thebesth
Goto Top

Subnetting mit verschiedenen Netzmasken

Hallo Leute,

ich habe da mal eine Frage und hoffe Ihr könnt mir weiterhelfen.

Ich habe viele kleine Standorte (60 Stück), welche über VPN vernetzt werden sollen.
Organisatorisch sind diese Standorte auf Städte (22 Stück) aufgeteilt und werden auch pro Stadt verwaltet. Pro Stadt gibt es (im Moment) bis zu 15 Unterorte
Im Moment sind diese alle IP-technisch gleich strukturiert und unabhängig von einander:
192.168.2.x /24 (ist in jedem der 60 Standorte so)

Um diese zu vernetzen, müssen diese ja nun alle einen eigenen IP-Bereich bekommen.
Da wir demnächst stark expandieren, muss die Struktur auch zukunftssicher sein und genügend Platz bieten.
Ich habe mir dafür folgende Struktur überlegt:
10.x.y.z
x = Stadt (aktuell 22 - bis 254 möglich)
y = Ort (pro Stadt aktuell max 15 - bis 254 möglich)
z = Clientbereich (bis 254 möglich)
Beispiel:
10.6.40.1 wäre zum Beispiel in Hannover - Aegi - der Router
10.6.10.5 wäre in Hannover - Arena - der Drucker
10.18.10.101-10.18.10.199 wäre in Dresden - Frauenkirche der DHCP-Bereich

usw ...
Das funktioniert für die Außenstandorte auch super, weil hier meist, selbst mit ausreichend Reserve, nie mehr als 254 Geräte sein werden.
Der Knackpunkt ist meine Zentrale.
Diese ist in Frankfurt.
Die 99 ist für die Zentrale reserviert, da gibt es keine Unterorte.
(Frankfurt als Stadt mit Unterorten gibt es extra noch einmal - zb: 10.90.10.x, 10.90.20.x, etc)

Wenn ich alles in ein 24er Netz stecke, reichen meine IP-Adressen nicht. Ich muss also hier ein größeres Subnetz aufziehen.
Zb so:
10.99.0.1 - Frankfurt Zentrale - Serverbereich - Router
10.99.0.10 - Frankfurt Zentrale - Serverbereich - DC1
10.99.10.1-10.99.10.254 - Frankfurt Zentrale - Notebooks DHCP
10.99.20.1 - Frankfurt Zentrale - Abteilung Buchhaltung - Clients
usw ...

Nun habe ich in der Zentrale aber nur einen (naja im Cluster - also 2) Router/Firewall/VPN-Gateway.

Gibt es nun nicht Probleme mit dem Routing? Wird das nicht sehr kompliziert unter verschiedenen Subnetzmasken?
Ich muss die VPNs und Routings ja in den ganzen Standorten konfigurieren. Ich habe damit zwar schon Erfahrung, habe das aber immer nur mit gleichen Subnetz gemacht.
Seht ihr da Probleme?

Habt ihr andere Ideen fürs Design - das sollte aber bitte recht schnell erkennbar sein - quere Netzmasken (/29, /22 etc) finde ich da nicht so sehr glücklich gewählt, weil mans nicht direkt auf einen Blick erkennt.

Danke schon einmal.

Content-ID: 278259

Url: https://administrator.de/contentid/278259

Ausgedruckt am: 22.11.2024 um 11:11 Uhr

certifiedit.net
certifiedit.net 24.07.2015 um 12:32:28 Uhr
Goto Top
Hallo,

warum nicht mehrere Subnetze für die Zentrale? Damit bietest du auch direkt mehr Sicherheit. Ggf. muss dafür zwar eine größere FW her, aber das sollte man andenken.

Außerdem solltest du dich davon lösen kleinere Subnetze als 24 nicht zu Nutzen, gerade für Webserver oder spezielle Dienste bietet es sich an diese zu trennen um eine Struktur zu schaffen, die sonst anscheinend ja schon gut begonnen wurde.

Grüße,

Christian
brammer
brammer 24.07.2015 um 12:42:18 Uhr
Goto Top
Hallo,

um den Kunstgriff möglichst einfach zu halten nimm für Frankfurt 172.27.0.0 /22 oder /23...

Dann kannst du auf einen Blick sehen was passiert...

brammer
108012
108012 24.07.2015 um 19:43:48 Uhr
Goto Top
Hallo,

Um diese zu vernetzen, müssen diese ja nun alle einen eigenen IP-Bereich bekommen.
Das sollte doch wohl eher das kleinste Übel sein, oder?
- 10.xx.xx.xx
- 172.xx.xx.xx
- 192.xx.xx.xx

Und innerhalb der Niederlassungen kann man auch mittels VLANs arbeiten!

Wenn ich alles in ein 24er Netz stecke, reichen meine IP-Adressen nicht. Ich muss
also hier ein größeres Subnetz aufziehen.
Zb so:
10.99.0.1 - Frankfurt Zentrale - Serverbereich - Router
10.99.0.10 - Frankfurt Zentrale - Serverbereich - DC1
10.99.10.1-10.99.10.254 - Frankfurt Zentrale - Notebooks DHCP
10.99.20.1 - Frankfurt Zentrale - Abteilung Buchhaltung - Clients
192.168.1.0/24 Frankfurt
VLAN1 - default VLAN zur Administration 192.168.2.0/24
VLAN2 - Server 192.168.3.0/24
VLAN3 - PCs - 192.168.4.0/24
VLAN4 - Drucker - 192.168.5.0/24
VLAN5 - NAS/SAN - 192.168.6.0/24
usw.

Und da es sich um sehr viele Filialen handelt sollte das auch immer alles sehr gut durchdacht
und geplant werden und das auch noch am allerbesten vorher!

Nun habe ich in der Zentrale aber nur einen (naja im Cluster - also 2) Router/Firewall/VPN-Gateway.
Es gibt hier mehrere Szenarien die man durchspielen kann.
- Stern Topologie zentral
Man stellt dazu einen dicken VPN Server in der Zentrale auf und dort werden dann alle
VPNs aus den Niederlassungen terminiert!
- Dual E5 26xxv3
- CentOS 7
- EtherSoftVPN
- Dual Port Chelsio T520-CR
- Contech AHA378PCIe
- oder Exar D2040

In den kleinen Niederlassungen kann man dann ja einen kleinen HP Proliant Gen.8/9
Server aufstellen und dann passt das alles mit dem Durchsatz.
- E3-12xxv3
- Comtech AHA363PCIe

- Baum Topologie dezentral
Vor Ort in einer Stadt ist ein mittlerer VPN Server und in den Filialen dann ein Router
oder eine Firewall bzw. ein kleiner VPN Server und die sind dann alle an den in der Stadt
vor Ort angebunden und dann mit dem in der Zentrale.

Gibt es nun nicht Probleme mit dem Routing?
Ja denn wenn das alles ein großes Netzwerk auf Layer2 Basis sein sollte ist das immer so eine
Sache. Aber wenn überall ein anderes Netzwerk vorhanden ist sollte das mittels VPN nicht das
Problem sein.

Ich muss die VPNs und Routings ja in den ganzen Standorten konfigurieren.
Daher ist eine gute Planung und eine richtige Dokumentation nicht zu vernachlässigen.

Ich habe damit zwar schon Erfahrung, habe das aber immer nur mit gleichen Subnetz gemacht.
Seht ihr da Probleme?
Ja im gleichen Subnetz auf jeden Fall.

Habt ihr andere Ideen fürs Design - das sollte aber bitte recht schnell erkennbar sein - quere
Netzmasken (/29, /22 etc) finde ich da nicht so sehr glücklich gewählt, weil mans nicht direkt
auf einen Blick erkennt.
VLANs lösen so etwas im Handumdrehen.


Sollte das Netzwerk noch größer werden kann man auch über den Einsatz von BGP nachdenken
und das Netzwerk dann über BGP fähige Router oder Firewalls zu verbinden, denn ab einer gewissen
Größe ist das mit dem VPN dann schon fast nicht mehr zu realisieren.

Auch die kann man selber bauen, aber auch ebenso kaufen.
- OpenBSD & OpenBGPD
- OpenBSD & Quagga
- Vyatta
- ClearOS Gateway
- MikroTik CCR1036 oder CCR1072
- pfSense & Chelsio T520-CR

Gruß
Dobby