Subnetzmaske anpassen
Liebe Community,
ich betreue ein klassisches 192.168.128.0/24 Netzwerk ohne VLANs. Das bedeutet ich habe eine Netzmaske von 255.255.255.0 = 24.
Zurzeit können damit 254 Hosts adressiert werden, allerdings reicht das nicht mehr aus.
Aus diesem Grund wurde auf der Firewall ein zusätzliches Subnetz 192.168.127.0/24 angelegt und entsprechende Switches in den Etagen eingebaut und verkabelt.
Das WiFi läuft zurzeit auch auf der Firewall als separates Netzwerk mit 192.168.129.0/24 und einigen Access Points.
Ich möchte dieses Konstrukt so langsam ablösen und die Maske auf /23 setzen, um 510 Hosts adressieren zu können und mein Vorschlag ist im ersten Schritt:
1. WLAN Interface in ein anderes Subnetz konfigurieren z.B. 172.192.168.0/24, da mir das WiFi Netz 192.168.129.0/24 im Wege steht
2. Interface 192.168.127.0/24 auf der Firewall inkl. DHCP deaktivieren
3. Switches von 192.168.127.0/24 und Verkabelung für 192.168.128.0/24 anpassen
4. Anschließend den Windows DHCP für 192.168.128.0/23 setzen und die Subnetzmaske von 255.255.255.0 = 24 auf 255.255.254.0 = 23 anpassen
5. Auf allen Servern und statisch konfigurieren Geräten die neue Subnetzmaske 255.255.254.0/23 hinterlegen
Wenn das alles läuft möchte ich im nächsten Schritt Segmentierung mittels VLANs einführen.
Ist meine Planung korrekt oder grobe Schnitzer vorhanden?
ich betreue ein klassisches 192.168.128.0/24 Netzwerk ohne VLANs. Das bedeutet ich habe eine Netzmaske von 255.255.255.0 = 24.
Zurzeit können damit 254 Hosts adressiert werden, allerdings reicht das nicht mehr aus.
Aus diesem Grund wurde auf der Firewall ein zusätzliches Subnetz 192.168.127.0/24 angelegt und entsprechende Switches in den Etagen eingebaut und verkabelt.
Das WiFi läuft zurzeit auch auf der Firewall als separates Netzwerk mit 192.168.129.0/24 und einigen Access Points.
Ich möchte dieses Konstrukt so langsam ablösen und die Maske auf /23 setzen, um 510 Hosts adressieren zu können und mein Vorschlag ist im ersten Schritt:
1. WLAN Interface in ein anderes Subnetz konfigurieren z.B. 172.192.168.0/24, da mir das WiFi Netz 192.168.129.0/24 im Wege steht
2. Interface 192.168.127.0/24 auf der Firewall inkl. DHCP deaktivieren
3. Switches von 192.168.127.0/24 und Verkabelung für 192.168.128.0/24 anpassen
4. Anschließend den Windows DHCP für 192.168.128.0/23 setzen und die Subnetzmaske von 255.255.255.0 = 24 auf 255.255.254.0 = 23 anpassen
5. Auf allen Servern und statisch konfigurieren Geräten die neue Subnetzmaske 255.255.254.0/23 hinterlegen
Wenn das alles läuft möchte ich im nächsten Schritt Segmentierung mittels VLANs einführen.
Ist meine Planung korrekt oder grobe Schnitzer vorhanden?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 351395
Url: https://administrator.de/contentid/351395
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
8 Kommentare
Neuester Kommentar
Ich möchte dieses Konstrukt so langsam ablösen und die Maske auf /23 setzen, um 510 Hosts adressieren zu können und mein Vorschlag ist im ersten Schritt:
Schlechte Idee. damit handelst Du Dir peformance- udn auch ander Probleme ein, wenn in einem Subnet zuviele Knoten sind.
versuch lieber dein netzwerk besser zu strukturieren, z.B. mit Hilfe von VLANs und setzt einen ordentlichen Router dazwischen.
Wenn das alles läuft möchte ich im nächsten Schritt Segmentierung mittels VLANs einführen.
Das ist eigentlich der erste Schritt, den Du machen solltest.
lks
Hi,
kann es sein, dass Du "VLAN" und "Subnet" verwechselst?
Vor - zurück - vor?
Wenn es jetzt schon mehrere Segmente sind, dann kannst Du die Netze erstmal nicht zu einem größeren zusammenfassen, es sei denn, Du koppelst die Segmente.
E.
kann es sein, dass Du "VLAN" und "Subnet" verwechselst?
Aus diesem Grund wurde auf der Firewall ein zusätzliches Subnetz 192.168.127.0/24 angelegt und entsprechende Switches in den Etagen eingebaut und verkabelt.
Als unabhängiges Segment? Falls ja, dann sind das jetzt bereits quasi "VLAN". Ich betone "quasi"! und zwar weil Du später schreibst:Wenn das alles läuft möchte ich im nächsten Schritt Segmentierung mittels VLANs einführen.
Vor - zurück - vor?
Wenn es jetzt schon mehrere Segmente sind, dann kannst Du die Netze erstmal nicht zu einem größeren zusammenfassen, es sei denn, Du koppelst die Segmente.
E.
Eine Segmentierung mit VLANs ist hier der richtige Weg. Die Layer 2 Broadcast Domain einfach zu erhöhen wird dir früher oder später erhebliche Probleme bereiten durch die damit exponentiell ansteigende Broad- und Multicast Last.
Also goldene Design Regel sollte man niemals mehr als 150 Clients (plus, minus je nach Traffic Volumen) in einer Layer 2 Domain betreiben.
Also Segmentieren in VLANs ist hier der absolut richtige Weg.
Dieses Foren Tutorial erklärt die Grundlagen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Statt des externen Routers geht natürlich auch ein L3 fähiger Switch.
Also goldene Design Regel sollte man niemals mehr als 150 Clients (plus, minus je nach Traffic Volumen) in einer Layer 2 Domain betreiben.
Also Segmentieren in VLANs ist hier der absolut richtige Weg.
Dieses Foren Tutorial erklärt die Grundlagen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Statt des externen Routers geht natürlich auch ein L3 fähiger Switch.
Ein Broadcast wird ja quasi in alle Subnetz gebrüllt
Das ist leider Blödsinn ! Ein Broadcast wird nur immer im jeweiligen Subnetz geflutet !Genau deshalb macht man ja die Segmentierung in mehrere IP Netze und routet zwischen ihnen weil der Router per Standard diese Broad- und Multicasts eben NICHT weiterreicht und damit das Netzwerk dann perfromant bleibt.
Eine Vergrößerung der L2 Broadcast Domain wie du es laienhaft vorhattest verschlechtert eben durch die damit größere Broad- und Multicast Domain dieses Verhalten erheblich.
Grundlagenwissen Netzwerke !
Wie machen sich die Performaceeinbußen in der Praxis bemerkbar?
Einfach mal nachdenken....Ein Broad- oder Multicast geht an JEDES Endgerät und jedes Endgerät erzeugt daraufhin einen Interrupt und muss sich das Packet ansehen ob es für ihn ist und entsprechend weiterverarbeiten.
Bei einem 3Ghz, Dual Quad Core Rechner mit 10G Intel Ethernet NIC sicher kein Problem solange der Traffic nicht zu hoch wird.
Bei einem kleinen Tür RFID Zugangs Controller, oder Stechuhr kann diese Last der Todesstoß sein das nix mehr geht.
Zudem muss ein Switch die Broad- und Multicasts auf alle Ports der L2 Domain fluten, sprich kopieren. (Die meisten Netz Admins vergessen hier auch IGMP Snooping zu aktivieren bzw. wissen meist gar nicht was das ist !)
Bei entsprechenden Größenordungen legen sich billige China Switches da gerne mal die Karten indem sie dann wichtigen Traffic wie STP oder RSTP Pakete droppen und ein Netz mit Redundanzdesign damit in die Knie zwingen.
Es sind diverse Szenarien denkbar. Fehler und Unwissenheit der Admins in Design und Konfiguration erledigt dann oft den Rest.
Verantwortungsvolle Netzwerker segmentieren deshalb immer strikt um genau sowas von Anfang an sicher zu vermeiden !
Hallo,
nein....
nein.. aber Unsinn
die Änderung der Subnetzmaske zum Vergrößern des Netzwerks ist prinzipiell der schlechteste weg das zu lösen...
Wieso und welche Nachteile das hat, haben die geschätzten Kollegen ja schon erläutert....
Latenz.
Last auf schwachen Teilnehmern.
Ein Broadcast pro Subnetz
brammer
Ist meine Planung korrekt
nein....
oder grobe Schnitzer vorhanden?
nein.. aber Unsinn
die Änderung der Subnetzmaske zum Vergrößern des Netzwerks ist prinzipiell der schlechteste weg das zu lösen...
Wieso und welche Nachteile das hat, haben die geschätzten Kollegen ja schon erläutert....
Wie machen sich die Performaceeinbußen in der Praxis bemerkbar?
Latenz.
Last auf schwachen Teilnehmern.
Ein Broadcast wird ja quasi in alle Subnetz gebrüllt und alle Clients erhalten den Rundruf
Ein Broadcast pro Subnetz
brammer
Hallo,
man kann hier mehrere Wege gehen und sie führen alle zum Ziel, es kommt eben immer darauf an was man hat und
was man noch dazu kaufen kann. Und vor allen anderen Dingen, wie man es denn gelöst haben möchte!
Routing:
Die Firewall oder der Router bekommen pro LAN Port ein eigenes IP Netz (früher Subnetz) zum Beispiel 192.168.1.0/24
und an diesen Ports kommen dann Switche die nicht verwaltet sein müssen und auch nicht VLAN fähig sein müssen.
VLANs:
- Layer2 Switch - VLANs können untereinander nicht aufeinander zugreifen. Alles läuft über die Firewall und/oder den Router.
- Layer3 Switch - VLANs werden entweder durch den Router oder die Firewall geroutet, oder aber durch den Layer3 Switch
Man kann auch einen Router besorgen der sehr potent ist und viele LAN Port zur Verfügung stellt, wie zum Beispiel
der MikroTik RB1100AHx4, der ist sehr stark und hat viele frei konfigurierbare Ports mit im Portfolio.
routen können und die sind auch alle recht erschwinglich geworden!!! Cisco SG200/220 oder SG300/SG350 Serie
die können je nachdem was für ein Router oder eine Firewall vor Ort sind schon richtig was ausmachen im Netzwerkdesign.
würde ich die gleich an den Anfang von allem anderen stellen und dann ist "Ruhe im Karton."
Gruß
Dobby
man kann hier mehrere Wege gehen und sie führen alle zum Ziel, es kommt eben immer darauf an was man hat und
was man noch dazu kaufen kann. Und vor allen anderen Dingen, wie man es denn gelöst haben möchte!
Routing:
Die Firewall oder der Router bekommen pro LAN Port ein eigenes IP Netz (früher Subnetz) zum Beispiel 192.168.1.0/24
und an diesen Ports kommen dann Switche die nicht verwaltet sein müssen und auch nicht VLAN fähig sein müssen.
VLANs:
- Layer2 Switch - VLANs können untereinander nicht aufeinander zugreifen. Alles läuft über die Firewall und/oder den Router.
- Layer3 Switch - VLANs werden entweder durch den Router oder die Firewall geroutet, oder aber durch den Layer3 Switch
Man kann auch einen Router besorgen der sehr potent ist und viele LAN Port zur Verfügung stellt, wie zum Beispiel
der MikroTik RB1100AHx4, der ist sehr stark und hat viele frei konfigurierbare Ports mit im Portfolio.
1. WLAN Interface in ein anderes Subnetz konfigurieren z.B. 172.192.168.0/24, da mir das WiFi Netz
192.168.129.0/24 im Wege steht
??? Man kann auch Switche benutzen die VLANs beherrschen und sogar Layer3 Switche die selber die VLANs192.168.129.0/24 im Wege steht
routen können und die sind auch alle recht erschwinglich geworden!!! Cisco SG200/220 oder SG300/SG350 Serie
die können je nachdem was für ein Router oder eine Firewall vor Ort sind schon richtig was ausmachen im Netzwerkdesign.
2. Interface 192.168.127.0/24 auf der Firewall inkl. DHCP deaktivieren
3. Switches von 192.168.127.0/24 und Verkabelung für 192.168.128.0/24 anpassen
Welche oder was für Switche sind denn dort vorhanden bzw,. im Einsatz.3. Switches von 192.168.127.0/24 und Verkabelung für 192.168.128.0/24 anpassen
Wenn das alles läuft möchte ich im nächsten Schritt Segmentierung mittels VLANs einführen.
Mach es gleich und dann passt das auch alles richtig zusammen!Ist meine Planung korrekt oder grobe Schnitzer vorhanden?
Etwas komisch zu verstehen bzw. ungenau, aber die Idee VLANs zu benutzen ist ja schon vorhanden, nurwürde ich die gleich an den Anfang von allem anderen stellen und dann ist "Ruhe im Karton."
Gruß
Dobby