmask habe wollte. Standardmäßig, und davon darf man ausgehen, ist dies ein Class C Netz mit 255.255.255.0; ist es anders ist es schon recht speziel, und meneac hätte es bestimmt erwähnt!

Aber insofern hast du recht, das die Router dann nicht aausfallen dürfen, und das es auch dafür spezielle Hardware gibt (Multi WAN Port Router). Und dies vorgehen kann ich auch favorisieren!! face-wink

greetz
ravers
Mitglied: aqui
aqui 25.10.2011 um 16:30:53 Uhr
Goto Top
Das ist Blödsinn ! Standardmässig darf man seit 1993 von gar nix mehr ausgehen was Maskennotation betrifft !
Die Klassen Einteilung bei IP Netzen ist schon seit Jahrzehnten aufgehoben und gibt es nicht mehr. Auch ein 192er Netz kann man z.B. mit einer 16 Bit Maske betreiben.
Damit auch du es verstehtst: Es muss NICHT mehr zwingend eine 24 Bit Maske mit dem Netz verknüpft sein !!
(Zitat Wikipedia o.a. Link: )
Früher gab es fest vorgeschriebene Einteilungen für Netzwerkklassen mit einer festen Länge. Da diese Einteilung sehr unflexibel ist, wird seit 1993 vor allem im WAN hauptsächlich das Classless Inter-Domain Routing-Verfahren durchgeführt, welches bitvariable Netzmasken ermöglicht.

Mehr muss man dazu wohl nicht sagen...
Mitglied: menace
menace 25.10.2011 um 16:57:15 Uhr
Goto Top
hallo,

wir hatten hier bis zum jetzten wochenden einen multi-wan-router, der die 4 adsl anschlüsse gebündelt hatte. hat so auch die letzten drei jahre problemlos geklappt, nur hat das teil freitag nacht den geist aufgegeben und dementsprechend war dann für zwei tage an allen 150 clients kein internet zur verfügung.

um diesen SPOF nun zu eliminieren versuche ich die oben erwähnte konstellation. wenn dann eine adsl leitung oder das zugehörige gateway ausfallen, ist nur jeder 4te PC betriffen und nicht gleich alle...


wenn ich im dhcp-server einen ip-bereich 192.168.1.1 - 192.168.1.254 mit der SN 255.255.0.0 anlege und dann einen zweiten bereich mit 192.168.2.1 - 192.168.2.254 auch mit der SN 255.255.0.0 anlegen möchte, bekomme ich einen fehler, dass es einen konflikt mit einem bereits bestehenden bereich gibt.
und genau hier liegt mein problem, weil ich nicht weiß, welche SN ich vergeben muss, dass ich alle 4 DHCP-bereiche anlegen kann und die clients aus den verschiedenen bereichen trotzdem noch untereinander und auf das 192.168.0.0 netz zugreifen können.
Mitglied: aqui
aqui 25.10.2011 um 17:08:50 Uhr
Goto Top
Du hast 2 Optionen:

1.) Die "Profi" Variante
Dein DHCP Bereich muss lauten: 192.168.1.1 - 192.168.4.254 mit einer 21 Bit Maske, 255.255.248.0 !
Dann hast du einen gesamten verfügbaren IP Adressbereich von 192.168.0.1 bis 192.168.7.254
Achtung: Auch die Router müssen mit ihren LAN IPs entsprechend mit dieser 21 Bit Maske so konfiguriert sein !

1.) Die "Dummie" Variante
Wenn du Probleme hast mit "krummen" Subnetzmasken umzugehen geht auch die Anfänger Variante.
Dein DHCP Bereich muss dann lauten: 192.168.1.1 - 192.168.4.254 mit einer 16 Bit Maske, 255.255.0.0 !
Dann hast du einen gesamten verfügbaren IP Adressbereich von 192.168.0.1 to 192.168.255.254
Achtung: Auch die Router müssen mit ihren LAN IPs entsprechend mit dieser 16 Bit Maske so konfiguriert sein !

Übrigens als Kompromiss hättest du ja z.B. 2 Dual Port WAN Router nehmen können wie z.B. einen Draytek 2910 so hättest du wenigstens 50% Backup...aber egal. Mit der Frickellösung gehts ja auch.

P.S.: Deine Shift Taste ist defekt !
Mitglied: 60730
60730 25.10.2011 um 17:15:42 Uhr
Goto Top
moinsen....

das ist doch alles Schmarren....

um diesen SPOF nun zu eliminieren versuche ich die oben erwähnte konstellation. wenn dann eine adsl leitung oder das zugehörige gateway ausfallen,
ist nur jeder 4te PC betriffen und nicht gleich alle...

Dieser und der vorherigen Zeile entnehme ich, die Kisten hängen direkt am Router, ohne eine Firewall...
Den Zeilen entnehme ich weiter, das es Sinniger sein soll 50 People vom Netz zu sperren, weil .... anstatt eine (aus 2 Systemen bestehende) Firewall dranzubabschen, der es egal ist, ob einer oder 3 Bauarbeiter mit dem Bagger eine Leitung zerfetzt haben und die Lastausgleich beherrscht?

[OT]
  • Kann es sein, dass ich Urlaub brauche?
Nein, ich bin im Urlaub
  • Kann ich mich - wenn ich im Besitz einer stumpfen Nagelschere bin - als Friseur selbstständig machen?
Wenn nein, warum kann dann jeder "unser" Berufsbild in ein schlechtes Licht rücken?
[/OT]
Mitglied: menace
menace 25.10.2011 um 17:19:11 Uhr
Goto Top
das problem ist aber, dass ich einem dhcp-bereich immer nur ein gateway zuweisen kann, das verteilt werden soll. also benötige ich für jedes gateway einen eigenne bereich, alle bereiche zu einem zusammen zu fassen klappt dann nicht.
aktuell nutzen wir sowieso schon eine class-b subnetmask (255.255.0.0) welche auch beibehalten werden würde (also die dummie-variante)...

wenn ich die 4 adsl anschlüsse auf zwei dual-wan-router aufteile besteht meiner ansicht nach das ursprungsproblem nach wie vor. nur das ich dann nicht mehr 4 bereiche, sondern nur noch zwei brauche...
wenn dann allerdings einer der router ausfällt, wären 50% der clients ohne internet.


p.s. die shift taste wird meiner ansicht nach überbewertet ;)
Mitglied: aqui
aqui 25.10.2011 um 17:24:29 Uhr
Goto Top
Dann hast du Problem ! Ein guter DHCP sollte das können !
Dann ist eine Lösung nur mit einem dummen flachen Layer 2 Netz wie dem deinen so nicht möglich. Dann gehts nur mit Routing in diese Subnetze und du musst das Layer 3 seitig trennen oder wenns flach bleiben soll mit 2 DHCP Servern arbeiten. Oder....
doch 2 Dual WAN Port Router beschaffen.

P.S.: Es ist nicht immer eine Wohltat Texte mit kaputter Shift Taste lesen zu müssen. Die Überbewertung hat also immer 2 Seiten wie immer im Leben !
Mitglied: menace
menace 25.10.2011 um 17:25:09 Uhr
Goto Top
kannst du mir entsprechende hardware vorschlagen, die mir die 4 adsl-anschlüsse zu einer gateway-ip zusammen fasst und keinen SPOF produziert?!
Mitglied: aqui
aqui 25.10.2011 um 17:27:15 Uhr
Goto Top
Mitglied: menace
menace 25.10.2011 um 19:57:01 Uhr
Goto Top
Hab mir schon fast gedacht, dass ich hier ohne Routing nicht mehr weiter komme. Besten Dank für Eure Hilfe, werde mir die Sache nochmals durch den Kopf gehen lassen.
Mitglied: brammer
brammer 25.10.2011 um 20:56:59 Uhr
Goto Top
Hallo,

mal abgesehen davon das aqui schon zu recht darauf hingewiesen hat das man seit 1993 auf die Klassenbezeichung der IP Adressen verzichtet wird, stellt sich für mich die Frage nach der Netzwerkstruktur in deinem Netz.
Was für Switche hast du?

brammer
Mitglied: menace
menace 26.10.2011 um 08:22:57 Uhr
Goto Top
die PCs hängen in 10er - 12er Gruppen an 16-Port Gigabit Switchen; jeder Switch hat dann einen Uplink zu einem Cisco 3560G an dem auch die Backend-Komponenten (Switche, ADSL-Router etc.) hängen;
Mitglied: djfflow
djfflow 26.10.2011 um 09:08:11 Uhr
Goto Top
die PCs hängen in 10er - 12er Gruppen an 16-Port Gigabit Switchen; jeder Switch hat dann einen Uplink zu einem Cisco 3560G an
dem auch die Backend-Komponenten (Switche, ADSL-Router etc.) hängen;

Wenn du oben von dem SPOF sprichst und diesen vermeiden möchtest, sehe ich aber den Cisco 3560G aber auch als solch einen Punkt an.
Was würde es dir bringen die 4 DSL Anschlüsse an dem Switch direkt anzuschließen und dann bricht der Switch weg?!?
Mitglied: aqui
aqui 26.10.2011, aktualisiert am 18.10.2012 um 18:48:53 Uhr
Goto Top
Was du machen kannst ist einen zentralen Router davorstellen und den über Polica Based Routing je nach Absender IP die Sessions auf die 4 Router zu verteilen. Ein preiswerter Firewall/Router wie pfSense kann sowas zum Beispiel:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Allgemeine Tips zum Routing findest du hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Die Lösung für dich mit einem zentralen Cisco 3560 ist aber sehr einfach und heisst PBR.
Wie das geht siehe letzten Thread Eintrag unten !
Mitglied: aqui
aqui 26.10.2011, aktualisiert am 18.10.2012 um 18:48:54 Uhr
Goto Top
Sag das doch gleich das du einen Cisco im Netz hast face-sad !! Der Cisco 3560 kann doch Policy Based Routing !!
Dann ist doch eine Lösung kinderleicht : Du filterst mit einer ACL auf dem 3560 die .1.0er, .2.0er, .3.0er und die.4.0er IPs raus und gibst ihnen dann ein anderes next Hop Gateway nämlich eins von deinen 4 Routern je nach Absender IP.
Fertig ist der Lack. Das kostet dich 10 Minuten und 4 Konfig Zeilen im 3560 und dein "Problem" ist ohne Mehrkosten erledigt !!
Wie man PBR auf dem Cisco konfiguriert erklärt dir dieser Thread an einem Beispiel das du nur abtippen musst:
Cisco Router 2 Gateways für verschiedene Clients
Bei dir sähe das dann z.B. so aus:

access-list 110 permit ip 192.168.1.0 0.0.0.255 any
access-list 120 permit ip 192.168.2.0 0.0.0.255 any
access-list 130 permit ip 192.168.3.0 0.0.0.255 any
access-list 140 permit ip 192.168.4.0 0.0.0.255 any

route-map 4router permit 10
match ip address 110
set ip next-hop 192.168.1.1
(IP Addresse Internet Router-1)

route-map 4router permit 20
match ip address 120
set ip next-hop 192.168.1.2
(IP Addresse Internet Router-2)

route-map 4router permit 30
match ip address 130
set ip next-hop 192.168.1.3
(IP Addresse Internet Router-3)

route-map 4router permit 40
match ip address 140
set ip next-hop 192.168.1.4
(IP Addresse Internet Router-4)

interface vlan 1
ip address 192.168.x.x 255.255.255.0
ip policy route-map 4router

Mitglied: brammer
brammer 26.10.2011 um 11:34:06 Uhr
Goto Top
Hallo,

na also...
Da sieht man mal wieder das nie zu viel Infos gibt... nur zu wenig!
Und anständige Hardware

brammer
Mitglied: 102534
102534 28.08.2014 um 08:50:31 Uhr
Goto Top
Zitat von @menace:

die PCs hängen in 10er - 12er Gruppen an 16-Port Gigabit Switchen; jeder Switch hat dann einen Uplink zu einem Cisco 3560G an
dem auch die Backend-Komponenten (Switche, ADSL-Router etc.) hängen;

Ich finde es immer wieder krass auf welch wackeligen Beinen ein Unternehmen stehen kann. Bei 100 Clients also über 100 Mitarbeitern habe ich zur Schätzung folgende Milchmädchenrechnung:
100 Mitarbeiter * 2000€ Bruttogehalt : 20 Arbeitstage = 10000€

Das heißt ein Tag an dem die Leute nicht arbeiten können - kostet nur an Personal 10000€! Die Hardware um das ganze sauber, sicher, performant und zukunftsweisend für die nächsten Jahre einzurichten kostet geschätzt die Hälfte!

Selbst wenn das Geld arg knapp ist, mit der Hilfe hier im Forum kannst du eine saubere und redundante Lösung erarbeiten (diverse Anleitungen gibt es bereits!)

Mein Lösungsansatz wäre:
- Cisco 200 Switche für den Access Bereich, wenn das Geld nicht zu knapp ist gleich mit PoE
- zwei Cisco 300 Switche als Core, wenn Budget da ist evtl sogar gestackt mit SFP+ (Cisco 500)
- zwei pfSense Router

Wenn du das selbst nicht schafft von der Konfig her, hier gibts Hilfe! Und wenn du keine Lust hast dich einzulesen und das Budget da ist: Es gibt Systemhäuser!

Mit gut gemeintem Gruß

win-dozer
Mitglied: brammer
brammer 28.08.2014 um 09:01:33 Uhr
Goto Top
Hallo,

@102534
nach fast 3Jahren?

brammer
Mitglied: 102534
102534 28.08.2014 um 09:06:22 Uhr
Goto Top
oh shit... schande über mich.
Mitglied: aqui
aqui 28.08.2014 um 09:32:03 Uhr
Goto Top
Nein, wieso Schande ?? Deine Ausführungen sind ja absolut richtig und auch immer allgemeingültig !
Mitglied: menace
menace 28.08.2014 aktualisiert um 09:45:14 Uhr
Goto Top
Hallo,

es handelte sich damals um PC-Schulungsräume einer öffentlichen (gemeinnützigen) Einrichtung. Es waren keinen "Produktivarbeitsplätze" eines Unternehmens!
Aus diesem Grund wurde das ganze auch auf die kostengünstigste Art und Weise gelöst. Das System stand schon und sollte nur konfigurationstechnisch angepasst werden. Deshalb konnte man auch keinen großen Umstrukturierung bzw. Hardware-Neuausstattungen machen.

Gelöst wurde die Thematik damals durch einen Multi-WAN Router, welcher dann die 4 ADSL Anschlüsse zu einem Gatewas gebündelt und per Roundrobin dynamisch verteilt hat.
Ausfall gab es eigentlich nur einen, als sich der Router (LevelOne FBR-4000) kurz nach der Garantie leider verabschiedet hat. Das Ganze läuft heute noch in dieser Konstellation!
Mitglied: 102534
102534 28.08.2014 um 09:56:39 Uhr
Goto Top
Hallo,

@aqui: Klar, war auch nur weil ich diesen alten Thread ausgegraben hab und damit meine und eure Zeit verschwendet hab...
@menace: danke für das Feedback nach all den Jahren! Ja, manche Hersteller bauen ihre Geräte selbst im Business Umfeld leider so face-sad

Grüße und schönen Tag wünscht

win-dozer
Mitglied: aqui
aqui 28.08.2014 um 10:03:59 Uhr
Goto Top
und damit meine und eure Zeit verschwendet hab...
Nein, meine nicht, denn gute und profunde Argumente lese ich immer gerne ! face-wink