Servers en Clients in andere ip range

Dat hangt er een beetje vanaf wat je routering gaat laten doen tussen die subnetten.
Gewoon andere subnetten maken zonder layer-2 segmentatie (VLANs) heeft eigenlijk niet zoveel nut.

Best practise:
- Segmenteer je netwerk in verschillende L2 domeinen dmv VLAN's. (Bv Server VLAN / Client VLAN / Printer VLAN / Wireless AP VLAN).
- Gebruik een layer 3 switch om te routeren tussen de verschillende subnetten.
- Als je clients DHCP gebruiken dien je er wel voor te zorgen dat je DHCP packets to bij je DHCP server geraken (als die geen interface zou hebben in je client VLAN) dmv DHCP relay (cisco cmd: ip helper-address [ip] op interface level)

PS: om het jezelf makkelijk te maken hou je best je huidige subnet voor je servers zodat je die niet moet hernummeren. Clients / printers / access points zijn makkelijker te hernummeren.

Je gaat potentieel problemen krijgen met alle protocollen die graag broadcasten...
Mischien heb je zelfs oude protocols/services draaien die niet eens routeerbaar zijn en waar het een vereiste is dat clients & service in hetzelfde broadcastdomein hangen...

Je kunt toch 10.1.0.0 tot 10.1.254.254 gebruiken met netmask 255.255.0.0 ? Je gateway is dan toch gewoon bereikbaar binnen deze range.

Je kunt dan ranges gebruiken voor je diverse groepen.

10.1.1.0 servers
10.1.2.0 printers
10.1.3.0 wireless accesspoints
10.1.10.0 dhcp clients


Of is het beter om dit dmv vlans te scheiden en te laten routeren door switches ?

[ Voor 8% gewijzigd door bgrr op 18-11-2010 12:08 ]

10.1.1.x en 10.1.0.x hoeven niet verschillende ranges te zijn, dat hangt af van de subnet masks, stel deze in op 255.255.0.0 i.p.v. 255.255.255.0 en het valt binnen dezelfde range van 10.1.x.y.

Mocht je wel verschillende ranges gebruiken (dus met subnetmask 255.255.255.0) dan zal een machine via zijn default router contact met de andere machine proberen te krijgen, in dat geval zal je router dus volledig verantwoordelijk zijn voor communicatie tussen beiden. In dit geval wil je wsch. voorkomen dat er adres translatie toegepast wordt; een bridge-achtige functie werkt hier beter.

De snelste (minst ingrijpende) oplossing is natuurlijk je netmask iets te vergroten. Dat scheelt je de aanschaf van L3 switches, etc. Het maakt wel je netwerk iets ondoorzichtiger als je niet gewend bent om met VLSM te werken.

Dus 10.1.0.0/23 (subnet 255.255.254.0), dan kun je van 10.1.0.1 - 10.1.1.254 gebruiken voor adressering. LET OP dat je wel overal (alle apparatuur dus) dat subnet masker toepast, anders krijg je flinke problemen met het bereiken van apparatuur.

[ Voor 11% gewijzigd door mbaltus op 18-11-2010 12:18 ]

Alles wat via DHCP zijn ip krijgt is in 1x naar een groter subnet te zetten. Alles wat een vast ip heeft moet je zelf omzetten.
Handige volgorde is eerst alles omzetten met een vast ip. (een kleiner subnet kan ook alles in een groter subnet bereiken zolang de ip's nog niet buiten het oude subnet vallen). Daarna je DHCP aanpassen en subnet /range vergroten.

Voorbereiden:
- DHCP lease tijd omlaag zetten (hoe lager hoe sneller alles omgaat bij een wijziging)
- wachten tot oude leasetijd voorbij is. (en dus alle clients in de nieuwe renew tijd vallen)
- DHCP om gaan zetten
- wachten totdat alles in het grotere subnet zit.
- evt server ip's etc. veranderen (indien ze moeten verhuizen naar ergens in het grotere subnet, maar ik zou de client ip's dan naar het grotere subnet verhuizen, en servers zo laten)

Zo zou je vrij simpel om kunnen switchen.

Persoonlijk zou ik toch gaan kijken om je servers en clients te gaan scheiden over verschillende subnets. Security is bijvoorbeeld een stuk beter te regelen.

als je alles in een /16 hebt gaat alles wel werken. Het is alleen niet handig om alles in een subnet te hebben. Je broadcast domein wordt namelijk erg groot.

Heb je ook al voorspellingen over hoeveel verder jullie gaan groeien?Met 255.255.254.0 kan je ongeveer 500 devices kwijt. Is dat ook voor de toekomst genoeg? In principe gaat dat natuurlijk gewoon werken als plat netwerk zonder routering

Dan zeg ik, gewoon subnet masker aanpassen en meer devices d'r in. Dan kan je gewoon alles aansluiten en over laag 2 laten lopen. Scheelt je wel een boel nadenken over routeren etc.

Als je het netjes wilt doen niet. Als je er niet over na wilt (hoeven) denken wel.

Je hebt al antwoorden gekregen die aangaven hoe je dit netjes oplost. Aangezien je daar niet echt op ingaat, neem ik aan dat die manier je niet erg aanstaat, dus in dat geval kun je zeker gewoon een flink subnet pakken en daar de hele bak in pleuren.

Succes.

ehm:

Wikipedia: Subnetwork

http://www.smcalc.com/

helemaal niks. Je moet wel een erg beroerde applicatie hebben als dat niet werkt.

TrailBlazer schreef op vrijdag 19 november 2010 @ 14:08:
helemaal niks. Je moet wel een erg beroerde applicatie hebben als dat niet werkt.

Een kleine assesment op applicatief vlak kan nooit geen kwaad ... ik heb het al vaak gezien dat oa applicatie-maker IP's hardcoderen in verschillende scripts/apps en na wijzigingen is het no-go ..rarara

Hell, ik heb al devices gezien waar je niet eens een default gateway kon inkloppen..."network enabled" noemt dat dan

Dan doe je toch gewoon nat overload op je router voor dat soort ranzige hardware. Ranzige hardware moet met nog ranziger oplossingen bestreden worden.

TrailBlazer schreef op vrijdag 19 november 2010 @ 14:47:
Ranzige hardware moet met nog ranziger oplossingen bestreden worden.

Eens!!

[ Voor 20% gewijzigd door enveekaa op 19-11-2010 17:13 ]

TrailBlazer schreef op vrijdag 19 november 2010 @ 14:47:
Dan doe je toch gewoon nat overload op je router voor dat soort ranzige hardware. Ranzige hardware moet met nog ranziger oplossingen bestreden worden.

Ik ken dergelijke devices... Helaas wordt de beperking van die meuk dan afgewenteld op een "special" binnen het netwerkdomein.

@TS: Netmask aanpassen naar 255.255.254.0 is relatief snel en simpel, maar ik onderstreep nogmaals hetgeen TrailBlazer al heeft gezegd: Beveiligingstechnisch is het beter om te segmenteren, routeren en te beveiligen.

Wat CherandarGuard zei dus.