emheonivek
Goto Top

Subnetzmaske anpassen

Liebe Community,

ich betreue ein klassisches 192.168.128.0/24 Netzwerk ohne VLANs. Das bedeutet ich habe eine Netzmaske von 255.255.255.0 = 24.
Zurzeit können damit 254 Hosts adressiert werden, allerdings reicht das nicht mehr aus.
Aus diesem Grund wurde auf der Firewall ein zusätzliches Subnetz 192.168.127.0/24 angelegt und entsprechende Switches in den Etagen eingebaut und verkabelt.
Das WiFi läuft zurzeit auch auf der Firewall als separates Netzwerk mit 192.168.129.0/24 und einigen Access Points.

Ich möchte dieses Konstrukt so langsam ablösen und die Maske auf /23 setzen, um 510 Hosts adressieren zu können und mein Vorschlag ist im ersten Schritt:

1. WLAN Interface in ein anderes Subnetz konfigurieren z.B. 172.192.168.0/24, da mir das WiFi Netz 192.168.129.0/24 im Wege steht
2. Interface 192.168.127.0/24 auf der Firewall inkl. DHCP deaktivieren
3. Switches von 192.168.127.0/24 und Verkabelung für 192.168.128.0/24 anpassen
4. Anschließend den Windows DHCP für 192.168.128.0/23 setzen und die Subnetzmaske von 255.255.255.0 = 24 auf 255.255.254.0 = 23 anpassen
5. Auf allen Servern und statisch konfigurieren Geräten die neue Subnetzmaske 255.255.254.0/23 hinterlegen

Wenn das alles läuft möchte ich im nächsten Schritt Segmentierung mittels VLANs einführen.

Ist meine Planung korrekt oder grobe Schnitzer vorhanden?

Content-Key: 351395

Url: https://administrator.de/contentid/351395

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 11.10.2017 aktualisiert um 11:44:46 Uhr
Goto Top
Zitat von @Emheonivek:


Ich möchte dieses Konstrukt so langsam ablösen und die Maske auf /23 setzen, um 510 Hosts adressieren zu können und mein Vorschlag ist im ersten Schritt:

Schlechte Idee. damit handelst Du Dir peformance- udn auch ander Probleme ein, wenn in einem Subnet zuviele Knoten sind.

versuch lieber dein netzwerk besser zu strukturieren, z.B. mit Hilfe von VLANs und setzt einen ordentlichen Router dazwischen.

Wenn das alles läuft möchte ich im nächsten Schritt Segmentierung mittels VLANs einführen.

Das ist eigentlich der erste Schritt, den Du machen solltest.

lks
Mitglied: heilgecht
heilgecht 11.10.2017 um 11:44:14 Uhr
Goto Top
Hallo,

ich würde gleich mehr VLANs einführen. Eine große Broadcast Domäne ist nicht gut für Netzwerkperformance.

MfG.
Mitglied: emeriks
emeriks 11.10.2017 aktualisiert um 11:52:09 Uhr
Goto Top
Hi,
kann es sein, dass Du "VLAN" und "Subnet" verwechselst?

Aus diesem Grund wurde auf der Firewall ein zusätzliches Subnetz 192.168.127.0/24 angelegt und entsprechende Switches in den Etagen eingebaut und verkabelt.
Als unabhängiges Segment? Falls ja, dann sind das jetzt bereits quasi "VLAN". Ich betone "quasi"! und zwar weil Du später schreibst:
Wenn das alles läuft möchte ich im nächsten Schritt Segmentierung mittels VLANs einführen.

Vor - zurück - vor?

Wenn es jetzt schon mehrere Segmente sind, dann kannst Du die Netze erstmal nicht zu einem größeren zusammenfassen, es sei denn, Du koppelst die Segmente.

E.
Mitglied: aqui
aqui 11.10.2017 um 11:57:48 Uhr
Goto Top
Eine Segmentierung mit VLANs ist hier der richtige Weg. Die Layer 2 Broadcast Domain einfach zu erhöhen wird dir früher oder später erhebliche Probleme bereiten durch die damit exponentiell ansteigende Broad- und Multicast Last.
Also goldene Design Regel sollte man niemals mehr als 150 Clients (plus, minus je nach Traffic Volumen) in einer Layer 2 Domain betreiben.
Also Segmentieren in VLANs ist hier der absolut richtige Weg.
Dieses Foren Tutorial erklärt die Grundlagen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Statt des externen Routers geht natürlich auch ein L3 fähiger Switch.
Mitglied: Emheonivek
Emheonivek 11.10.2017 aktualisiert um 12:23:27 Uhr
Goto Top
Die möglichen Performanceeinbußen habe ich nicht berücksichtigt. Jetzt im Nachhinein ist mir das auch klar. Danke für den Denkanstoß.
Ein Broadcast wird ja quasi in alle Subnetz gebrüllt und alle Clients erhalten den Rundruf und nur das relevante System verwirt das empfangene Paket nicht.

Wie machen sich die Performaceeinbußen in der Praxis bemerkbar? Multicast Traffic ist bei uns unrelvant.
Theoretisch ist das WLAN und das 192.168.127.0/24 Segment eine physische Segmentierung an der Firewall. Ja.
Mitglied: aqui
Lösung aqui 11.10.2017 aktualisiert um 12:33:15 Uhr
Goto Top
Ein Broadcast wird ja quasi in alle Subnetz gebrüllt
Das ist leider Blödsinn ! Ein Broadcast wird nur immer im jeweiligen Subnetz geflutet !
Genau deshalb macht man ja die Segmentierung in mehrere IP Netze und routet zwischen ihnen weil der Router per Standard diese Broad- und Multicasts eben NICHT weiterreicht und damit das Netzwerk dann perfromant bleibt.
Eine Vergrößerung der L2 Broadcast Domain wie du es laienhaft vorhattest verschlechtert eben durch die damit größere Broad- und Multicast Domain dieses Verhalten erheblich.
Grundlagenwissen Netzwerke ! face-wink
Wie machen sich die Performaceeinbußen in der Praxis bemerkbar?
Einfach mal nachdenken....
Ein Broad- oder Multicast geht an JEDES Endgerät und jedes Endgerät erzeugt daraufhin einen Interrupt und muss sich das Packet ansehen ob es für ihn ist und entsprechend weiterverarbeiten.
Bei einem 3Ghz, Dual Quad Core Rechner mit 10G Intel Ethernet NIC sicher kein Problem solange der Traffic nicht zu hoch wird.
Bei einem kleinen Tür RFID Zugangs Controller, oder Stechuhr kann diese Last der Todesstoß sein das nix mehr geht.
Zudem muss ein Switch die Broad- und Multicasts auf alle Ports der L2 Domain fluten, sprich kopieren. (Die meisten Netz Admins vergessen hier auch IGMP Snooping zu aktivieren bzw. wissen meist gar nicht was das ist !)
Bei entsprechenden Größenordungen legen sich billige China Switches da gerne mal die Karten indem sie dann wichtigen Traffic wie STP oder RSTP Pakete droppen und ein Netz mit Redundanzdesign damit in die Knie zwingen.
Es sind diverse Szenarien denkbar. Fehler und Unwissenheit der Admins in Design und Konfiguration erledigt dann oft den Rest.
Verantwortungsvolle Netzwerker segmentieren deshalb immer strikt um genau sowas von Anfang an sicher zu vermeiden !
Mitglied: brammer
Lösung brammer 11.10.2017 um 12:33:16 Uhr
Goto Top
Hallo,

Ist meine Planung korrekt

nein....

oder grobe Schnitzer vorhanden?

nein.. aber Unsinn

die Änderung der Subnetzmaske zum Vergrößern des Netzwerks ist prinzipiell der schlechteste weg das zu lösen...
Wieso und welche Nachteile das hat, haben die geschätzten Kollegen ja schon erläutert....

Wie machen sich die Performaceeinbußen in der Praxis bemerkbar?

Latenz.
Last auf schwachen Teilnehmern.

Ein Broadcast wird ja quasi in alle Subnetz gebrüllt und alle Clients erhalten den Rundruf

Ein Broadcast pro Subnetz

brammer
Mitglied: 108012
108012 12.10.2017 um 00:49:29 Uhr
Goto Top
Hallo,

man kann hier mehrere Wege gehen und sie führen alle zum Ziel, es kommt eben immer darauf an was man hat und
was man noch dazu kaufen kann. Und vor allen anderen Dingen, wie man es denn gelöst haben möchte!

Routing:
Die Firewall oder der Router bekommen pro LAN Port ein eigenes IP Netz (früher Subnetz) zum Beispiel 192.168.1.0/24
und an diesen Ports kommen dann Switche die nicht verwaltet sein müssen und auch nicht VLAN fähig sein müssen.

VLANs:
- Layer2 Switch - VLANs können untereinander nicht aufeinander zugreifen. Alles läuft über die Firewall und/oder den Router.
- Layer3 Switch - VLANs werden entweder durch den Router oder die Firewall geroutet, oder aber durch den Layer3 Switch

Man kann auch einen Router besorgen der sehr potent ist und viele LAN Port zur Verfügung stellt, wie zum Beispiel
der MikroTik RB1100AHx4, der ist sehr stark und hat viele frei konfigurierbare Ports mit im Portfolio.

1. WLAN Interface in ein anderes Subnetz konfigurieren z.B. 172.192.168.0/24, da mir das WiFi Netz
192.168.129.0/24 im Wege steht
??? Man kann auch Switche benutzen die VLANs beherrschen und sogar Layer3 Switche die selber die VLANs
routen können und die sind auch alle recht erschwinglich geworden!!! Cisco SG200/220 oder SG300/SG350 Serie
die können je nachdem was für ein Router oder eine Firewall vor Ort sind schon richtig was ausmachen im Netzwerkdesign.

2. Interface 192.168.127.0/24 auf der Firewall inkl. DHCP deaktivieren
3. Switches von 192.168.127.0/24 und Verkabelung für 192.168.128.0/24 anpassen
Welche oder was für Switche sind denn dort vorhanden bzw,. im Einsatz.

Wenn das alles läuft möchte ich im nächsten Schritt Segmentierung mittels VLANs einführen.
Mach es gleich und dann passt das auch alles richtig zusammen!

Ist meine Planung korrekt oder grobe Schnitzer vorhanden?
Etwas komisch zu verstehen bzw. ungenau, aber die Idee VLANs zu benutzen ist ja schon vorhanden, nur
würde ich die gleich an den Anfang von allem anderen stellen und dann ist "Ruhe im Karton."

Gruß
Dobby