Hotel netwerk subnet

donderdag 21 juni 2018 20:03

Acties:

0 Henk 'm!

Topicstarter

Hi,

Misschien een wat domme vraag, als ik een hotel netwerk wil maken waar ongeveer 1000clients (gasten) op kunnen. Is het dan wijs om /21 in een klasse C netwerk te pakken? Als ik z'n groot netwerk heb, krijg ik dan ook last van broadcast 'problemen'?

Op dit gebiedt ben ik nieuw en ben erg benieuwd of hier mede tweakers zitten die hierop antwoord kunnen geven.

Alvast bedankt!

donderdag 21 juni 2018 20:09

Acties:

0 Henk 'm!

Aganim

I have a cunning plan..

Ik heb geen ervaring met zulke grote subnets, dus ik ga daar geen gedegen antwoord op kunnen geven. Ik ben echter wel benieuwd waarom je 1 groot subnet wilt bouwen, is het niet handiger (en beter beheerbaar) om subnets bijvoorbeeld per verdieping in te delen?

donderdag 21 juni 2018 20:09

Acties:

+2 Henk 'm!

Verwijderd

Ik zou PVLAN gebruiken (i-port). Dan zien de apparaten in de /21 elkaar niet en heb je geen broadcast probleem.

"Classe C"? Het internet is classless. Bedoel je een RFC1918 adres?

donderdag 21 juni 2018 20:13

Acties:

0 Henk 'm!

RGAT

Inderdaad sowieso port isolation/guest mode/client isolation (naam verschilt per vendor) gebruiken, er is vrijwel geen legitiem doel voor gasten om bij elkaars apparaten te kunnen. Daarmee zou je het broadcast probleem al moeten voorkomen.
Voor bedraad netwerk gewoon per verdieping een subnet of zelfs per gedeelte van de verdieping, als je wifi gaat doen zorgen dat de zendsterktes niet te hoog staan zodat clients alleen AP's op hun eigen verdieping kunnen bereiken.
Als je alles in 1 groot netwerk 'dumpt' ga je direct klachten krijgen van gasten die gehackt worden

Fixing things to the breaking point...

donderdag 21 juni 2018 20:17

Acties:

0 Henk 'm!

Verwijderd

RGAT schreef op donderdag 21 juni 2018 @ 20:13:
Als je alles in 1 groot netwerk 'dumpt' ga je direct klachten krijgen van gasten die gehackt worden

Daarom heeft VLAN per verdieping geen zin. Het bied geen additionele beveiliging voor de desbetreffende verdieping.

Als de switches geen PVLAN ondersteunen moet je eens kijken naar het maximale aantal VLAN's, zodat je iedere poort een eigen VLAN kan toewijzen.

donderdag 21 juni 2018 20:21

Acties:

0 Henk 'm!

RGAT

Verwijderd schreef op donderdag 21 juni 2018 @ 20:17:
[...]

Daarom heeft VLAN per verdieping geen zin. Het bied geen additionele beveiliging voor de desbetreffende verdieping.

Als de switches geen PVLAN ondersteunen moet je eens kijken naar het maximale aantal VLAN's, zodat je iedere poort een eigen VLAN kan toewijzen.

VLAN per verdieping/gedeelte is meer administratief voor logs mocht een gast iets doen wat niet de bedoeling is, daarnaast heb je sowieso dus port isolation nodig inderdaad.

Fixing things to the breaking point...

donderdag 21 juni 2018 20:21

Acties:

0 Henk 'm!

coenvb96

Topicstarter

Verwijderd schreef op donderdag 21 juni 2018 @ 20:09:
Ik zou PVLAN gebruiken (i-port). Dan zien de apparaten in de /21 elkaar niet en heb je geen broadcast probleem.

"Classe C"? Het internet is classless. Bedoel je een RFC1918 adres?

Thanks! Dan ga ik mij daar eens in verdiepen. Heb het inderdaad vaak zien staan, maar nooit echt gekeken wat de functie ervan is.

bedoelde met klasse C: 192.0.0.0. B: 128.0.0.0 A: 0.0.0.0 zo is het mij wijs gemaakt op school

donderdag 21 juni 2018 20:33

Acties:

0 Henk 'm!

Verwijderd

Classless Inter-Domain Routing (CIDR):
The Internet Engineering Task Force introduced CIDR in 1993 to replace the previous addressing architecture of classful network design in the Internet.

Lekker bij de tijd is die school!?

• https://en.wikipedia.org/wiki/Reserved_IP_addresses
• https://en.wikipedia.org/...ed_/8_IPv4_address_blocks

[ Voor 15% gewijzigd door Verwijderd op 21-06-2018 20:35 . Reden: 2 linkjes ]

donderdag 21 juni 2018 20:41

Acties:

0 Henk 'm!

coenvb96

Topicstarter

Verwijderd schreef op donderdag 21 juni 2018 @ 20:33:
[...]

Lekker bij de tijd is die school!?

• https://en.wikipedia.org/wiki/Reserved_IP_addresses
• https://en.wikipedia.org/...ed_/8_IPv4_address_blocks

LOL... Wel te erg voor woorden. Durf bijna niet te zeggen dat ik net 4 jaar van school af ben :-)

Nog vraag over PVLAN: Ik zet op iedere switch poort een PVLAN, dus ook zijn eigen PVID? op die switchpoorten sluit ik de AP's aan en schakel Port isolation in. vervolgens kan ik op ieder PVLAN gewoon een /24 subnet hangen? Daarnaast komt er op de AP ook nog een Personeel's SSID voor intern gebruik. Hoe pak ik zoiets aan? daar hoeft namelijk dan geen PVLAN op toegepast te worden en geen port isolation.

In dit soort netwerken, wat voor soort DHCP server gebruik je dan? gewoon de DHCP van de firewall of heb je hier aparte systemen voor?

[ Voor 10% gewijzigd door coenvb96 op 21-06-2018 20:45 ]

donderdag 21 juni 2018 20:57

Acties:

0 Henk 'm!

Spro

coenvb96 schreef op donderdag 21 juni 2018 @ 20:41:
In dit soort netwerken, wat voor soort DHCP server gebruik je dan? gewoon de DHCP van de firewall of heb je hier aparte systemen voor?

Is het niet handiger om hiervoor iemand in te huren die hier ervaring mee heeft, en dan mee te kijken?

Om antwoord te geven op je vraag, ik zou (persoonlijk) naar ISC dhcp kijken. Maar da's omdat ik nou eenmaal fan van Linux ben. Ik weet zeker dat de windows variant het ook gaat doen.

donderdag 21 juni 2018 22:17

Acties:

0 Henk 'm!

Verwijderd

coenvb96 schreef op donderdag 21 juni 2018 @ 20:41:
Nog vraag over PVLAN: Ik zet op iedere switch poort een PVLAN, dus ook zijn eigen PVID? op die switchpoorten sluit ik de AP's aan en schakel Port isolation in.

De wired poorten zijn untagged en allemaal in het zelfde VLAN. Je wil geen tagged VLAN's in een hotelkamer. Alles op het klanten VLAN.

Daarnaast komt er op de AP ook nog een Personeel's SSID voor intern gebruik. Hoe pak ik zoiets aan? daar hoeft namelijk dan geen PVLAN op toegepast te worden en geen port isolation.

Wat moet het personeel doen?

Ieder AP zou ik voorzien van minimaal 2 VLAN's. Management VLAN en personeels VLAN (voor personeels SSID). Client isolation op wifi.
^{Je beheert een AP (of andere apparatuur) niet via het personeels VLAN.}

In dit soort netwerken, wat voor soort DHCP server gebruik je dan? gewoon de DHCP van de firewall of heb je hier aparte systemen voor?

ISC DHCP, omdat je die erg mooi kan configureren. Maar iedere DHCP server voldoet opzich.

Heb je al duidelijk of je switches PVLAN ondersteunen?

donderdag 21 juni 2018 22:23

Acties:

0 Henk 'm!

anboni

coenvb96 schreef op donderdag 21 juni 2018 @ 20:21:
[...]

Thanks! Dan ga ik mij daar eens in verdiepen. Heb het inderdaad vaak zien staan, maar nooit echt gekeken wat de functie ervan is.

bedoelde met klasse C: 192.0.0.0. B: 128.0.0.0 A: 0.0.0.0 zo is het mij wijs gemaakt op school

Je lijstje klopt al niet, ga 'ns heel gauw terug de boeken in

Verder wil je geen 192.168.0.0 ("klasse C") hebben en dan een /21 netmask pakken. Dan ben je strikt genomen aan het supernetten en niet alle devices kunnen daar goed mee overweg. Beter pak je gewoon een "klasse A": 10.a.b.0/21

donderdag 21 juni 2018 22:52

Acties:

0 Henk 'm!

Shinji

anboni schreef op donderdag 21 juni 2018 @ 22:23:
[...]

Verder wil je geen 192.168.0.0 ("klasse C") hebben en dan een /21 netmask pakken. Dan ben je strikt genomen aan het supernetten en niet alle devices kunnen daar goed mee overweg. Beter pak je gewoon een "klasse A": 10.a.b.0/21

Er zit geen enkel verschil tussen een VLAN met een 192.168.0.0/21 reeks of een 10.0.0.0/21 reeks hoor en het heeft in deze context niks met supernetten te maken

192.168.0.0/21:
192.168.0.0 - 192.168.7.255
192.168.8.0 - 192.168.15.255
Etc.

En voor 10.0.0.0/21 gewoon hetzelfde alleen begin je dan met 10.0 ipv 192.168

donderdag 21 juni 2018 22:54

Acties:

0 Henk 'm!

anboni

Shinji schreef op donderdag 21 juni 2018 @ 22:52:
[...]

Er zit geen enkel verschil tussen een VLAN met een 192.168.0.0/21 reeks of een 10.0.0.0/21 reeks hoor en het heeft in deze context niks met supernetten te maken

Met een correcte CIDR implementatie inderdaad niet, maar als je dat niet hebt zijn 192.168.0.0 allemaal /24 netwerken. Als je daar dus een /21 overheen legt, ben je wel degelijk aan het supernetten.

Onderwerpen