11
Subnetting in mittelständischem Unternehmen - was macht Sinn?
Hallo Kollegen,
wir sind ein mittelständisches Unternehmen mit ca 80 PC-Arbeitsplätzen.
Dadurch, dass wir dieses Jahr expandieren, müssen wir unser Netzwerk neu strukturieren.
Bisher haben wir ein großes Subnetz, in dem alle Clients, Server, etc. hängen.
Jetzt zur Frage: Welche Form der Netzwerksegmentierung ist sinnvoller?
1. Segmentierung nach Geräteklassen (Servernetz, PC-Client-Netz, Druckernetz, Maschinennetz...)
2. Segmentierung nach Gebäude / Abteilung (Subnetz Gebäude 1, Subnetz Gebäude 2, Buchhaltungsnetz...)
Im Vorraus vielen Dank für jede Hilfe!
Grüße, JD
wir sind ein mittelständisches Unternehmen mit ca 80 PC-Arbeitsplätzen.
Dadurch, dass wir dieses Jahr expandieren, müssen wir unser Netzwerk neu strukturieren.
Bisher haben wir ein großes Subnetz, in dem alle Clients, Server, etc. hängen.
Jetzt zur Frage: Welche Form der Netzwerksegmentierung ist sinnvoller?
1. Segmentierung nach Geräteklassen (Servernetz, PC-Client-Netz, Druckernetz, Maschinennetz...)
2. Segmentierung nach Gebäude / Abteilung (Subnetz Gebäude 1, Subnetz Gebäude 2, Buchhaltungsnetz...)
Im Vorraus vielen Dank für jede Hilfe!
Grüße, JD
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 269191
Url: https://administrator.de/contentid/269191
Printed on: April 25, 2024 at 06:04 o'clock
11 Comments
Latest comment
Hallo,
die Suchfunktion hast du hier aber nicht benutzt oder?
9 Beiträge unter deinem von heute:
Class C Netz langsam voll - Alternative gesucht
Gruß
die Suchfunktion hast du hier aber nicht benutzt oder?
9 Beiträge unter deinem von heute:
Class C Netz langsam voll - Alternative gesucht
Gruß
Hallo,
ich würde beides machen....
Grob nach Gebäude, fein nach Geräteklassen...
Gebäude 1 IP 10.1.x.x
Gebäude 2 IP 10.2.x.x
Drucker Gebäude 1 IP 10.1.17
Drucker Gebäude 2 IP 10.2.17
usw..
Das ganze schön in VLANs packen und gut ists...
brammer
ich würde beides machen....
Grob nach Gebäude, fein nach Geräteklassen...
Gebäude 1 IP 10.1.x.x
Gebäude 2 IP 10.2.x.x
Drucker Gebäude 1 IP 10.1.17
Drucker Gebäude 2 IP 10.2.17
usw..
Das ganze schön in VLANs packen und gut ists...
brammer
1
Hallo JD,
wie sieht es denn bei Euch derzeit mit der Netzwerkhardware aus? Wenn jedes Gebäude
bzw. Etage über einen Managebaren Switch verfügt würde ich es so machen wie schon
von brammer beschrieben.
Wichtig ist allerdings was ihr als Router nutzt, denn es bringt nicht so viel wenn ich alles
schön in Subnetze mit VLAN aufteilt aber am ende die Komunikation untereinander leidet
weil der Router nichts Trunkfähig ist.
Habe es selber auch schon erlebt das man einfach drauf loslegt und plötzlich funktioniert
nix mehr.
Gruß
Hajo
wie sieht es denn bei Euch derzeit mit der Netzwerkhardware aus? Wenn jedes Gebäude
bzw. Etage über einen Managebaren Switch verfügt würde ich es so machen wie schon
von brammer beschrieben.
Wichtig ist allerdings was ihr als Router nutzt, denn es bringt nicht so viel wenn ich alles
schön in Subnetze mit VLAN aufteilt aber am ende die Komunikation untereinander leidet
weil der Router nichts Trunkfähig ist.
Habe es selber auch schon erlebt das man einfach drauf loslegt und plötzlich funktioniert
nix mehr.
Gruß
Hajo
Hallo,
für Dich kommt auch nichts richtiges dabei herum.
expandiert Ihr hier denn nun wirklich.
Anzahl der Server
Anzahl der Drucker
Anzahl der PCs
Anzahl der Switche (Hersteller und Modell)
Anzahl der Firewalls bzw. Router (Hersteller & Modell)
Anzahl der NAS und SANs im Unternehmen
Abzahl der Maschinen
Welche Verbindungen zwischen den Gebäuden bestehen denn genau
Gegebenheiten und auf die näheren Umstände an.
192.xxx.xxx.xxx./24 Maschinen
172.xxx.xxx.xxx/24 Gebäude 1
10.xxx.xxx.xxx/24 Gebäude 2
ist auch nicht das Wahre.
VLANs
VLAN1 - 192.168.1.0/24 - Drucker
VLAN2 - 192.168.2.0/24 - Server
VLAN3 - 192.168.3.0/24 - NAS & SAN
VLAN4 - 192.168.4.0/24 - PCs
VLAN5 - 192.168.5.0/24 - Maschinen
oder
Routing
Router oder Firewall mit 5 GB LAN Port
LAN Port 1 = WAN
LAN Port 2 = unmanaged Switch & 192.168.1.0/24 - Maschinen
LAN Port 3 = unmanaged Switch & 192.168.2.0/24 - PCs
LAN Port 4 = unmanaged Switch & 192.168.3.0/24 - Server & NAS/SAN
LAN Port 5 = unmanaged Switch & 192.168.4.0/24 - Drucker
Kommt aber immer genau darauf an was man denn alles erneuern möchte, muss bzw. kann
oder sogar soll. Sind die Maschinen davon auch betroffen? Kommt noch ein neues Gebäude hinzu?
Werden 100 Mitarbeiter neu eingestellt? Kommen neue Dienste hinzu? Soll bzw. kann neue
Netzwerkhardware angeschafft werden? Wird irgend wo andere, eine Niederlassung eröffnet?
Gruß
Dobby
wir sind ein mittelständisches Unternehmen mit ca 80 PC-Arbeitsplätzen.
Ok und was ist beoi Euchso die Wachstumsrate pro Jahr mit der man rechnen muss bzw. kann?Dadurch, dass wir dieses Jahr expandieren, müssen wir unser Netzwerk neu strukturieren.
Ok, klingt schon mal ganz gut nur so ins "blaue" hineingeraten ist fpr uns auch nichts undfür Dich kommt auch nichts richtiges dabei herum.
Bisher haben wir ein großes Subnetz, in dem alle Clients, Server, etc. hängen.
Ok spricht ja auch nichts dagegen, nur was habt Ihr denn wirklich und wie weitexpandiert Ihr hier denn nun wirklich.
Anzahl der Server
Anzahl der Drucker
Anzahl der PCs
Anzahl der Switche (Hersteller und Modell)
Anzahl der Firewalls bzw. Router (Hersteller & Modell)
Anzahl der NAS und SANs im Unternehmen
Abzahl der Maschinen
Welche Verbindungen zwischen den Gebäuden bestehen denn genau
Jetzt zur Frage: Welche Form der Netzwerksegmentierung ist sinnvoller?
Sinnvoll können beide sein es kommt aber auch immer etwas auf die örtlichenGegebenheiten und auf die näheren Umstände an.
1. Segmentierung nach Geräteklassen (Servernetz, PC-Client-Netz, Druckernetz, Maschinennetz...)
Würde ich mal bevorzugen wollen, zumindest vorerst.2. Segmentierung nach Gebäude / Abteilung (Subnetz Gebäude 1, Subnetz Gebäude 2,
Buchhaltungsnetz...)
Kann auch nützlich sein, man kann auch alles schnell von einander trennen.Buchhaltungsnetz...)
192.xxx.xxx.xxx./24 Maschinen
172.xxx.xxx.xxx/24 Gebäude 1
10.xxx.xxx.xxx/24 Gebäude 2
Im Vorraus vielen Dank für jede Hilfe!
Bitte beantworte mal die o.g. Fragen genau denn zu einer "Verschlimmbesserung" ratenist auch nicht das Wahre.
VLANs
VLAN1 - 192.168.1.0/24 - Drucker
VLAN2 - 192.168.2.0/24 - Server
VLAN3 - 192.168.3.0/24 - NAS & SAN
VLAN4 - 192.168.4.0/24 - PCs
VLAN5 - 192.168.5.0/24 - Maschinen
oder
Routing
Router oder Firewall mit 5 GB LAN Port
LAN Port 1 = WAN
LAN Port 2 = unmanaged Switch & 192.168.1.0/24 - Maschinen
LAN Port 3 = unmanaged Switch & 192.168.2.0/24 - PCs
LAN Port 4 = unmanaged Switch & 192.168.3.0/24 - Server & NAS/SAN
LAN Port 5 = unmanaged Switch & 192.168.4.0/24 - Drucker
Kommt aber immer genau darauf an was man denn alles erneuern möchte, muss bzw. kann
oder sogar soll. Sind die Maschinen davon auch betroffen? Kommt noch ein neues Gebäude hinzu?
Werden 100 Mitarbeiter neu eingestellt? Kommen neue Dienste hinzu? Soll bzw. kann neue
Netzwerkhardware angeschafft werden? Wird irgend wo andere, eine Niederlassung eröffnet?
Gruß
Dobby
VLAN versus Subnetting sind wie Äpfel und Birnen. Um etwas strukturieren, sind beide Verfahren geeignet. Allerdings erzeugt eine neue Ordnung auch höheren Planungs- und Administrationsaufwand, man bedenke VLAN-IDs, DHCP-Services, Routing usw. sind anzupassen.
VLAN setzt man ein, wenn man mehrere LANs pseudophysikalisch auf gleicher Physik (hier vor allem den Switch) trennen möchte/ muss. Das kann, muss aber nicht sinnvoll sein.
Subnetting ist z.B. ein Thema, wenn die Anzahl der Knoten mehr als ein paar Dutzend, wenn mehrere Standorte/ Gebäude oder große Etagen involviert sind und/ oder sonstige gute Gründe vorhanden sind. Ziel wahrscheinlich, z.B. ungerichteten LAN-Verkehr (Broadcasts/ Unicasts) innerhalb auf eine bestimmbare Umgebung zu begrenzen.
Dann gibt's noch Sub-Subnetting, was Du wahrscheinlich meinst. Ein größeres z.B. normales Class-C-Netzwerk mit max. 254 Hosts in kleinere Einheiten zu zerlegen, wobei die max. möglichen Sub-Einheiten dann auch wieder begrenzt sind.
Ob Class-C überhaupt noch das Richtige ist, sollte vielleicht zuerst entschieden werden. Ab etwa 100-150 Arbeitsplätzen wird so ein Class-C knapp, denn Du hast ja auch jede Menge sonstige Geräte, die IP-Adressen brauchen.
Da hier nähere Infos fehlen (siehe vorige Antworten isb. Dobby) kann man nur pauschal antworten.
VLAN setzt man ein, wenn man mehrere LANs pseudophysikalisch auf gleicher Physik (hier vor allem den Switch) trennen möchte/ muss. Das kann, muss aber nicht sinnvoll sein.
Subnetting ist z.B. ein Thema, wenn die Anzahl der Knoten mehr als ein paar Dutzend, wenn mehrere Standorte/ Gebäude oder große Etagen involviert sind und/ oder sonstige gute Gründe vorhanden sind. Ziel wahrscheinlich, z.B. ungerichteten LAN-Verkehr (Broadcasts/ Unicasts) innerhalb auf eine bestimmbare Umgebung zu begrenzen.
Dann gibt's noch Sub-Subnetting, was Du wahrscheinlich meinst. Ein größeres z.B. normales Class-C-Netzwerk mit max. 254 Hosts in kleinere Einheiten zu zerlegen, wobei die max. möglichen Sub-Einheiten dann auch wieder begrenzt sind.
Ob Class-C überhaupt noch das Richtige ist, sollte vielleicht zuerst entschieden werden. Ab etwa 100-150 Arbeitsplätzen wird so ein Class-C knapp, denn Du hast ja auch jede Menge sonstige Geräte, die IP-Adressen brauchen.
Da hier nähere Infos fehlen (siehe vorige Antworten isb. Dobby) kann man nur pauschal antworten.
Hallo,
erstmal Danke für die vielen und ausführlichen Antworten.
Ich möchte hier garkeine Komplettlösung haben, es ging mir tatsächlich nur um den Punkt: Subnetze / VLANs nach Gebäude oder eben nach Geräteklasse.
Mein Netz sieht ganz grob so aus:
Firewall <----------------------> VLAN-fähige-Switche (untereinander per LWL verbunden) <-------Kupfer-------> Server / Clients / Netzwerkgeräte
...und soll später so aussehen:
Firewall <---------------> VLAN-fähiger Router für Inter-VLAN-Routing <----per LWL-------> VLAN-fähige Switche <-----Kupfer------> Server / Clients / Netzwerkgeräte
Bisher war der Plan so:
VLAN 1 - Servernetz - 192.168.5.0/24
VLAN 10 - PC-Client-Netz - 192.168.10.0/24
VLAN40 - Netzwerkgeräte - 192.168.40.0/25
VLAN60 - WLAN - 192.168.60.0/26
VLAN80 - Maschinennetz - 192.168.80.0/25
VLAN100 - VoIP-Netz 192.168.100.0/24
Jetzt kam mir aber der Geistesblitz, dass es ja für die Administration deutlich einfacher wäre, wenn wir die VLANs auf Gebäude verteilen könnten und nur in Ausnahmefällen auf einzelnen Switchports andere VLAN's konfigurieren. Dann hätte man den Vorteil, dass man immer davon ausgehen kann, auf diesem Switch ist hauptsächlich dieses VLAN konfiguriert (--> beim Patchen hat man dann nicht den Zwang, jeden einzelnen Port nachkonfigurieren zu müssen).
Spricht etwas dagegen, die Segmentierung per Gebäude / Verteiler zu machen?! Sicherheitstechnisch? Performance-Technisch?
Grüße, JD
erstmal Danke für die vielen und ausführlichen Antworten.
Ich möchte hier garkeine Komplettlösung haben, es ging mir tatsächlich nur um den Punkt: Subnetze / VLANs nach Gebäude oder eben nach Geräteklasse.
Mein Netz sieht ganz grob so aus:
Firewall <----------------------> VLAN-fähige-Switche (untereinander per LWL verbunden) <-------Kupfer-------> Server / Clients / Netzwerkgeräte
...und soll später so aussehen:
Firewall <---------------> VLAN-fähiger Router für Inter-VLAN-Routing <----per LWL-------> VLAN-fähige Switche <-----Kupfer------> Server / Clients / Netzwerkgeräte
Bisher war der Plan so:
VLAN 1 - Servernetz - 192.168.5.0/24
VLAN 10 - PC-Client-Netz - 192.168.10.0/24
VLAN40 - Netzwerkgeräte - 192.168.40.0/25
VLAN60 - WLAN - 192.168.60.0/26
VLAN80 - Maschinennetz - 192.168.80.0/25
VLAN100 - VoIP-Netz 192.168.100.0/24
Jetzt kam mir aber der Geistesblitz, dass es ja für die Administration deutlich einfacher wäre, wenn wir die VLANs auf Gebäude verteilen könnten und nur in Ausnahmefällen auf einzelnen Switchports andere VLAN's konfigurieren. Dann hätte man den Vorteil, dass man immer davon ausgehen kann, auf diesem Switch ist hauptsächlich dieses VLAN konfiguriert (--> beim Patchen hat man dann nicht den Zwang, jeden einzelnen Port nachkonfigurieren zu müssen).
Spricht etwas dagegen, die Segmentierung per Gebäude / Verteiler zu machen?! Sicherheitstechnisch? Performance-Technisch?
Grüße, JD
Spricht etwas dagegen, die Segmentierung per Gebäude / Verteiler zu machen?!
Sicherheitstechnisch? Performance-Technisch?
Je nach dem wie man es denn nun umsetzt würde ich mal sagen wollen.Sicherheitstechnisch? Performance-Technisch?
Gebäude 1
VLAN1 - Administrationsnetz für den Admin dort sind in der Regel alle Geräte Mitglied
und somit vereinfacht sich meiner Meinung nach das Administrationsaufwand.
VLAN 2 - Servernetz - 192.168.5.0/24
VLAN 10 - PC-Client-Netz - 192.168.10.0/24
VLAN40 - Netzwerkgeräte - 192.168.40.0/24
VLAN60 - WLAN - 192.168.60.0/24
VLAN80 - Maschinennetz - 192.168.80.0/24
VLAN100 - VoIP-Netz 192.168.100.0/24
Gebäude 2
VLAN1 - Administrationsnetz für den Admin dort sind in der Regel alle Geräte Mitglied
und somit vereinfacht sich meiner Meinung nach das Administrationsaufwand.
VLAN 4 - Servernetz - 172.xxx.05.xxx/24
VLAN 22 - PC-Client-Netz - 172.xxx.06.xxx24
VLAN 41 - Netzwerkgeräte - 172.xxx.07.xxx/24
VLAN 61 - WLAN - 172.xxx.08.xxx/24
VLAN 81 - Maschinennetz - 172.xxx.09.xxx/24
VLAN101 - VoIP-Netz 172.xxx.10.xxx/24
Gruß
Dobby
Bin da eher für Unterteilung in Standort, Gebäude oder OGs oder Abteilung Vertrieb, Support, Service o.ä. und gut.
Sehe keinen gesteigerten Sinn oder erzielbaren Effekt darin, 6 oder mehr VLANs zu begründen oder die gar nach Geräteklassen zu vergeben, vielleicht mit Ausnahme von wirklich zentralen, bzw. besonders zu schützenden Geräten/ Sub-Netzen und VOIP wäre ein guter Grund wegen QoS/ Priorisierung.
VLANs sollte man nach meinem Ermessen aber auch so flach wie möglich halten.
Subnetze machen eventuell zur geographischen oder gruppenhaften Teilung Sinn, aber auch da wäre zu fragen, ob viel mehr als drei viel mehr hilft? Wegen 6 Geräteklassen würde auf keinen Fall 6 Subnetze gründen. Irgendwie scheint es ja noch eine Company, also die Subnetze müssen ja auch routingfähig sein. Bei 6 nötigen Routerschnittstellen kann ich einen schön zentralisierten Flaschenhals samt Ausfallrisiko generieren. Aber was war noch mal die Aufgabe?
Diese Frage bleibt offen, was eigentlich erreicht werden soll.
Sehe keinen gesteigerten Sinn oder erzielbaren Effekt darin, 6 oder mehr VLANs zu begründen oder die gar nach Geräteklassen zu vergeben, vielleicht mit Ausnahme von wirklich zentralen, bzw. besonders zu schützenden Geräten/ Sub-Netzen und VOIP wäre ein guter Grund wegen QoS/ Priorisierung.
VLANs sollte man nach meinem Ermessen aber auch so flach wie möglich halten.
Subnetze machen eventuell zur geographischen oder gruppenhaften Teilung Sinn, aber auch da wäre zu fragen, ob viel mehr als drei viel mehr hilft? Wegen 6 Geräteklassen würde auf keinen Fall 6 Subnetze gründen. Irgendwie scheint es ja noch eine Company, also die Subnetze müssen ja auch routingfähig sein. Bei 6 nötigen Routerschnittstellen kann ich einen schön zentralisierten Flaschenhals samt Ausfallrisiko generieren. Aber was war noch mal die Aufgabe?
Diese Frage bleibt offen, was eigentlich erreicht werden soll.
Siehe auch diesen Thread:
Class C Netz langsam voll - Alternative gesucht
Vielleicht noch ein paar Antworten zu den Punkten des "XPerts" von oben und diesem Thema:
Abhängig ist solche Segmentierung rein von der Größe, sprich Anzahl der Gebäude, Etagen, Endgeräte, Sicherheitsanforderungen usw.
Es ist logisch das man bei einer Summe von 80 Endgeräten keine 20 VLANs benötigt.
In so fern sind solche Aussagen immer zu relativieren. Generell ist eine Segmentierung im Netzwerk immer der richtige Weg !
Letztlich ist auch das wieder relativ, denn es hängt final von der Anzahl der VLANs und der Summe des gerouteten Traffics ab.
Es ist ganz klar und es herrscht sicher Konsens darüber das das technisch gesehen genau der falsche Weg ist, der auch mit Sicherheit in Probleme führt.
Segmentierung, auch wenn es nur 3 Subnetze bzw. VLANs sind, macht hier also schon Sinn.
Class C Netz langsam voll - Alternative gesucht
Vielleicht noch ein paar Antworten zu den Punkten des "XPerts" von oben und diesem Thema:
Sehe keinen gesteigerten Sinn oder erzielbaren Effekt darin, 6 oder mehr VLANs zu begründen oder die gar nach Geräteklassen zu vergeben,
Solche Aussagen sind generell schlicht falsch wenn sie so pauschal geäußert werden. Es gibt Unternehmen mit 30 und mehr VLANs auf dem Campus.Abhängig ist solche Segmentierung rein von der Größe, sprich Anzahl der Gebäude, Etagen, Endgeräte, Sicherheitsanforderungen usw.
Es ist logisch das man bei einer Summe von 80 Endgeräten keine 20 VLANs benötigt.
In so fern sind solche Aussagen immer zu relativieren. Generell ist eine Segmentierung im Netzwerk immer der richtige Weg !
VLANs sollte man nach meinem Ermessen aber auch so flach wie möglich halten.
Das gilt ja generell für alle Layer 2 Broadcast Domains.Subnetze machen eventuell zur geographischen oder gruppenhaften Teilung Sinn
Na ja nicht nur...das ist immer individuell und firmenbezogen.Bei 6 nötigen Routerschnittstellen kann ich einen schön zentralisierten Flaschenhals samt Ausfallrisiko generieren
Nein, das kann man nur wenn man willentlich ein schlechtes Design macht. Normal nimmt man dort 2 L3 Switches in einem HA Design mit parallelem Routing oder einen L3 Stack Switch, da können solche Flaschenhälse niemals auftreten.Letztlich ist auch das wieder relativ, denn es hängt final von der Anzahl der VLANs und der Summe des gerouteten Traffics ab.
Diese Frage bleibt offen, was eigentlich erreicht werden soll.
Eigentlich nicht. Es ging um die Frage ob man einfach die Subnetzmaske der Layer 2 Broadcast Doamin erweitert um mehr Endgeräte in diese Domain zu bekommen.Es ist ganz klar und es herrscht sicher Konsens darüber das das technisch gesehen genau der falsche Weg ist, der auch mit Sicherheit in Probleme führt.
Segmentierung, auch wenn es nur 3 Subnetze bzw. VLANs sind, macht hier also schon Sinn.
1
Konsens. Alles relativ. Es kommt auf den Einzelfall an. Du hast auch ein bisschen recht. Theoretisch-theologisch.
Wie viele Nodes, Sites, Gebäude, Etagen, Abteilungen werden wir denn nun künftig haben, Johnny?
Wie viele Nodes, Sites, Gebäude, Etagen, Abteilungen werden wir denn nun künftig haben, Johnny?
Vielen Dank für die vielen Antworten, vor allem an Aqui, der mich verstanden hat 
(nichts für ungut XPert
)
Frage gelöst.
Grüße, JD
(nichts für ungut XPert
)Frage gelöst.
Grüße, JD
1
