Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Hosts mittels unterschiedlicher Subnetze abgrenzen

Frage Netzwerke Router & Routing

Mitglied: Excaliburx

Excaliburx (Level 2) - Jetzt verbinden

11.09.2012, aktualisiert 13:47 Uhr, 3075 Aufrufe, 17 Kommentare

Hallo zusammen,

wir haben ein Klasse A Netz 10.20.31.0 im Einsatz. Die Mask die verwendet wird ist 255.255.255.128.
Bisher nutzen wir die Netzwerk ID 10303:
Netzwerkadresse: 10.20.31.128
Erster Host: 10.20.31.129
Letzter Host: 10.20.31.254
Broadcast: 10.20.31.255

In diesem Subnetz sind alle Geräte (Clients, Server, Drucker etc).


Problem:
Da wir ein IP Telefonanlagenserver haben, auf den auch per VPN zugegeriffen werden muss, sind für diesen im VPN Gerät damit das Telefonieren möglich ist, viele Ports (ein großer Portbereich) geöffnet. Stand jetzt für das komplette Netzwerk 10.20.31.0-10.20.31.255 ist diese Portfreigabe definiert, da nicht per IP möglich.

Nun haben wir aus Gründen der Sicherheit folgendes vor:
Die einzelnen Gruppen von Geräten sollen durch jeweils eigene Subnetze von dem Telefonanlagenserver getrennt werden.


Ansatz:

Geräte:
1. Server (6 Server):
Soll ID 10300 bekommmen.

2. Telefonanlagenserver (1 Server):
Soll ID 10301 bekommen.

3. Clients (intern) (25 Clients und 6 Drucker, Anzahl steigend): Subnetz ID 10303
Soll ID 10303 bekommen (dieses Subnetz wurde bisher für alle IP-Geräte des Standorts verwendet)

4. VPN-Clients (100 Geräte, Anzahl steigend): Subnetz ID 10302
Soll ID 10302 bekommen.

Im Router (Bintec) müssen dann entsprechend statische Routen konfiguriert werden, damit sich die Host aus den unterschiedlichen Subnetzen erreichen können.

Somit kann das Subnetz indem nur der Telefonanlagenserver drin ist, im VPN-Gerät geöffnet werden. Damit sind die Ports nicht auch für alle anderen Netzwerkgeräte geöffnet.


Fragen:
1.
Ist der oben beschrieben Ansatz so möglich?

2.
Was gibt es hierbei noch zu beobachten?


91f7d3da026a10c77d573b35b2f3d686 - Klicke auf das Bild, um es zu vergrößern



Danke für Tipps und weitere Informationen!

Gruß
Mitglied: Pjordorf
11.09.2012 um 14:18 Uhr
Hallo,

Zitat von Excaliburx:
wir haben ein Klasse A
Dir ist schon bekannt das es Netz Klassen nicht mehr gibt, oder? Das nennt sich nun CIDR. Siehe auch http://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing

Netz 10.20.31.0 im Einsatz. Die Mask die verwendet wird ist 255.255.255.128.
Also ein 10.20.31.0/25er Netz.

Bisher nutzen wir die Netzwerk ID 10303:
Was willst du uns hiermit sagen? Novell IPX ID?

komplette Netzwerk 10.20.31.0-10.20.31.255 ist diese Portfreigabe definiert, da nicht per IP möglich.
Du gibst uns hier aber einen IP Bereich an und nirgendswo steht etwas von Ports. Was denn nun? Und deine Telefonanlage/Telefonanlagenserver braucht ganz viele Ports für VPN?

Die einzelnen Gruppen von Geräten sollen durch jeweils eigene Subnetze von dem Telefonanlagenserver getrennt werden.
Also Subnetting eines 10.20.31.0/128er Netzes.

Soll ID 10300 bekommmen.
?!? Schon wieder deine nicht definierte Netz ID.

Soll ID 10301 bekommen.
?!?

Soll ID 10303 bekommen
?!?

Soll ID 10302 bekommen.
?!?

Somit kann das Subnetz indem nur der Telefonanlagenserver drin ist, im VPN-Gerät geöffnet werden. Damit sind die Ports nicht auch für alle anderen Netzwerkgeräte geöffnet.
?!?

Gruß,
Peter
Bitte warten ..
Mitglied: Excaliburx
11.09.2012, aktualisiert um 14:38 Uhr
Hi,

mit Netz ID sind die verschiedenen Subnetze das 10.20.31.0/25 gemeint (siehe Bild, Linke Spalte in meinem Beitrag).

Gruß
Bitte warten ..
Mitglied: Pjordorf
11.09.2012, aktualisiert um 14:36 Uhr
Hallo,

Zitat von Excaliburx:
mit Netz ID sind die verschiedenen Subnetze des 10.20.31.0/25 gemeint
Welches nur 2 sind. Du du aber schon dies durch dein
Netzwerkadresse: 10.20.31.128
eingeschränkt hast, reden wir also nur über ein Netz nämlich dein 10.20.31.128/25.

(siehe Bild, Linke Spalte in meinem Beitrag).
Ja, in der Linken Spalte steht etwas. Was? Kann ich nicht sagen. Die Spalte hat keine Überschrift. Damit kann das auch (und danach sieht es aus) einfach nur ein fortlaufender Zähler sein. Genaueres kann dir aber der Hersteller dieser uns unbekannten Software sagen was in dieser Splate die fortlaufenden Zahlen für ein Bedeutung haben. Dein Ausbilder sollte es auch wissen

Gruß,
Peter
Bitte warten ..
Mitglied: Excaliburx
11.09.2012, aktualisiert um 15:06 Uhr
Hallo,

das Bild ist von der Software Bitcricket IP Calculator. Und ja diese Linke Spalte ist eine einfach fortlaufende Zahl der verschiedenen Netze unter 10.0.0.0-10.255.255.255.

Es geht darum, ob das unter dem Ansatz beschriebene wirklich Subnetze sind oder nicht und ob das so bzw. wie das Szenario mit 4 Subnetzn eingerichtet werden kann.

Und ja das bisherige Netzwerk ist bereits eingeschränkt.

Es sollen lediglich noch 3 weitere Subnetze hinzukommen.

Gruß
Bitte warten ..
Mitglied: Dobby
11.09.2012 um 15:50 Uhr
Hallo Mr. Subnet (Viper5000),

kann man die denn nicht einfach für die Trennung der ganzen Geräte einfach am Switch ein paar VLAN´s anlegen und gut ist es ? Ich meine wenn der Bintec Router und die Switche das unterstützen!?

Dann kannst Du auch schön mit den ID´s was machen nämlich mit VLAN ID´s!

Ich meine das das auf jeden Fall schneller geht und praktikabler sein wird.

Gruß
Dobby
Bitte warten ..
Mitglied: Excaliburx
11.09.2012 um 15:56 Uhr
Hallo,

bisher haben wir keine VLANs im Einsatz und daher auch nicht die Geräte dazu (Switche), daher kommt diese Variante eher nicht in Frage.

Funktioniert denn dann der Ansatz von mir mit den 4 Netzen und den statischen Routen im Bintec?

Gruß
Bitte warten ..
Mitglied: aqui
11.09.2012, aktualisiert um 16:14 Uhr
Wenn der Bintec 4 separate Ethernet Interfaces hat oder VLAN fähig ist wäre das ein gangbarer Weg.
Von der Option mit 4 separaten IP Netzen auf einem Draht zu arbeiten kann man dir nur dringenst abraten. Das ist offiziell im TCP/IP nicht definiert und führt in der Regel zwangsläufig zu ICMP Problemen und Problemen im Multicasting.
Besser also Finger weg davon in einem Produktivnetz !
Eine VLAN Segmentierung mit Routing über den Bintec ist in der Tat die sinnvollste Option für solch einen Trennung und auch "State of the Art" wie man sowas netztechnisch angeht.
Wie man technisch sowas im Detail realisiert sagt dir dieses Tutorial:
http://www.administrator.de/contentid/110259
Die ToDos gelten analog natürlich auch für einen Bintec.
Bitte warten ..
Mitglied: Excaliburx
13.09.2012, aktualisiert um 09:59 Uhr
Hallo,

ja der Bintec hat 4 separate Ethernet Interfaces (und unterstützt auch VLAN).

Heißt das wenn man per separater Verkabelung die 4 Interfaces verwenden würde, wäre es kein Problem den beschriebenen Ansatz ohne VLANs zu realisieren?

Bsp:
Interface1: Server (verkabel mit Switch an dem alle Server angeschlossen sind)
Interface2: Telefonanlagenserver (mit dem Telefonanlagenserver verkabelt)
Interface3: Clients (verkabelt mit Switch an dem alle Clients angeschlossen sind)
Interface4: VPN-Clients (verkabelt mit dem VPN-Gerät auf das diese Clients einen Verbindungstunnel aufbauen)


Denn wie bereits erwähnt, haben wir keine managed Switchs und daher keine VLAN fähigen Switchs. Die recht neuen Switchs alle zu ersetzen kommt aus Kostengründen nicht in Frage.

Gruß
Bitte warten ..
Mitglied: Dobby
13.09.2012 um 11:04 Uhr
Zitat von Excaliburx:
Hallo,
Hallo,

ja der Bintec hat 4 separate Ethernet Interfaces (und unterstützt auch VLAN).
Heißt das wenn man per separater Verkabelung die 4 Interfaces verwenden würde, wäre es kein Problem
den beschriebenen Ansatz ohne VLANs zu realisieren?
Sollte in der Bedienungsanleitung des Bintec stehen, man hätte da auch mal reinschauen können, aber
wenn Du für behältst was das für ein Modell ist, musst Du das wohl oder übel selber erledigen.

Bsp:
Interface1: Server (verkabel mit Switch an dem alle Server angeschlossen sind)
Interface2: Telefonanlagenserver (mit dem Telefonanlagenserver verkabelt)
Interface3: Clients (verkabelt mit Switch an dem alle Clients angeschlossen sind)
Interface4: VPN-Clients (verkabelt mit dem VPN-Gerät auf das diese Clients einen Verbindungstunnel aufbauen)
In der Bedienungsanleitung steht das und nirgendwo anders!

Denn wie bereits erwähnt, haben wir keine managed Switchs und daher keine VLAN fähigen Switchs. Die
recht neuen Switchs alle zu ersetzen kommt aus Kostengründen nicht in Frage.
Würdest Du denn bitte mal erzählen was Ihr für Switche habt für diese Angelegenheit!
Smart Switch für ~35 € mit VLAN Netgear GS105E

So neu können die nun auch nicht sein, wenn die so genannten kleinen SmartSwitche schon VLAN anlegen können.

Gruß
Gruß zurück
Bitte warten ..
Mitglied: aqui
13.09.2012, aktualisiert um 13:19 Uhr
. Heißt das wenn man per separater Verkabelung die 4 Interfaces verwenden würde, wäre es kein Problem den beschriebenen Ansatz ohne VLANs zu realisieren?
Ja, das wäre dann der richtige Ansatz und löst dein problem.
Pro Port dann ein Subnetz definieren und dann dort jeweils einen Switch pro Subnetz ran.
Bisschen umständlich aber wenn du doofe Billigswitches hast ist das deine einzige Chance, führt aber zum Erfolg !
Bitte warten ..
Mitglied: Excaliburx
13.09.2012, aktualisiert um 16:03 Uhr
Hallo,

okay. Vielen Dank für Deine Antwort.

Die in unserem Fall teuerere Lösung (keine Hardware und keine Erfahrungswerte) mit VLAN werde ich natürlich auch Vorschlagen.

Es handelt sich um einen Bintec R3002.

Wir haben einige Cisco Small Business SG 100 D 08 Switchs im Einsatz. Dieser kann scheinbar auch VLAN.

Gruß
Bitte warten ..
Mitglied: Excaliburx
13.09.2012, aktualisiert um 16:31 Uhr
Hallo,

könnte man eine unterschiedliche Subnetzmaske für die 4 Subnetze verwenden - funktioniert das technisch in der oben genannten physischen Netzwerkkonstellation?

Hintergrund:
Mit der Mask 255.255.255.128 kann jedes Subnetz 126 Hosts addressieren.
Diese Anzahl wird beim Subnetz für die Server und den Telefonanlagenserver nicht benötigt.
Daher sollen die maximalen Host in jedem Subnetzs per Mask eingeschränkt werden.


Bsp:
Könnte man für das Subnetz der Server und des Telefonanlagenservers folgende Masken verwenden:

Server:
255.255.255.240 (14 Hosts)

Telefonanlagenserver:
255.255.255.252 (2 Hosts)

Danke & Gruß für weitere Tipps!
Bitte warten ..
Mitglied: aqui
13.09.2012, aktualisiert um 16:45 Uhr
Ja, natürlich funktioniert das du musst nur darauf achten das diese Subnetzmasken sich NICHT überscheniden, da sonst logischerweise ein Routing unmöglich wird.
Das ist ja genau der tiefere Sinn von Subnetting...
Denkbar ist z.B. so ein Beispiel für 4 Netze:
1.) 10.20.31.0 mit 25 Bit Maske (255.255.255.128) = 10.20.31.1 bis 10.20.31.126
2.) 10.20.31.128 mit 28 Bit Maske (255.255.255.240) = 10.20.31.129 bis 10.20.31.142
3.) 10.20.31.144 mit 28 Bit Maske (255.255.255.240) = 10.20.31.145 bis 10.20.31.158
4.) 10.20.31.160 mit 30 Bit Maske (255.255.255.252) = 10.20.31.161 bis 10.20.31.162

oder
1.) 10.20.31.128 mit 26 Bit Maske (255.255.255.192) = 10.20.31.129 bis 10.20.31.190
2.) 10.20.31.192 mit 28 Bit Maske (255.255.255.240) = 10.20.31.193 bis 10.20.31.206
3.) 10.20.31.208 mit 28 Bit Maske (255.255.255.240) = 10.20.31.209 bis 10.20.31.222
4.) 10.20.31.224 mit 30 Bit Maske (255.255.255.252) = 10.20.31.225 bis 10.20.31.226

usw. usw. usw.
Es gibt zig Kombinationen die einzig davon abhängig sind wieviele IP Adressen du im Segment benötigst bzw. zukünftig benötigst (Skalierbarkeit)
Bitte warten ..
Mitglied: Excaliburx
13.09.2012, aktualisiert um 23:41 Uhr
Hallo,

Danke für die Antwort.

Habe an folgende 4 Subnetze gedacht:

1.) 10.20.30.0 mit 28 Bit Maske (255.255.255.240) = 10.20.30.1 bis 10.20.30.14
2.) 10.20.30.128 mit 30 Bit Maske (255.255.255.252) = 10.20.30.129 bis 10.20.30.130
3.) 10.20.31.0 mit 25 Bit Maske (255.255.255.128) = 10.20.31.1 bis 10.20.31.126
4.) 10.20.31.128 mit 25 Bit Maske (255.255.255.128) = 10.20.31.129 bis 10.20.31.254

Gruß
Bitte warten ..
Mitglied: Pjordorf
14.09.2012 um 02:37 Uhr
Hallo,

Zitat von Excaliburx:
Habe an folgende 4 Subnetze gedacht:
Wenn du die Netze so aufteilen willst. Spricht nichts dagegen.

Gruß,
Peter
Bitte warten ..
Mitglied: Excaliburx
14.09.2012 um 09:44 Uhr
Hallo,

okay danke für Eure Hilfestellung!

Gruß
Bitte warten ..
Mitglied: aqui
14.09.2012, aktualisiert um 17:34 Uhr
@viper5000
Du verschenkst ja quasi den ganzen Bereich 10.20.30.14 bis 10.20.30.128 und 10.20.30.131 bis 10.20.30.254 da du diese beiden .30er Subnetze völlig inkonsistent mittein in den gesamten Bereich gelegt hast.
Es würde doch viel mehr Sinn machen das homogen ans obere oder untere Ende des .30er Bereichs zu legen, denn so kannst du aus diesem Pool ggf. noch weitere Subnetze problemlos generieren oder die Masken vergrößern solltest du mehr Host IPs benötigen.
Besser wäre also
1.) 10.20.30.0 mit 28 Bit Maske (255.255.255.240) = 10.20.30.1 bis 10.20.30.14
2.) 10.20.30.16 mit 30 Bit Maske (255.255.255.252) = 10.20.30.17 bis 10.20.30.18
3.) 10.20.31.0 mit 25 Bit Maske (255.255.255.128) = 10.20.31.1 bis 10.20.31.126
4.) 10.20.31.128 mit 25 Bit Maske (255.255.255.128) = 10.20.31.129 bis 10.20.31.254

Wenn's das denn war bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...