mikelmike
Goto Top

Netzsegmentierung

Hallo zusammen,

ich habe eine Frage bzgl. des Segmentierung von LAN Netzwerken.

Die derzeitige Situation sieht als Beispiel wie folgt aus:

http://michi-web.de/pc/ohne.jpg


Nun ist die Situation so, dass ARP- und sonstige Broadcasts einfach überhand nehmen.

Um dies zu reduzieren würde ich das Netzwerk gerne Segmentieren. Ich weis jetzt nur nicht genau auf welcher Schicht man das genau macht. Auf Schicht 2 mit Vlans oder Schicht 3 mit Routing.

Ich habe mein Schaubild etwas abgewandelt, bin mir aber nicht sicher ob das so funktioniert.

http://michi-web.de/pc/mit.jpg

Ein Zugriff auf einen zentralen DHCP Server in Ebene0 sollte beim VLan tagging kein Problem darstellen. Bei der Segmentierung auf Schicht 3 müsste ich meines Wissens die Funktion "ip helpers address" verwenden.

Ziel sollte sein:
- Reduzierung der Broadcasts
- Zugriff aller Etagen auf die Server (ebene0)
- Kein Zugriff der Etagen untereinander
- Verwendung eines zentralen DHCP/BOOTP Servers

Kann mir zu diesem Thema evtl. jemand ein paar Tips geben?

mfg Michael

Content-Key: 72587

Url: https://administrator.de/contentid/72587

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: ratzla
ratzla 02.11.2007 um 18:57:53 Uhr
Goto Top
Ich denke du benötigst beides.
Zunächst würde ich statt der 10.0.0.1 mehrere Class C Adressbereiche (192.168.x.y) aufsetzen.
Z.B. 192.168.1.x für die erste Etage 192.168.2.x für die zweite Etage und so weiter.

Zwichen diesen Bereichen musst Du nun routen. Wenn Du das auf dem Switch Ebene machst wirst Du vermutlich jedem Netz in eine eigene VLAN nummer geben müssen (802.1Q Tagging würde ich vermeiden das habe ich mit normalen PC's noch nicht sauber hinbekommen; evtl kannst Du das für die Uplink ports verwenden).

Wie dieses Routing auf Switchebene geht solltes Du mit deinem Switchlieferanten absprechen (das macht jeder Hersteller etwas anders). Wir habe eine 8-Port Firewall zwischen unseren Segmenten die aber weitgehend offen ist und somit nur als Router fungiert (außer einigen Spezialnetzen die besonders abgetrennt sind und durch dir Firewall besonders getrennt werden)
Mitglied: aqui
aqui 02.11.2007 um 19:28:18 Uhr
Goto Top
Das mit den Class C Netzen 192.168.x.x ist eigentlich kosmetisch überflüssig, denn du betreibst dein 10er Netz ja mit Class C Subnetzmasken so das das Umadressieren der IP Netze unnütze Arbeit ist und nur kosmetischen Effekt hat nichts sonst. Das 10er netz ist auch ein privates Netz nach RFC 1918 also bist du absolut auf der sicheren und richtigen Seite !
Generell ist dein Konzept richtig und sinnvoll solche Netze zu segmentieren in VLANs.
Und ratzla hat Recht, du hast eine Kombination von VLAN und VLAN Routing (L3) auf dem zentralen Switch.
Mit statischen Routen musst du nicht arbeiten, denn dein zenraler Switch kennt alle VLANs ja da sie an ihm direkt dran sind. Also deine ip route... Kommandos kannst du vergessen die sind überflüssig.
Folgende Punkte sind beim Einrichten zu beachten:
  • VLANs anlegen auf dem Catalyst und Etagen Links diesen VLANs zuordnen
  • Virtuelle IP Interface (interface vlan x) in diese VLANs legen und dort IP Adressen vergeben, z.B. 10.0.0.254, 255.255.255.0 für Etage 0, 10.0.1.254 255.255.255.0 für Etage 1 usw.

Das wars eigentlich schon... Alle deine Clients in den VLANs zeigen nun auf die Switch IP des jeweiligen VLANs am Zentralrouter und der rouet nun zwischen den VLANs.
Wenn du einen Internet Router hast musst du natürlich noch eine default route auf dem Zentralswitch konfigurieren mit
ip route 0.0.0.0 0.0.0.0 <ip_internet_router>

Da du scheinbar Cisco HW verwendest kannst du hier an dem allgemeinen Beispiel sehen wie das mit IOS based Switches geht:
http://www.cisco.com/en/US/tech/tk389/tk815/technologies_configuration_ ...
Mitglied: mikelmike
mikelmike 07.11.2007 um 10:39:47 Uhr
Goto Top
Hallo,

ahja super Vielen Dank für die Antworten!

Eine Frage bzgl. des DHCP BOOTP Servers.
Der Server steht zentral im "Server-Vlan0". Die Funktion, dass DHCP discover, offer usw. über die Router weitergeleitet werden erreiche ich mit der Funktion ip helpers address. Sehe ich aber folgendes richtig?
Als default gateway für die Clients in Vlan1 und 2 muss die IP des jeweilige Swichts (Switch001 oder 002) stehen.
Demnach könnte ich jedoch meinen Adresspool am DHCP Server nicht dynamisch verwalten, sondern müsste für jeden Client einen statischen Eintrag mit dem jeweils richtgen Gateway erzeugen. oder?

Und eine bzgl. der Zugriffsbeschränkung.
Die Clients sollen ja nur Zugriff auf das Server VLAN haben. Dies erreich ich dann über das setzten von ACL auf den jeweiligen Uplinkports zu den Etagenverteilern (Switch001 und 002) - oder?

mfg Michael
Mitglied: aqui
aqui 11.11.2007 um 22:03:55 Uhr
Goto Top
Frage 1:
Nein, du musst nur ein DHCP Profil im Server pro Netzwerk erstellen nicht pro Client ! Die Gateway Adresse auf den Switch ist doch fuer alle Clients im Subnetz (VLAN) immer gleich !

Frage 2:
Ja ACL Listen auf den VLAN Interfaces loesen das Problem zuverlaessig !
Mitglied: mikelmike
mikelmike 11.11.2007 um 22:55:29 Uhr
Goto Top
hm... Zu Frage 1:

Auf der Cisco Seite (http://www.cisco.com/en/US/tech/tk389/tk815/technologies_configuration_ ..) steht folgendes:

!
interface Vlan1
no ip address
shutdown
!
interface Vlan2
description USER_VLAN

!--- This IP address is the default gateway for users.

ip address 10.1.2.1 255.255.255.0
!
interface Vlan3
description SERVER_VLAN

!--- This IP address is the default gateway for servers.

ip address 10.1.3.1 255.255.255.0
!
interface Vlan10
description MANAGEMENT_VLAN

!--- This IP address is the default gateway for other L2 switches.

ip address 10.1.10.1 255.255.255.0
!

Demnach brauchen die Clients als Default Gateway Adresse 10.1.2.1 und die Server 10.1.3.1.
Auch wenn ich die Server nicht über DHCP adressieren würde, spielt das für dieses Beispiel keine Rolle.

Woher weis der DHCP Server dass der dem Client eine Adresse aus dem DHCP Pool mit der Default Gatewayoption 10.1.10.1 zuweisen soll, und dem Server eine aus dem Pool mit der Gatewayadresse 10.1.3.1?

mfg Michael
Mitglied: aqui
aqui 12.11.2007 um 13:24:50 Uhr
Goto Top
Hallo Michael !

Deine Konfig mal etwas komprimiert sieht dann so aus:

interface Vlan2
description USER_VLAN
ip address 10.1.2.1 255.255.255.0
!
interface Vlan3
description SERVER_VLAN
ip address 10.1.3.1 255.255.255.0


Daran ist erstmal nichts falsch. Klar, das die Server mit dem Standard Gateway auf die 10.1.3.1 zeigen MÜSSEN und die Clients auf 10.1.2.1, denn der Switch macht ja nun das zentrale Routing (Layer 3 Switching) !!!
Alle weiteren Routen wie z.B. eine default Route ins Internet muss dann natürlich auch auf dem Switch eingetragen werden wie z.B. (Internet)
ip route 0.0.0.0 0.0.0.0 <ip_adr.Internetrouter>

Thema DHCP:
So wie die Konfig oben ist können User/Clients natürlich für ihr VLAN keine IP Adresse per DHCP bekommen, denn deren DHCP UDP Broadcast wird vom Switch verworfen. Das ist ja gerade der Sinn von Segmentierungen, das man UDP Broadcasts limitiert !
Du musst dem Switch also irgendwie sagen, das er doch bitte die DHCP Broadcasts auf dem User/Client Segment (VLAN) zum DHCP Server forwardet....
Genau das macht die ip helper adresse !!
Angenommen dein DHCP Server hat im Server VLAN folgende Adresse 10.1.3.100 dann sieht deine lauffähige Konfig im Switch so aus:

interface Vlan2
description USER_VLAN
ip address 10.1.2.1 255.255.255.0
ip helper-address 10.1.3.100
!
interface Vlan3
description SERVER_VLAN
ip address 10.1.3.1 255.255.255.0


..et voila... und schon funktioniert die DHCP Vergabe. Du musst natürlich ein Netz 10.1.2.0 mit Router 10.1.2.1, DNS etc. usw. im DHCP Server angelegt haben...das ist klar.
Der Switch empfängt nun den UDP Broadcast und anhand seiner Helper Adresse im User/Client VLAN weiss er nun wo er diese hin forwarden muss !
Mitglied: mikelmike
mikelmike 17.12.2007 um 08:26:38 Uhr
Goto Top
Hallo,

also ich habe das ganze Szenario etz mal in einer Testumgebung nachgebaut. Dabei bin ich auf folgendes Problem gestoßen:
Der Backbon Switch kennt keine Route ins VLAN des entfernten Switch. Er zeigt (natürlich) nur das Management Vlan als directly connected an. Vom nicht Backbone Switch aus habe ich das Problem nicht, da die Default Route natürlich auf die IP des Management VLans zeigt. Sobald ich die Route manuell (ip route <ip entferntes vlan> <netmask entferntes vlan> <ip adresse management vlan des entfernten switches>) hinzufüge routet er einwandfrei zwichen den Vlans mit 2 Hops.

DANKE!
mfg Michael