Subnet Design für Segmentierung

~ Variante 1 klingt doch schon ganz gut. Ganz ähnlich ist unser Netz hier auch aufgespannt

Jup, +1 für Variante 1

Die Standortzuweisung der einzelnen /24 sollte man gut überlegen, in deinem Beispiel 1 hättest du "nur" 16 /24er zusammenhängend je Standort.
Auch solltest du überlegen ob alle Subnettypen an jedem Standort vertreteten sind bzw. ob einzelne Typen es nur an einem Standort gibt.

Gibt es an jedem Standort eine FW die den Verkehr regelt?

Moin,
der Vorteil von einem größeren Subnetz ist, dass an Hand der Subnetze bereits hergeleitet werden kann, zu welchen Standort diese gehört. Es vereinfacht auch die technische Umsetzung im Routing. Es ist einfacher eine /20 Route zu setzen als 24 einzelne Routen, weil es nicht zusammenhängend ist. Somit auch die Routing Tabelle nicht mehr übersichtlich, was bei einer Fehlersuche Zeit und Nerven kostet.

Unabhängig davon entspricht ein /20 insgesamt 16x /24 pro Standort. Das sind über 4.000 IP-Adressen. Wenn man jetzt die 254 als Grundlage nimmt, sieht das nach einer Kanone auf Spatz aus. Aber wir wissen natürlich nicht was ihr vor habt. Grundsätzlich gilt Regel N3.: Lieber haben als brauchen.

Grundsätzlich ist auch die Hinterfragen, ob es mit Segmentierung der Geräte überhaupt /24 noch braucht. Hängt natürlich von den Gerätetype nun den Einsatzzweck ab. Hängt schlussendlich davon ab, ob das Gateway nur routet oder auch eine Firewall ist, welches entsprechendes, grobes Regelwerk hat.

Und das ist relevant für welche Interaktion?


Gruß,
Dani

+1 für Variante 1
Bietet auch für die VPN Vernetzung deutliche Vereinfachungen der Summary Routen.

Letztlich sind beide Verfahren ja inhaltlich identisch nur das Variante 2 sich eben nicht an eine entsprechende binäre Maskenlogik hält generell gegen diese Variante spricht.
Hätte der TO hier /18 Prefixes verwendet wäre es wieder gleich nur eben mit einer größeren Range.
Die 2te Version ist eine vermeintlich "kosmetisch" besser aussehende Option ohne inhaltliche Vorteile. Hat durch die nicht konformen Maskengrenzen aber gravierende Nachteile.

Moin,

Ich wusste, dass es hier "Dresche" geben wird

Wir wissen aber alle, was er meint. Er wird sich in IP-Segmenten innerhalb RFC1918 bewegen.

Mein Tipp: Weg von den 172.16.0.0/12er Adressen, hin zu Subnetzen innerhalb des 10.0.0.0/8er Netzes, sofern ihr das eh neu machen müsst:

• Deutschland: 10.10.0.0/16
• Quarantäne: VLAN 1: 10.10.1.0/24
• Infrastruktur: VLAN 10: 10.10.10.0/24
• Server: VLAN 11: 10.10.11.0/24
• Drucker: VLAN 12: 10.10.12.0/24
• Clients: VLAN 20: 10.10.20.0/24
• ...

• Polen: 10.20.0.0/16
• Quarantäne: VLAN 1: 10.20.1.0/24
• Infrastruktur: VLAN 10: 10.20.10.0/24
• Server: VLAN 11: 10.20.11.0/24
• Drucker: VLAN 12: 10.20.12.0/24
• Clients: VLAN 20: 10.20.20.0/24
• ...

• Schweiz: 10.30.0.0/16
• Quarantäne: VLAN 1: 10.30.1.0/24
• Infrastruktur: VLAN 10: 10.30.10.0/24
• Server: VLAN 11: 10.30.11.0/24
• Drucker: VLAN 12: 10.30.12.0/24
• Clients: VLAN 20: 10.30.20.0/24
• ...

Edit: Geht natürlich auch mit den 172.16.0.0/12er Netzen:
DE: 172.16.0.0/16
PL: 172.17.0.0/16
CH: 172.18.0.0/16

Edit2:
Hierbei wärest du allerdings auf 16 Standorte Limitiert: 172.16.0.0/12 - 172.31.0.0/12
Bei einer 10.0.0.0/8 wären es bis zu 256 Standorte

Dafür gibt es eigentlich keinen zwingenden Grund...im Gegenteil, denn bei VPN Nutzung wären die 172er ggf. günstiger da weniger verbreitet als 10er. Das alles klappt auch mit 172er Netzen und ist eher eine kosmetische Diskussion.
Der TO hat ja nur 3 Standorte und noch Wachstumspotential für 13 weitere Standorte...

In der Vergangenheit habe ich viel Wert darauf gelegt an der IP ablesen zu können, um welche Art von Gerät es sich handelt (wir haben nur einen Standort aktuell, also ist der Ort mehr oder weniger auch von der Art des Gerätes abhängig). So habe ich z.B. innerhalb eines Subnetzes auch noch fiktive IP Gruppen gehabt für Drucker, Clients, etc. Auch die damals wenigen Subnetze habe ich irgendwo zusammenhängend vergeben, so habe ich z.B. zwei iSCSI Netze in denen jeder angeschlossene Host mehr oder weniger die selbe IP hat, nur eben in dem jeweiligen Netz.

Meine Erfahrung ist allerdings, das das zwar ganz hübsch aussieht, aber keinen wirklichen Mehrwert bietet. Ich identifiziere seltenst ein Gerät an seiner IP, vielleicht noch am Subnetz-Teil. Ich muss bei iSCSI Einrichtungen sowieso höllisch aufpassen und mehrfach kontrollieren, das ich die richtigen IPs setze, da sind sehr ähnliche Adressen gar nicht so hilfreich

Das gleiche gilt für VLAN IDs, einfach nach Bedarf vergeben und gar nicht erst Anfangen Nummernblöcke zu vergeben. Wichtig ist eigentlich nur die Doku, ### auf Optik.

Was das Routing angeht: Da haben meine Vorredner sicherlich Recht. Ein Großes /20er Netz ist unkompliziert und glasklar. Ich würde dann den gesamten Adressbereich routen aber am Ende innerhalb dieses Adressbereichs weiter Segmentieren und nicht zu große Netze vergeben. Also z.B. für jeden Standort ein /23er Netz für alle Clients und den verbleibenden Teil entweder frei lassen oder für andere Zwecke weiter gliedern, z.B. Serversysteme.

Da ich mit sehr vielen verschieden großen Subnetzen arbeite, um immer angemessen große aber nicht zu große Netze zu verwenden, habe ich mir so eine Excel-Tapete gebaut. Da gliedere ich alle IPs nach Subnetz Suffix durch und schreibe auch immer die Anzahl der IPs dahin + alle existierenden IPs. Mir hilft das bei der Planung und bei der Übersicht. Kann man machen, muss man nicht.
PS: Habe grade Boradcast gesehen und korrigiert^^

Moin @ukulele-7,
weshalb nutzt du nicht ein IPAM wie z.B. NetBox? Somit passieren bezüglich Netzmaske und Broadcast keine Fehler.


Gruß,
Dani

Das ist quasi mein IPAM. Natürlich kann man auch was anderes benutzen, ich sage halt nur die Doku und der Überblick ist wichtig, nicht eine fiktive Ordnung nach einem Oktet in der Adresse oder einer bestimmten Nummernfolge - das scheitert in Großen Netzen irgendwann einfach zwangsläufig.