VLAN-Segmentierung und Reverse-Lookupzonen
Hallochen Gemeinde!
Wird ein bestehendes Netzwerk mittels VLAN segmentiert, so wird bei den VLAN's regelmäßig für die zuzuweisenden IPv4-Adressbereiche folgende Struktur verwendet: A.B.VLANID.0/24 (ein 24er Netz natürlich nur, wenn das ausreichend ist; die VLANID kann selbstredend nur zwischen 1 und 254 liegen, wenn die VLANID mit der realen VLAN-Nummer identisch sein soll). Zumeist tragen die (zentralen) DHCP-Server die Daten der für die VLAN's vergebenen DHCP-Leases in die DNS-Datenbank ein. Bei solchen Eintragungen ist es durchaus sinnvoll, neben dem A-Record auch einen korrespondierenden PTR-Record abzulegen.
Überlicherweise würde die zum jeweiligen VLAN zugehörige Reverse-Lookupzone wie folgt lauten: VLANID.B.A.in-addr.arpa. Bei zwei oder drei VLAN's mag das noch nicht relevant erscheinen. Aber wird eine höhere Anzahl von VLAN's benötigt und gibt es dann noch mehrere Standorte, kann die Anzahl der entsprechenden Reverse-Lookupzonen schnell unübersichtlich werden, zumal die Rückwärtsschreibweise der Zonennamen deren schnelle Wahrnehmung zusätzlich erschwert.
Wie handhabt Ihr das? Legt Ihr dann zur Vereinfachung nur eine übergreifende Reverse-Lookupzone an? Um im Bespiel zu bleiben also ohne VLANID: B.A.in-addr.arpa
Was ist hier Best Practice?
Vielen Dank im Voraus für Eure Antworten und viele Grüße
HansDampf06
Wird ein bestehendes Netzwerk mittels VLAN segmentiert, so wird bei den VLAN's regelmäßig für die zuzuweisenden IPv4-Adressbereiche folgende Struktur verwendet: A.B.VLANID.0/24 (ein 24er Netz natürlich nur, wenn das ausreichend ist; die VLANID kann selbstredend nur zwischen 1 und 254 liegen, wenn die VLANID mit der realen VLAN-Nummer identisch sein soll). Zumeist tragen die (zentralen) DHCP-Server die Daten der für die VLAN's vergebenen DHCP-Leases in die DNS-Datenbank ein. Bei solchen Eintragungen ist es durchaus sinnvoll, neben dem A-Record auch einen korrespondierenden PTR-Record abzulegen.
Überlicherweise würde die zum jeweiligen VLAN zugehörige Reverse-Lookupzone wie folgt lauten: VLANID.B.A.in-addr.arpa. Bei zwei oder drei VLAN's mag das noch nicht relevant erscheinen. Aber wird eine höhere Anzahl von VLAN's benötigt und gibt es dann noch mehrere Standorte, kann die Anzahl der entsprechenden Reverse-Lookupzonen schnell unübersichtlich werden, zumal die Rückwärtsschreibweise der Zonennamen deren schnelle Wahrnehmung zusätzlich erschwert.
Wie handhabt Ihr das? Legt Ihr dann zur Vereinfachung nur eine übergreifende Reverse-Lookupzone an? Um im Bespiel zu bleiben also ohne VLANID: B.A.in-addr.arpa
Was ist hier Best Practice?
Vielen Dank im Voraus für Eure Antworten und viele Grüße
HansDampf06
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669474
Url: https://administrator.de/contentid/669474
Ausgedruckt am: 21.11.2024 um 09:11 Uhr
2 Kommentare
Neuester Kommentar
In DHCP Netzen ist Reverse Lookup nicht so wichtig, dass es "übersichtlich" für den Menschen sein muss.
Ich persönlich finde viele persönliche Marotten zu z.B. Benennung von Netzwerken usw... eher unterhaltsam.
Ab einer gewissen Größe ist es eh unübersichtlich. Dann muss es logisch sein und funktionieren.
Ich persönlich finde viele persönliche Marotten zu z.B. Benennung von Netzwerken usw... eher unterhaltsam.
Ab einer gewissen Größe ist es eh unübersichtlich. Dann muss es logisch sein und funktionieren.
Moin,
Die VLAN ID kommt bei uns nicht drin vor, weil diese kann bei uns mehrfach vorkommen. Wir nutzen nicht nur VLANs sondern auch VRFs. Somit kann es ein Subnetz an mehreren Standorten geben, aber werden an Hand des unterschiedlichen VRFs unterschiedlich geroutet.
Wir verwenden also für die Reverse Lookup Zonen die ID des VRFs, die ID des Standorts und eben das Subnetz. Somit lässt auch nicht ad-hoc ableiten, wo das Gerät steht.
Gruß,
Dani
Wie handhabt Ihr das?
Bei uns hat jeder Standort eine 3stellige Nummer. Die hat aber nicht die IT erfunden, sondern die Konzern Organisation. Diese Nummern werden auch für andere Themen verwendet.Die VLAN ID kommt bei uns nicht drin vor, weil diese kann bei uns mehrfach vorkommen. Wir nutzen nicht nur VLANs sondern auch VRFs. Somit kann es ein Subnetz an mehreren Standorten geben, aber werden an Hand des unterschiedlichen VRFs unterschiedlich geroutet.
Wir verwenden also für die Reverse Lookup Zonen die ID des VRFs, die ID des Standorts und eben das Subnetz. Somit lässt auch nicht ad-hoc ableiten, wo das Gerät steht.
Gruß,
Dani