Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzplanung - Hab ich einen Denkfehler?

Frage Netzwerke

Mitglied: Hawkyy

Hawkyy (Level 1) - Jetzt verbinden

08.07.2007, aktualisiert 09.07.2007, 4140 Aufrufe, 4 Kommentare

Ich wollte nur mal nachfragen ob mein Plan so funktionieren würde.

Ich möchte folgendes Netz aufbauen und wollt mich nur nochmal bei
weiteren Personen absichern, da es ja schnell mal zu Denkfehlern kommt
und ich das ganze auch schon ne Weile nimmer gemacht habe.

Netzaufbau:

Gateway / Firewall: 192.168.0.1/21 (255.255.248.0) VLAN ID:10

Netz1: WLAN Netz 192.168.1.1/24 (255.255.255.0) VLAN ID:20

Netz2: Rechner Netz 192.168.0.1/24 (255.255.255.0) VLAN ID: 10

Netz3: Telefon Netz 192.168.2.1/24 (255.255.255.0) VLAN ID:30

Netz4: Server Netz 192.168.3.1/24 (255.255.255.0) VLAN ID:40

Netz5: VPN Netz 192.168.4.1/24 (255.255.255.0) VLAN ID:50

Die Firewall routet alle Daten durch die versch. Netze und macht evtl. auch DHCP für die einzelnen Netze.

Würdet ihr die Subnetmaske generell auf 255.255.248.0 stellen?
Eigentlich sollte die Kommunikation zwischen den einzelnen VLAN's ja
funktionieren, der Switch kann das ja verwalten und die Firewall routet zwischen den einzelnen Netzen.

Hab ihr irgendwelche Tipps, hab ich Denkfehler? Is glaube auch zu soät für son Kram

Wie würdet ihr ein solches Netz planen (VLAN muss sein)?

ALTERNATIVE:
Ich geh hin und erstell ein großes Netz 192.168.0.1/21 (192.168.0.1 bis 192.168.7.254)
und unterteil das mit VLAN's. Dann muss nicht zwischen den Netzen geroutet werden sondern alles
ist durch das VLAN-Tagging voneinander getrennt.

Was meint ihr?
Danke & Gruß
Mitglied: cwagner
09.07.2007 um 15:42 Uhr
Hallo,

Ansich wird das schon funktionieren, das einzige was mir auffällt ist, dass das Gateway nur im VLAN10 ist. Willst du zwischen den verschiedenen VLANs Routen muss, meiner Meinung nach, das Gateway in jedem VLAN als Member (untagged) konfiguriert sein. (kommt natürlich auf die verwendete Hardware an.) Das Gateway muss in der Lage sein VLAN Packete zu routen, das versteht sich(also Layer-3).

Ich persönliche bin aus kosmetischen Gründen kein Freund von Supernetting und würde daher bei solchen Anforderungen ein Class B oder C Netz vorziehen.Ist aber nur eien persönliche "Vorliebe".

Ausserdem würde ich das Servernetz (sofern es Server sind, die durch die Nutzer genutzt werden) nicht von den Rechnern trennen, denn fällt das Gateway aus, kannst du nicht mehr mit deinen Clients arbeiten.

CW
Bitte warten ..
Mitglied: aqui
09.07.2007 um 17:28 Uhr
Du hast scheinbar nicht verstanden wie sich Class A, B oder C IP Netze verhalten bzw. wie diese zu konfigurieren sind ??!!
...ich geh hin und erstell ein großes Netz 192.168.0.1/21 Das ist natürlich kompletter Unsinn, denn das Netzwerk bzw. die Maske wirst du auf Hostrechnern nicht konfigurieren können !! 192.168.x.0 sind Class C Adressen die auf Hostseite feste 24 Bit Masken haben !!! Du kannst diese Masken vergrößern aber niemals verkleinen, da 24 Bit schon das Kleinste ist was für ein Class C Netzwerk festgelegt ist !!! Wenn du was Großes nehmen willst dann solltest du wie sich es für ein sauberes IP design gehört auf ein Class B Netzwerk ausweichen.
Der freie RFC 1918 Bereich liegt hier bei 172.16.0.0 bis 172.32.0.0 mit einer 16 Bit Subnetzmaske. Du kannst natürlich auch das freie 10er Class A Netz (10.0.0.0) mit einer 16 Bit Maske betreiben. Wie gesagt größer geht immer aber niemals kleiner, da das die IP Adresskonvention nicht zulässt !!!
Variable Masken funktionieren nur bei sog. CIDR Routen. Das sind aber Routen und keine Netze !

Das ist auch der einzige Fehler in deinem o.a. Szenario. Du hast einen Subnetzmasken Missmatch in deiner Adressierung für VLAN 10 (192.168.0.0/24) die dir früher oder später erhebliche Verbindungsprobleme bescheren wird.

Deine Firewall hat eine 21 Bit Maske. Das wird die Firewall nicht annehmen als Konfig für das Interface da wie gesagt 24 Bit Minimum ist. Ansonsten hättest du ja mehrere Class C netze auf einem Draht, was kompletter Blödsinn ist und nebenbei im TCP/IP auch nicht erlaubt ist, da du lokal auf dem gleichen Draht routen müsstest. Dieses local Reroute ist aber kompletter Unsinn und technisch nicht machbar.

Ausserdem könnte deine Firewall routingtechnisch gar nicht mehr unterscheiden zwischen den unterschiedlichen VLANs. Abgesehen davon das eine Firewall NIEMALS routen sollte...aber das nur nebenbei.
Dieser Punkt ist ziemlich Kraut und Rüben bei dir, der Rest ist aber sicher so machbar und eine Segmentierung mit VLANs macht so auch Sinn.
Bitte warten ..
Mitglied: Hawkyy
09.07.2007 um 20:54 Uhr
Danke für eure Antwort!
@aqui, du hast dir ja echt Mühe gemacht, danke dafür

Also bzgl. des Class B Netzes hast du natürlich Recht -> 172.16.0.1/16

CIDR hebt das ganze allerdings auf, wenn ich korrekt informiert bin, es geht also nicht mehr zwingend um feste Masken. Aber wenn ich dich richtig verstehe ging es dir darum, das ich das ganze mit dem 192.168. Bereich machen wollte.

172.16.0.1/21 wäre in Ordnung wenn ich das korrekt interpretiere.

Aber meist möchte der Chef aber 192.168...weil er das von zu Hause kennt

Das mit den VLANS und der Firewall hab ich heute nochmal abgeklärt.
Die Firewall lässt es zu den Netzwerkport mit mehreren VLAN's zu versehen, ich kann also auf dem Switch sagen wir mal 5 Vlan's vergeben und steck ein Uplink von Switch zur Firewall und die Firewall kann alle VLAN's lesen.

Ob es Sinn macht die Firewall routen zu lassen, bleibt mal dahingestellt, die schönste Lösung ist es sicher nicht, aber manches muss man halt als Vorgabe akzeptieren.

Fazit:

Im Idelafall leg ich ein Class B Netz (172.16.0.1/16) an und unterteile es mit VLANs in diese VLAN Netze stell ich die einzelnen Bereiche.
Bitte warten ..
Mitglied: aqui
09.07.2007 um 21:02 Uhr
Oha, dann hat dein Chef aber einen ziemlich begrenzten Horizont..... Der RFC 1918 beschreibt einen ganzen Sack voll freier Netzwerke. Welche du aus dem Korb nimmst ist mehr oder weniger kosmetisch.
http://de.wikipedia.org/wiki/Private_IP-Adresse

Mit den Adressen wollt ich dir nur mal in erinnerung bringen das du keinem Host einen Class C Adresse mit einer Maske mit weniger als 24 Bit konfigurieren kannst, das wird nichtmal auf deiner Firewall gehen.
Was die macht ist an dem Interface einen IEEE 802.1q Trunk zu akzeptiren, den man auch auf dem Switch so einrichtet. D.h. dort kommt jedes VLAN Packet mit einem spzifischen VLAN Tag im Packet an. Die Firewall kann das dann wieder eindeutig einem Netzwerk zuordenen.
Das macht sie aber nicht global auf einem Ethernet Interface sondern sie erzeugt sich pro VLAN auf diesem physischen Interface dann ein Subinterface wo sie den Traffic dann wieder sauber behandeln kann.
Auf diesen Subinterfaces hast du bei deinen netzwerken dann wieder normal Class C masken mit 24 Bit und niemals global eine 21 Bit Maske für ein Class C Netz.
Sowas gibt es nicht !!!
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Denkfehler bei Kennwortskript
Frage von Pago159Batch & Shell1 Kommentar

Hi, ich habe mich mal wieder an einem Skript in PowerShell geübt, wobei ich wohl einen Denkfehler in dem ...

Datenbanken
ORACLE - MERGE Abfrage mit Denkfehler?
Frage von ChillministratorDatenbanken3 Kommentare

Hallo zusammen, habe gerade eine Abfrage eines Kollegen mit eingebauten Fehler bekommen. Leider bin ich mit SQL nicht so ...

Datenbanken
Kleiner Denkfehler in einem social Network
Frage von YanmaiDatenbanken2 Kommentare

Hallo ihr Administratoren da draußen ;) Ich bin gerade dabei, ein Netzwerk auf die Beine zu stellen. Bis jetzt ...

Debian
Denkfehler beim Routing .. Komm echt nicht weiter!
Frage von linuxverbrezlerDebian14 Kommentare

Hallo Spezialisten!! grüble hier schon seit einiger Zeit über diesem Problem, komm aber nicht weiter: Rechner alles Debian Linux. ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 12 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 15 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 16 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 19 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...