tech-flare
Goto Top

VLAN Umstellung 16er Subnetz auf 24er Subnetz pro VLAN

Hallo zusammen,

ich habe ihr ein Netz, welches historisch gewachsen ist , welches VLAN bisher nur aus Büchern kennt.

Gegeben ist ein 16er Subnetz. 10.12.0.0/16. Dies ist so vorgegeben, da mehrere Standorte über eine MPLS miteinander verbunden sind.

Da zurzeit knapp1.000 Geräte in einem /16 Netz sind und vieles durcheinander läuft möchte ich gern VLAN pro Abteilung oder Geräteklasse einführen.

Mein Problem beim Testaufbau ist, dass ich die MPLS entweder über das VLAN erreiche oder über das bisherige Netz. Gern würde ich die Umstellung nebenher machen, da wir aufgrund der Kapazität Befürchtungen habe dies nicht an einen Tag zu schaffen. Nachts geht leider auch nicht, da die Produktion dann hängt.

Ich habe den IST Stand und meine Vorstellungen mal dokumentiert. Dies ist vielleicht hilfreicher.

Grundsätzlich habe ich diese Fragen:
- Kann ich dann nebenbei aufbauen, einrichten ohne Stillstand?
- Ist es zwingend notwendig, dass auf dem MPLS Router eine zusätzliche Route eingtragen wird zum Layer 3 Switch?

Hardware ist genügend vorhanden. Mehrere Layer 3 fähige Switche + 2 Layer 4 Switche.

Danke euch und ein schönes Wochenende
valn-iststoll

Content-ID: 394196

Url: https://administrator.de/contentid/394196

Ausgedruckt am: 24.11.2024 um 00:11 Uhr

aqui
Lösung aqui 29.11.2018 aktualisiert um 20:42:00 Uhr
Goto Top
Da zurzeit knapp1.000 Geräte in einem /16 Netz sind
Oha, wie gruselig. Du willst uns allen Ernstes sagen das du in einer Layer 2 Collision Domain 1000 (tausend !) Endgeräte betreibst ohne jegliche Segmentierung ?
Kann man fast nicht glauben das es sowas heutzutage noch gibt. Und vor allem das sowas auch noch annähernd funktioniert. Aber egal...muss man sicher nicht weiter kommentieren so ein Horrordesign.
Goldene Netzwerker Regel: Nie mehr als max. 150-200 Clients plus, minus pro Layer 2 Segment !
und vieles durcheinander läuft
Wen wunderts...?!
möchte ich gern VLAN pro Abteilung oder Geräteklasse einführen.
Sehr sinnvoll und ein sehr vernünftiger Schritt !
Gern würde ich die Umstellung nebenher machen
Das macht man in der Regel auch so !
Du erzeugst ein VLAN was du "Altnetz" nennst, mit dem 16er Prefix und belässt da das alte Netzwerk drin. Dann kreierst du deine neuen VLANs, bindest die Routing technisch an, definierst dort DHCP (zentraler DHCP Server) oder auch statische Adressen für die Endgeräte wie du es planst und hängst dann sukzessive die ganzen Endgeräte schrittweise vom Altnetz in die neuen VLANs.

So kannst du das Schritt für Schritt und geplant machen und falls es bei einzelnen Systemen Fehler gibt oder geben sollte (was bei dieser Vorgehensweise eher selten ist) kannst du sofort zurückgehen in den alten Zustand.
So kannst du alle einfachen Kandidaten schnell migrieren und die Problemfälle bleiben dann im "Altnetz".
Soweit so gut.... Oder nicht gut, wenigstens in deinem Design.

Die Problematik bei dir ist das du die neuen IP Segmente nicht parallel aufbauen kannst, da du ja zwingend in deinem IP Adress Schema 10.12.0.0 bleiben willst oder musst.
Für ein schrittweises IP Redesign ist das der Todesstoß, denn du kannst ja nicht nebenbei beliebig dein Netzwerk mit /24 Masken segmentieren wenn das /16er noch weiter aktiv ist.
IP Routing d.h. eine eindeutige Wegefindung wäre dann nicht mehr möglich !
Da hilft dann nur ein kontrollierter Stillstand.
OK, das kann man minimieren undem man den L3 Core Switch entsprechend vorbereitet, die wichtigstens Maschinen zuallererst migriert und den Rest hinterher. Es wird aber eine kurze Offline Zeit gehen. Kurz ist relativ und hängt von der Anzahl deiner helfer ab und einer sauberen Vorbereitung für diese Migration mit Ablaufplan.
Man könnte natürlich auch unendlich was frickeln mit NAT und Proxy ARPing usw. Was dich aber bei einer Migration unnötig behindert und weitere Gefahren birgt.
Es ginge auch stressfreier in einem Schritt für Schritt Verfahren...

MPLS IP Adressen liegen immer in der Hoheit des Endkunden ! Ein Provider wird hier keinem Kunden Vorschriften machen, kann er ja auch nicht und für den Provider sind die lokalen Kunden IP Adressen vollkommen egal.
Vermutlich hat deine Firma in der Historie niemals ein IP Adress Konzept erarbeitet und das auch umgesetzt...leider face-sad Das Resultat ist das was du jetzt siehst. Zeugt auch von mangelnder Kommunikation mit dem Provider. Mit anderen Worten dort ist sehr viel falsch gemacht worden ! face-sad
Fehlt das, gibt der Provider pro Standort z.B. ein genügend großes Netz vor wie euer /16 und überlässt es dem Kunden was der dann lokal macht.
Verantwortungsvolle Netzwerker segmentieren dann so ein Netzwerk natürlich in für sie sinnvolle IP Segmente. In dem /16er Prefix kannst du dich ja genügend austoben.
Das beantwortet dann auch gleich deine Frage ob auf dem MPLS Router eine zusätzliche Route eingtragen wird.
Antwort: Nein, natürlich nicht, denn der Routet das gesamte /16er Netz ja in den Standort. Was man dann dort damit macht ist Kundensache !
Lange Rede kurzer Sinn:
Das Einfachste ist du bemühst dich um ein zweites /16er Netz wie z.B. 10.112.0.0 oder 10.212.0.0 für den Standort, welches du vom MPLS Router auf deinen Core Layer 3 Switch routen lässt.
Wenn ihr selber Hoheit über den MPLS Router habt machst du das selber oder wenn nicht, lässt du das den Provider machen. Das erledigt der in nichtmal 3 Minuten.

So bekommst du völlige Handlungsfreiheit in der Segmentierung wie sie oben beschrieben ist. Du migrierst alles sukzessive Schritt für Schritt und gut ist.
Das du Segmentieren musst steht außer Frage !
So ein grauenvolles Netzwerk Design mit 1000 ! Clients in einem flachen und dummen Layer 2 Netzwerk müsste eigentlich schon zu täglichen Fehlern und Katastrophen führen in dem Netz.
UnbekannterNR1
UnbekannterNR1 29.11.2018 um 20:43:19 Uhr
Goto Top
Grundsätzlich habe ich diese Fragen:
- Kann ich dann nebenbei aufbauen, einrichten ohne Stillstand?
Jein, nicht mit deinem Plan, die Netze liegen ja zu dicht beieinander. Wenn du jetzt einen Client in das Netz 10.12.10.0/24 Packst. Dann kann dieser keine Verbindung mehr mit deinem alten Netz herstellen. Die Antwort würde immer ins leere laufen. Denn dein Netz 10.12.0.0/16 enthält ja das o.g. somit wird nicht an den router/Firewall adressiert. Du Könntest aber Clients in z.B. ein neues Netzwerk gehen z.B. 10.13.10.0/24 dann wäre ein Routing wieder möglich.

- Ist es zwingend notwendig, dass auf dem MPLS Router eine zusätzliche Route eingtragen wird zum Layer 3 Switch?
Das kommt auf die Konfiguration an, gibt ja auch welche die Im Transparenten Modus laufen. Aber ich gehe davon aus Routen eingetragen werden müssen insbesondere für Netze während der Umstellung.
aqui
Lösung aqui 29.11.2018 um 21:06:20 Uhr
Goto Top
Nein, sepzielle Routen müssen nicht eingetragen werden, denn primär routet ja IMMER sein Layer 3 Core Switch zw. den lokalen VLANs sprich die lokalen Segmente.
Niemand würde ja logischerweise seine Hoheit über seine lokalen Netze aufgeben und diese gesamten lokalen Netze auf einem Provider Router routen wo er möglicherwiese keinerlei Zugriff hat ! Das gehört also IMMER alles auf den eigenen L3 Switch.
Es reicht wenn der MPLS Router das gesamte /16er Netz zum Switch routet und der Switch eine Default Route auf den MPLS Router hat. Mehr ist nicht zu tun !
Löst natürlich nicht das zu Recht angesprochenen problem der Weiternutzung des alten /16er Netz. Das kann nicht gleichzeitig gesubnettet werden ohne Stillstand oder temporären Stillstand.
Besser wie gesagt ein neues Segment eintragen lassen und dann in Ruhe und schrittweise migrieren.
tech-flare
tech-flare 29.11.2018 um 22:21:17 Uhr
Goto Top
Zitat von @aqui:
Löst natürlich nicht das zu Recht angesprochenen problem der Weiternutzung des alten /16er Netz. Das kann nicht gleichzeitig gesubnettet werden ohne Stillstand oder temporären Stillstand.

Ja das habe ich mir leider schon fast gedacht. wir werden das Intern besprechen. Ich bin aber der Meinung das sollte er die letztere Variante sein

Zitat von @aqui:
Besser wie gesagt ein neues Segment eintragen lassen und dann in Ruhe und schrittweise migrieren.
Die ist auch die Lösung die ich gern hätte, da aber merhere Standorte natürlich zusammen hängen muss das alles mit denen zusammen abgestimmt werden bzgl. Routing. Ich denke und hoffe aber , dass die die Karte sein wird, die wir ziehen werden

Ich danke euch bereits jetzt für eure Aussagen. Dies stärkt zumindest auch meine Gedanken, wie wir am besten damit umgehen, dass wir das Netz "sauber" bekommen