johndorian
Goto Top

Subnetting in mittelständischem Unternehmen - was macht Sinn?

Hallo Kollegen,

wir sind ein mittelständisches Unternehmen mit ca 80 PC-Arbeitsplätzen.

Dadurch, dass wir dieses Jahr expandieren, müssen wir unser Netzwerk neu strukturieren.

Bisher haben wir ein großes Subnetz, in dem alle Clients, Server, etc. hängen.

Jetzt zur Frage: Welche Form der Netzwerksegmentierung ist sinnvoller?
1. Segmentierung nach Geräteklassen (Servernetz, PC-Client-Netz, Druckernetz, Maschinennetz...)
2. Segmentierung nach Gebäude / Abteilung (Subnetz Gebäude 1, Subnetz Gebäude 2, Buchhaltungsnetz...)

Im Vorraus vielen Dank für jede Hilfe!

Grüße, JD

Content-ID: 269191

Url: https://administrator.de/contentid/269191

Ausgedruckt am: 19.11.2024 um 05:11 Uhr

michi1983
michi1983 15.04.2015 um 11:51:14 Uhr
Goto Top
Hallo,

die Suchfunktion hast du hier aber nicht benutzt oder?
9 Beiträge unter deinem von heute:
Class C Netz langsam voll - Alternative gesucht

Gruß
brammer
brammer 15.04.2015 um 12:20:40 Uhr
Goto Top
Hallo,

ich würde beides machen....
Grob nach Gebäude, fein nach Geräteklassen...
Gebäude 1 IP 10.1.x.x
Gebäude 2 IP 10.2.x.x

Drucker Gebäude 1 IP 10.1.17
Drucker Gebäude 2 IP 10.2.17

usw..

Das ganze schön in VLANs packen und gut ists...

brammer
Hajo2006
Hajo2006 15.04.2015 um 13:21:08 Uhr
Goto Top
Hallo JD,

wie sieht es denn bei Euch derzeit mit der Netzwerkhardware aus? Wenn jedes Gebäude
bzw. Etage über einen Managebaren Switch verfügt würde ich es so machen wie schon
von brammer beschrieben.

Wichtig ist allerdings was ihr als Router nutzt, denn es bringt nicht so viel wenn ich alles
schön in Subnetze mit VLAN aufteilt aber am ende die Komunikation untereinander leidet
weil der Router nichts Trunkfähig ist.

Habe es selber auch schon erlebt das man einfach drauf loslegt und plötzlich funktioniert
nix mehr.

Gruß
Hajo
108012
108012 15.04.2015 um 14:09:30 Uhr
Goto Top
Hallo,

wir sind ein mittelständisches Unternehmen mit ca 80 PC-Arbeitsplätzen.
Ok und was ist beoi Euchso die Wachstumsrate pro Jahr mit der man rechnen muss bzw. kann?

Dadurch, dass wir dieses Jahr expandieren, müssen wir unser Netzwerk neu strukturieren.
Ok, klingt schon mal ganz gut nur so ins "blaue" hineingeraten ist fpr uns auch nichts und
für Dich kommt auch nichts richtiges dabei herum.

Bisher haben wir ein großes Subnetz, in dem alle Clients, Server, etc. hängen.
Ok spricht ja auch nichts dagegen, nur was habt Ihr denn wirklich und wie weit
expandiert Ihr hier denn nun wirklich.
Anzahl der Server
Anzahl der Drucker
Anzahl der PCs
Anzahl der Switche (Hersteller und Modell)
Anzahl der Firewalls bzw. Router (Hersteller & Modell)
Anzahl der NAS und SANs im Unternehmen
Abzahl der Maschinen
Welche Verbindungen zwischen den Gebäuden bestehen denn genau

Jetzt zur Frage: Welche Form der Netzwerksegmentierung ist sinnvoller?
Sinnvoll können beide sein es kommt aber auch immer etwas auf die örtlichen
Gegebenheiten und auf die näheren Umstände an.

1. Segmentierung nach Geräteklassen (Servernetz, PC-Client-Netz, Druckernetz, Maschinennetz...)
Würde ich mal bevorzugen wollen, zumindest vorerst.

2. Segmentierung nach Gebäude / Abteilung (Subnetz Gebäude 1, Subnetz Gebäude 2,
Buchhaltungsnetz...)
Kann auch nützlich sein, man kann auch alles schnell von einander trennen.
192.xxx.xxx.xxx./24 Maschinen
172.xxx.xxx.xxx/24 Gebäude 1
10.xxx.xxx.xxx/24 Gebäude 2

Im Vorraus vielen Dank für jede Hilfe!
Bitte beantworte mal die o.g. Fragen genau denn zu einer "Verschlimmbesserung" raten
ist auch nicht das Wahre.

VLANs
VLAN1 - 192.168.1.0/24 - Drucker
VLAN2 - 192.168.2.0/24 - Server
VLAN3 - 192.168.3.0/24 - NAS & SAN
VLAN4 - 192.168.4.0/24 - PCs
VLAN5 - 192.168.5.0/24 - Maschinen

oder

Routing
Router oder Firewall mit 5 GB LAN Port
LAN Port 1 = WAN
LAN Port 2 = unmanaged Switch & 192.168.1.0/24 - Maschinen
LAN Port 3 = unmanaged Switch & 192.168.2.0/24 - PCs
LAN Port 4 = unmanaged Switch & 192.168.3.0/24 - Server & NAS/SAN
LAN Port 5 = unmanaged Switch & 192.168.4.0/24 - Drucker


Kommt aber immer genau darauf an was man denn alles erneuern möchte, muss bzw. kann
oder sogar soll. Sind die Maschinen davon auch betroffen? Kommt noch ein neues Gebäude hinzu?
Werden 100 Mitarbeiter neu eingestellt? Kommen neue Dienste hinzu? Soll bzw. kann neue
Netzwerkhardware angeschafft werden? Wird irgend wo andere, eine Niederlassung eröffnet?

Gruß
Dobby
DATEV-XPerts
DATEV-XPerts 15.04.2015 um 14:44:18 Uhr
Goto Top
VLAN versus Subnetting sind wie Äpfel und Birnen. Um etwas strukturieren, sind beide Verfahren geeignet. Allerdings erzeugt eine neue Ordnung auch höheren Planungs- und Administrationsaufwand, man bedenke VLAN-IDs, DHCP-Services, Routing usw. sind anzupassen.

VLAN setzt man ein, wenn man mehrere LANs pseudophysikalisch auf gleicher Physik (hier vor allem den Switch) trennen möchte/ muss. Das kann, muss aber nicht sinnvoll sein.

Subnetting ist z.B. ein Thema, wenn die Anzahl der Knoten mehr als ein paar Dutzend, wenn mehrere Standorte/ Gebäude oder große Etagen involviert sind und/ oder sonstige gute Gründe vorhanden sind. Ziel wahrscheinlich, z.B. ungerichteten LAN-Verkehr (Broadcasts/ Unicasts) innerhalb auf eine bestimmbare Umgebung zu begrenzen.

Dann gibt's noch Sub-Subnetting, was Du wahrscheinlich meinst. Ein größeres z.B. normales Class-C-Netzwerk mit max. 254 Hosts in kleinere Einheiten zu zerlegen, wobei die max. möglichen Sub-Einheiten dann auch wieder begrenzt sind.

Ob Class-C überhaupt noch das Richtige ist, sollte vielleicht zuerst entschieden werden. Ab etwa 100-150 Arbeitsplätzen wird so ein Class-C knapp, denn Du hast ja auch jede Menge sonstige Geräte, die IP-Adressen brauchen.

Da hier nähere Infos fehlen (siehe vorige Antworten isb. Dobby) kann man nur pauschal antworten.
JohnDorian
JohnDorian 15.04.2015 um 15:16:36 Uhr
Goto Top
Hallo,

erstmal Danke für die vielen und ausführlichen Antworten.

Ich möchte hier garkeine Komplettlösung haben, es ging mir tatsächlich nur um den Punkt: Subnetze / VLANs nach Gebäude oder eben nach Geräteklasse.

Mein Netz sieht ganz grob so aus:
Firewall <----------------------> VLAN-fähige-Switche (untereinander per LWL verbunden) <-------Kupfer-------> Server / Clients / Netzwerkgeräte

...und soll später so aussehen:

Firewall <---------------> VLAN-fähiger Router für Inter-VLAN-Routing <----per LWL-------> VLAN-fähige Switche <-----Kupfer------> Server / Clients / Netzwerkgeräte

Bisher war der Plan so:
VLAN 1 - Servernetz - 192.168.5.0/24
VLAN 10 - PC-Client-Netz - 192.168.10.0/24
VLAN40 - Netzwerkgeräte - 192.168.40.0/25
VLAN60 - WLAN - 192.168.60.0/26
VLAN80 - Maschinennetz - 192.168.80.0/25
VLAN100 - VoIP-Netz 192.168.100.0/24

Jetzt kam mir aber der Geistesblitz, dass es ja für die Administration deutlich einfacher wäre, wenn wir die VLANs auf Gebäude verteilen könnten und nur in Ausnahmefällen auf einzelnen Switchports andere VLAN's konfigurieren. Dann hätte man den Vorteil, dass man immer davon ausgehen kann, auf diesem Switch ist hauptsächlich dieses VLAN konfiguriert (--> beim Patchen hat man dann nicht den Zwang, jeden einzelnen Port nachkonfigurieren zu müssen).
Spricht etwas dagegen, die Segmentierung per Gebäude / Verteiler zu machen?! Sicherheitstechnisch? Performance-Technisch?

Grüße, JD
108012
108012 15.04.2015 um 15:45:59 Uhr
Goto Top
Spricht etwas dagegen, die Segmentierung per Gebäude / Verteiler zu machen?!
Sicherheitstechnisch? Performance-Technisch?
Je nach dem wie man es denn nun umsetzt würde ich mal sagen wollen.

Gebäude 1
VLAN1 - Administrationsnetz für den Admin dort sind in der Regel alle Geräte Mitglied
und somit vereinfacht sich meiner Meinung nach das Administrationsaufwand.

VLAN 2 - Servernetz - 192.168.5.0/24
VLAN 10 - PC-Client-Netz - 192.168.10.0/24
VLAN40 - Netzwerkgeräte - 192.168.40.0/24
VLAN60 - WLAN - 192.168.60.0/24
VLAN80 - Maschinennetz - 192.168.80.0/24
VLAN100 - VoIP-Netz 192.168.100.0/24


Gebäude 2
VLAN1 - Administrationsnetz für den Admin dort sind in der Regel alle Geräte Mitglied
und somit vereinfacht sich meiner Meinung nach das Administrationsaufwand.

VLAN 4 - Servernetz - 172.xxx.05.xxx/24
VLAN 22 - PC-Client-Netz - 172.xxx.06.xxx24
VLAN 41 - Netzwerkgeräte - 172.xxx.07.xxx/24
VLAN 61 - WLAN - 172.xxx.08.xxx/24
VLAN 81 - Maschinennetz - 172.xxx.09.xxx/24
VLAN101 - VoIP-Netz 172.xxx.10.xxx/24

Gruß
Dobby
DATEV-XPerts
DATEV-XPerts 15.04.2015 um 16:09:33 Uhr
Goto Top
Bin da eher für Unterteilung in Standort, Gebäude oder OGs oder Abteilung Vertrieb, Support, Service o.ä. und gut.

Sehe keinen gesteigerten Sinn oder erzielbaren Effekt darin, 6 oder mehr VLANs zu begründen oder die gar nach Geräteklassen zu vergeben, vielleicht mit Ausnahme von wirklich zentralen, bzw. besonders zu schützenden Geräten/ Sub-Netzen und VOIP wäre ein guter Grund wegen QoS/ Priorisierung.

VLANs sollte man nach meinem Ermessen aber auch so flach wie möglich halten.

Subnetze machen eventuell zur geographischen oder gruppenhaften Teilung Sinn, aber auch da wäre zu fragen, ob viel mehr als drei viel mehr hilft? Wegen 6 Geräteklassen würde auf keinen Fall 6 Subnetze gründen. Irgendwie scheint es ja noch eine Company, also die Subnetze müssen ja auch routingfähig sein. Bei 6 nötigen Routerschnittstellen kann ich einen schön zentralisierten Flaschenhals samt Ausfallrisiko generieren. Aber was war noch mal die Aufgabe?

Diese Frage bleibt offen, was eigentlich erreicht werden soll.
aqui
Lösung aqui 16.04.2015, aktualisiert am 22.04.2015 um 11:00:22 Uhr
Goto Top
Siehe auch diesen Thread:
Class C Netz langsam voll - Alternative gesucht

Vielleicht noch ein paar Antworten zu den Punkten des "XPerts" von oben und diesem Thema:
Sehe keinen gesteigerten Sinn oder erzielbaren Effekt darin, 6 oder mehr VLANs zu begründen oder die gar nach Geräteklassen zu vergeben,
Solche Aussagen sind generell schlicht falsch wenn sie so pauschal geäußert werden. Es gibt Unternehmen mit 30 und mehr VLANs auf dem Campus.
Abhängig ist solche Segmentierung rein von der Größe, sprich Anzahl der Gebäude, Etagen, Endgeräte, Sicherheitsanforderungen usw.
Es ist logisch das man bei einer Summe von 80 Endgeräten keine 20 VLANs benötigt.
In so fern sind solche Aussagen immer zu relativieren. Generell ist eine Segmentierung im Netzwerk immer der richtige Weg !
VLANs sollte man nach meinem Ermessen aber auch so flach wie möglich halten.
Das gilt ja generell für alle Layer 2 Broadcast Domains.
Subnetze machen eventuell zur geographischen oder gruppenhaften Teilung Sinn
Na ja nicht nur...das ist immer individuell und firmenbezogen.
Bei 6 nötigen Routerschnittstellen kann ich einen schön zentralisierten Flaschenhals samt Ausfallrisiko generieren
Nein, das kann man nur wenn man willentlich ein schlechtes Design macht. Normal nimmt man dort 2 L3 Switches in einem HA Design mit parallelem Routing oder einen L3 Stack Switch, da können solche Flaschenhälse niemals auftreten.
Letztlich ist auch das wieder relativ, denn es hängt final von der Anzahl der VLANs und der Summe des gerouteten Traffics ab.
Diese Frage bleibt offen, was eigentlich erreicht werden soll.
Eigentlich nicht. Es ging um die Frage ob man einfach die Subnetzmaske der Layer 2 Broadcast Doamin erweitert um mehr Endgeräte in diese Domain zu bekommen.
Es ist ganz klar und es herrscht sicher Konsens darüber das das technisch gesehen genau der falsche Weg ist, der auch mit Sicherheit in Probleme führt.
Segmentierung, auch wenn es nur 3 Subnetze bzw. VLANs sind, macht hier also schon Sinn.
DATEV-XPerts
DATEV-XPerts 20.04.2015 um 08:17:35 Uhr
Goto Top
Konsens. Alles relativ. Es kommt auf den Einzelfall an. Du hast auch ein bisschen recht. Theoretisch-theologisch.

Wie viele Nodes, Sites, Gebäude, Etagen, Abteilungen werden wir denn nun künftig haben, Johnny?
JohnDorian
JohnDorian 21.04.2015 um 11:06:03 Uhr
Goto Top
Vielen Dank für die vielen Antworten, vor allem an Aqui, der mich verstanden hat face-smile
(nichts für ungut XPert face-wink )

Frage gelöst.

Grüße, JD