9
Mehrere DHCP Server in einem Netzwerk (2xD-Link, 1xAD)
Ausgangskonfiguration:
1x ActiveDirectory, Server 2003
2x Linksys WRT54GL
und 3 Subnetze (192.168.0 / 1 / 2 .x)
Hi,
wir stehen hier vor einer Umstrukturierung des gesamten Firmennetzwerkes, dieses betrifft ~50 normale PCs und ungefähr ebensoviele Mobilen Geräte.
Der aktuelle Plan sieht vor, komplett in das 10.x Netz umzuziehen um "für alle Ewigkeit" genügend IP-Adressen freizuhaben.
Dabei sind wir jetzt auf ein Problem gestoßen, der ActiveDirectory Server verteilt via DHCP die Adressen im 192.168.0.x Netz, die beiden W-LAN Router für die Mobilen Geräte jeweils im 192.168.1.x sowie 2.x Netz.
Wir hätten aber gerne, dass alle Geräte im selben Netz sind, also auch die beiden W-LAN Router, diesen würden von uns dann eine statische IP, z.B. 10.1.0.10 (10.1.0.x soll für Infrastruktur Geräte herhalten) erhalten. Die Router selbst sollen dann per DHCP die Mobilen Endgeräte in den jeweils dafür vorgesehenen Teilbereich des 10er Netzes einspeisen.
Die zentrale Frage ist nun, ob dies technisch überhaupt möglich ist, bzw sinnvoll, da wir dann ja 3 DHCP Server parallel in Betrieb hätten. Oder ob es nicht sinnvoller wäre, dass der W-LAN Router nur die DHCP Packets vom AD-Server durchreichen soll und die mobilen Geräte dann direkt ihre IP bekommen.
Ich hoffe ihr könnt mir dabei helfen, Licht ins dunkel zu bringen.
wir stehen hier vor einer Umstrukturierung des gesamten Firmennetzwerkes, dieses betrifft ~50 normale PCs und ungefähr ebensoviele Mobilen Geräte.
Der aktuelle Plan sieht vor, komplett in das 10.x Netz umzuziehen um "für alle Ewigkeit" genügend IP-Adressen freizuhaben.
Dabei sind wir jetzt auf ein Problem gestoßen, der ActiveDirectory Server verteilt via DHCP die Adressen im 192.168.0.x Netz, die beiden W-LAN Router für die Mobilen Geräte jeweils im 192.168.1.x sowie 2.x Netz.
Wir hätten aber gerne, dass alle Geräte im selben Netz sind, also auch die beiden W-LAN Router, diesen würden von uns dann eine statische IP, z.B. 10.1.0.10 (10.1.0.x soll für Infrastruktur Geräte herhalten) erhalten. Die Router selbst sollen dann per DHCP die Mobilen Endgeräte in den jeweils dafür vorgesehenen Teilbereich des 10er Netzes einspeisen.
Die zentrale Frage ist nun, ob dies technisch überhaupt möglich ist, bzw sinnvoll, da wir dann ja 3 DHCP Server parallel in Betrieb hätten. Oder ob es nicht sinnvoller wäre, dass der W-LAN Router nur die DHCP Packets vom AD-Server durchreichen soll und die mobilen Geräte dann direkt ihre IP bekommen.
Ich hoffe ihr könnt mir dabei helfen, Licht ins dunkel zu bringen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 156978
Url: https://administrator.de/contentid/156978
Printed on: April 19, 2024 at 20:04 o'clock
9 Comments
Latest comment
Nun, sprechen wir hier von Router oder AccessPoint?
I.d.R. sollten diese Geräte als Bridge eingerichtet werden.
Also transparent zum LAN wie WLAN.
Ergo gibt es auch nur einen DHCP.
Warum man sowas einrichtet wie beschrieben, ist komisch.
Aber beachte bitte, dass die WLAN-Zone am besten über eine Firewall an das LAN gekoppelt ist, damit eine erhöhte Sicherheit gegeben ist.
Grüzas,
Midivirus
I.d.R. sollten diese Geräte als Bridge eingerichtet werden.
Also transparent zum LAN wie WLAN.
Ergo gibt es auch nur einen DHCP.
Warum man sowas einrichtet wie beschrieben, ist komisch.
Aber beachte bitte, dass die WLAN-Zone am besten über eine Firewall an das LAN gekoppelt ist, damit eine erhöhte Sicherheit gegeben ist.
Grüzas,
Midivirus
Eigentlich sprechen wir hier von einem Router, wie gesagt, dem Linksys WRT54GL.
Bislang ist das auch noch nicht so eingerichtet - das soll evtl. so gemacht werden, allerdings versuche ich mich nach Kräften dagegen zu wehren.
Danke erstmal für deinen Hinweis
Bislang ist das auch noch nicht so eingerichtet - das soll evtl. so gemacht werden, allerdings versuche ich mich nach Kräften dagegen zu wehren.
Danke erstmal für deinen Hinweis
du wirst in deiner Aussage auch noch nicht so konkret.
Was ist bislang noch nicht eingerichtet, wogegen wehrst du dich, ... ?
<Midivirus>
Was ist bislang noch nicht eingerichtet, wogegen wehrst du dich, ... ?
<Midivirus>
Hi!
Werde aus der Frage nicht wirklich schlau.
Aber BITTE BITTE BITTE verwendet kein Subnetz größer als /24.
Bez. des DHCP's kann je nach Netzwerkhardware für verschiedene Subnetze (VLANS) auch ein einziger mit verschiedenen Ranges aufgebaut werden.
Bei Cisco wäre das mit dem ip-helper Befehl pro VLAN möglich.
Ansonste, wie mein Vorredner schon sagte, am besten hinter eine Firewall - und wenn ihr schon dabei seid die Authentifizierung auch gleich auf EAP-TLS mit Radius.
Allgemein zum DHCP.
Wenn ihr verschiedene Subnetze betreibt könnt ihr natürlich auch verschiedene DHCP's reinstellen.
Solltet ihr jedoch vorhaben ein flaches 10.0.0.0 /8 aufzustellen, dann gibts probleme.
Gruß
Yali0n
Werde aus der Frage nicht wirklich schlau.
Aber BITTE BITTE BITTE verwendet kein Subnetz größer als /24.
Bez. des DHCP's kann je nach Netzwerkhardware für verschiedene Subnetze (VLANS) auch ein einziger mit verschiedenen Ranges aufgebaut werden.
Bei Cisco wäre das mit dem ip-helper Befehl pro VLAN möglich.
Ansonste, wie mein Vorredner schon sagte, am besten hinter eine Firewall - und wenn ihr schon dabei seid die Authentifizierung auch gleich auf EAP-TLS mit Radius.
Allgemein zum DHCP.
Wenn ihr verschiedene Subnetze betreibt könnt ihr natürlich auch verschiedene DHCP's reinstellen.
Solltet ihr jedoch vorhaben ein flaches 10.0.0.0 /8 aufzustellen, dann gibts probleme.
Gruß
Yali0n
10.x Netz umzuziehen um "für alle Ewigkeit" genügend IP-Adressen freizuhaben.
Wenn man Ewigkeit durch das Aussterben von IPv4 als 5 Jahre betrachtet und bedenkt, dass man im 192.168.x.x Segment über 65k freie IPs hat und ihr Momentan 50 PCs habt dann wollt ihr offensichtlich in den nächsten Jahren sehr sehr sehr viel wachsen...
Und 3 DHCP-Server gleichzeitig geht nur, wenn alle Static-Only-DHCPs sind und auf "Unbekannte Clients ignorieren" stehen.
Andernfalls ist das nicht möglich, sondern höchstens mit dem ISC DHCPd ein Failover.
Also, bislang ist unser System so wie beschrieben, 1 DHCP für das 192.168.0.x, und eben einer pro W-LAN, diese haben ja 192.168.1.x und 192.168.2.x
das funktioniert tendenziell auch wunderbar.
Ich wehre mich gegen so ein Konstrukt:
bsp:
DHCP AD: 10.2.0.1 - 10.2.50.254
DHCP WLAN1: 10.2.51.1 - 10.2.52.254
DHCP WLAN2: 10.2.53.1 - 10.2.55.254
das funktioniert tendenziell auch wunderbar.
Ich wehre mich gegen so ein Konstrukt:
bsp:
DHCP AD: 10.2.0.1 - 10.2.50.254
DHCP WLAN1: 10.2.51.1 - 10.2.52.254
DHCP WLAN2: 10.2.53.1 - 10.2.55.254
Da ich eigentlich ja FIAE bin würde ich gerne wissen, was gegen ein Subnetz größer als /24 spricht?
Ausmalen kann ich mir da einiges, wie z.B. schwerere Nachvollziehbarkeit / Wartbarkeit aber warum exakt keine Ahnung.
Ausmalen kann ich mir da einiges, wie z.B. schwerere Nachvollziehbarkeit / Wartbarkeit aber warum exakt keine Ahnung.
Nun, weil der, ich nenne es mal Steuertraffic, dann das LAN mehr oder weniger zu saut und die Nutzdaten dann geringer wären.
Wenn man dann nur noch HUBs im Einsatz hat, kannst du dir das vorstellen.
Also wenn alle Geräte auf Broadcast senden, ist das herrlich ....
Wenn man dann nur noch HUBs im Einsatz hat, kannst du dir das vorstellen.
Also wenn alle Geräte auf Broadcast senden, ist das herrlich ....
Also zumindest mit den Hubs kann ich Entwarnung geben - sowas haben wir hier zum Glück nicht :P
Im Einsatz sind:
1x HP ProCurve 4104GL
1x NetGear GS748T
1x NetGear GS724T3
und 1x D-Link DGS 1248T
Das mit dem "Steuertraffic" hört sich vernünftig an - erinnert mich an den ersten Versuch, 4 Ports per Truncating zusammenzuschalten - das waren auch sehr herrliche Broadcast Storms :P
Aber zurück zum Thema,
der ursprüngliche Plan war es, komplett in das 10.x/8 zu ziehen, das scheint ja eine weniger sinnvolle Idee zu sein.
Momentan verwenden wir ja wie gesagt 3x ein 192.168.x.x/24 wie schaut es aus, wenn wir die Subnetmask einfach reduzieren also auf 192.168.x/16 - damit sollten wir eigentlich auch genügend Adressen frei haben.
Im Einsatz sind:
1x HP ProCurve 4104GL
1x NetGear GS748T
1x NetGear GS724T3
und 1x D-Link DGS 1248T
Das mit dem "Steuertraffic" hört sich vernünftig an - erinnert mich an den ersten Versuch, 4 Ports per Truncating zusammenzuschalten - das waren auch sehr herrliche Broadcast Storms :P
Aber zurück zum Thema,
der ursprüngliche Plan war es, komplett in das 10.x/8 zu ziehen, das scheint ja eine weniger sinnvolle Idee zu sein.
Momentan verwenden wir ja wie gesagt 3x ein 192.168.x.x/24 wie schaut es aus, wenn wir die Subnetmask einfach reduzieren also auf 192.168.x/16 - damit sollten wir eigentlich auch genügend Adressen frei haben.
