Een tekort aan IP-adressen

Vraag

woensdag 29 augustus 2018 16:31

Acties:

0 Henk 'm!

Topicstarter

Momenteel heb ik een tekort aan IP-adressen. Dit betekend dat we het maximum apparaten (voor de DHCP pool) bereikt hebben, en de nieuwe apparaten problemen gaan ondervinden met het internet.

Mijn vraag
Hoe kan ik er voor zorgen dat ik meer IP-adressen tot mijn beschikking krijg?

Relevante software en hardware die ik gebruik
Cisco ASA 5506. Deze gebruiken wij als router, en als VPN.

Wat ik al gevonden of geprobeerd heb
Ik heb de DHCP pool al een aantal keer verhoogd, maar op dit moment kan ik gewoon niet hoger i.v.m. statische IP-adressen die onder het startpunt van de DHCP pool bevinden.

Ik heb al een aantal dingen gevonden, zoals v-lans etc. Maar zelf zoek ik eigenlijk een net iets andere oplossing.

Eigenlijk wil ik proberen verschillende sub-netwerken te maken.

Hiermee bedoel ik bijvoorbeeld het volgende:

Afdeling 1: 192.168.1.*
Afdeling 2: 192.168.2.*
etc.

Is dit alleen te realiseren met verschillende v-lans? Of is er toevallig iemand die ook een Cisco ASA 5506 heeft en weet of mijn bovenstaande idee mogelijk is?

En is er iemand die hier toevallig een andere oplossing voor heeft? Aangezien ik niet beschik over genoeg kennis van v-lans.

Alle reacties

woensdag 29 augustus 2018 16:34

Acties:

+5 Henk 'm!

Wim-Bart

Zie signature voor een baan.

Ik zou maar eens gaan duiken in "Subnetten", "CIDR". "Subnet maskers" en dan eens denken wat er gebeurd wanneer wanneer je bijvoorbeeld het Subnet masker op alle systemen verander in "255.255.254.0" of zelfs "255.255.252.0"

Overigens kan ik hier een heel verhaal over houden, maar daar leer je dan weinig van. Overigens ooit een artikel over geschreven: Artikel

[ Voor 34% gewijzigd door Wim-Bart op 29-08-2018 16:38 ]

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

woensdag 29 augustus 2018 16:35

Acties:

+9 Henk 'm!

Brahiewahiewa

boelkloedig

Doe jezelf en het bedrijf waarvoor je werkt een plezier en huur expertise in
Als je de IT strategie van je bedrijf afhankelijk maakt van wat tweakers roepen, gaat het niet goed met je IT

QnJhaGlld2FoaWV3YQ==

woensdag 29 augustus 2018 16:38

Acties:

0 Henk 'm!

The_Greater

Brahiewahiewa schreef op woensdag 29 augustus 2018 @ 16:35:
Doe jezelf en het bedrijf waarvoor je werkt een plezier en huur expertise in
Als je de IT strategie van je bedrijf afhankelijk maakt van wat tweakers roepen, gaat het niet goed met je IT

Dan zou ik direct adviseren voor meerdere VLAN's.
Vooral bij groei kun je dit goed gebruiken.
Zo kun je netwerken scheiden op Servers, VOIP, gasten, clients en etc.

Working in the IT : "When you do things right, people won't be sure you've done anything at all"

woensdag 29 augustus 2018 16:40

Acties:

+1 Henk 'm!

Clavis

Groter subnet idd.

/20 255.255.240.0 -4,094
/21 255.255.248.0 -2,046
/22 255.255.252.0 -1,022
/23 255.255.254.0 -510

woensdag 29 augustus 2018 16:41

Acties:

0 Henk 'm!

HKLM_

Zelf zou ik kiezen voor vlans's kan je mooi alles in een eigen vlan stoppen en daar op los gaan.

Cloud ☁️

woensdag 29 augustus 2018 16:45

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

The_Greater schreef op woensdag 29 augustus 2018 @ 16:38:
[...]
Dan zou ik direct adviseren voor meerdere VLAN's.
Vooral bij groei kun je dit goed gebruiken.
Zo kun je netwerken scheiden op Servers, VOIP, gasten, clients en etc.

HKLM_ schreef op woensdag 29 augustus 2018 @ 16:41:
Zelf zou ik kiezen voor vlans's kan je mooi alles in een eigen vlan stoppen en daar op los gaan.

Dat bedoel ik nou ;o)
Waarom moet er gesegementiseerd worden? Wat is er tegen een /23 of /22 subnetmask?

En kan één van juliie aangeven waarom de gewenste segmentisering persé virtueel moet zijn?
Wat is er mis met een router tussen twee fysieke segmenten?

QnJhaGlld2FoaWV3YQ==

woensdag 29 augustus 2018 16:48

Acties:

+1 Henk 'm!

Anoniem: 926911

Brahiewahiewa schreef op woensdag 29 augustus 2018 @ 16:45:
[...]

[...]

Dat bedoel ik nou ;o)
Waarom moet er gesegementiseerd worden? Wat is er tegen een /23 of /22 subnetmask?

En kan één van juliie aangeven waarom de gewenste segmentisering persé virtueel moet zijn?
Wat is er mis met een router tussen twee fysieke segmenten?

Gezien de kennis lijkt mij het in ieder geval niet verstandig om met meerdere routers in het netwerk te gaan kloten. Makkelijkste is gewoon je subnet aanpassen en klaar.

woensdag 29 augustus 2018 16:48

Acties:

0 Henk 'm!

borft

Dit is wel een heel generieke vraag. Zoveel mogelijkheden:
- groter subnet
- netwerk segmenteren, (dus routeren tussen segmenten), al dan niet met vlans of sysiek gescheiden netwerken
- ipv6 implementeren, meer dan genoeg ip adressen......

woensdag 29 augustus 2018 16:49

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

HKLM_ schreef op woensdag 29 augustus 2018 @ 16:41:
Zelf zou ik kiezen voor vlans's kan je mooi alles in een eigen vlan stoppen en daar op los gaan.

Ik zou ook voor VLAN's gaan wanneer bijvoorbeeld de servers op een 10Gb switch zitten en je een 10Gbps core router hebt die Interface 2 Interface 10Gbps doet. Of een Firewall die dit doet, want zonder Firewall heeft het maken van een VLAN verdeling weinig zin of je moet met ACL's gaan werken.

Met meerdere VLAN's voor clients heb je ook weer het issue dat je met IP-Helpers moet gaan werken en door routering leg je jezelf gewoon een beperking op.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

woensdag 29 augustus 2018 16:49

Acties:

+1 Henk 'm!

HKLM_

Brahiewahiewa schreef op woensdag 29 augustus 2018 @ 16:45:
[...]

[...]

Dat bedoel ik nou ;o)
Waarom moet er gesegementiseerd worden? Wat is er tegen een /23 of /22 subnetmask?

En kan één van juliie aangeven waarom de gewenste segmentisering persé virtueel moet zijn?
Wat is er mis met een router tussen twee fysieke segmenten?

Er is niks mis met een /23 of 22 subnet maar je flikkert dan alles op 1 grote hoop

Waarbij je met vlans nog een beetje scheiding kunt maken in je netwerk. Wij hebben bijvoorbeeld een vlan voor de camera's die is ontsloten van de andere vlans in jouw subnet kan dat niet zo makkelijk. (En ja het kan vast wel)

En waarom zou je een extra router ertussen hangen? werkverschaffing ofzo

(beheren,updaten)

[ Voor 24% gewijzigd door HKLM_ op 29-08-2018 16:55 ]

Cloud ☁️

woensdag 29 augustus 2018 16:51

Acties:

+1 Henk 'm!

borft

HKLM_ schreef op woensdag 29 augustus 2018 @ 16:49:
[...]

Er is niks mis met een /23 of 22 subnet maar je flikkert dan alles op 1 grote hoop

haha, is dat niet precies een van de dingen die er mis mee is? Iets met schaalbaarheid, beheersbaarheid, security en performance (om maar even wat te roepen). Als je te groot gaat, loop je ook nog het risico dat je switches hetniet meer bij kunnen benen (iets met volle mac tabellen).

woensdag 29 augustus 2018 16:52

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

HKLM_ schreef op woensdag 29 augustus 2018 @ 16:49:
[...]

Er is niks mis met een /23 of 22 subnet maar je flikkert dan alles op 1 grote hoop

Ja, soms gewoon beter wanneer je een enkele server hebt staan en een switch die geen layer-3 routering kan.

borft schreef op woensdag 29 augustus 2018 @ 16:51:
[...]

haha, is dat niet precies een van de dingen die er mis mee is? Iets met schaalbaarheid, beheersbaarheid, security en performance (om maar even wat te roepen). Als je te groot gaat, loop je ook nog het risico dat je switches hetniet meer bij kunnen benen (iets met volle mac tabellen).

Dan moet je wel heel erg brakke switches hebben. Ik ken switches die bij een single VLAN 32K mac addressen kunnen hebben en wanneer je opeens 2 VLAN's op de switch hebt dit naar 8K per VLAN dropt.

Deftig bedrijf met 32K aan MAC adressen, want in zo een omgeving waar je dus 32K devices hebt, dan praat je over een hele andere architectuur.

[ Voor 54% gewijzigd door Wim-Bart op 29-08-2018 16:54 ]

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

woensdag 29 augustus 2018 16:54

Acties:

+1 Henk 'm!

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Misschien moet @BMPG.013_ eerst eens beginnen om te vertellen hoeveel apparaten hij van een IP adres wil voorzien

[ Voor 6% gewijzigd door Microkid op 29-08-2018 16:54 ]

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

woensdag 29 augustus 2018 16:57

Acties:

0 Henk 'm!

borft

Wim-Bart schreef op woensdag 29 augustus 2018 @ 16:52:
[...]

Dan moet je wel heel erg brakke switches hebben. Ik ken switches die bij een single VLAN 32K mac addressen kunnen hebben en wanneer je opeens 2 VLAN's op de switch hebt dit naar 8K per VLAN dropt.

Deftig bedrijf met 32K aan MAC adressen, want in zo een omgeving waar je dus 32K devices hebt, dan praat je over een hele andere architectuur.

Haha, ja, daar heb je natuurlijk gelijk. Maar je unt je afvragen wat voor budget ze hebben voor infra, als ze niet weten hoe ze het subnet moeten aanpassen

That said, als het volgelopen subnet een /24 is, dan hebben we het over minder dan 256 mac adressen, dat moet zelfs voor goedkope rommel geen probleem zijn.

woensdag 29 augustus 2018 16:58

Acties:

0 Henk 'm!

Clavis

HKLM_ schreef op woensdag 29 augustus 2018 @ 16:49:
[...]

Er is niks mis met een /23 of 22 subnet maar je flikkert dan alles op 1 grote hoop Waarbij je met vlans nog een beetje scheiding kunt maken in je netwerk. Wij hebben bijvoorbeeld een vlan voor de camera's die is ontsloten van de andere vlans in jouw subnet kan dat niet zo makkelijk. (En ja het kan vast wel)

En waarom zou je een extra router ertussen hangen? werkverschaffing ofzo (beheren,updaten)

Prima toch voor werkstations? Je kunt altijd een mgmt vlan maken voor je switches. Sowieso is een VLAN voor wifi (vooral een gastennetwerk) aan te raden.

woensdag 29 augustus 2018 17:00

Acties:

0 Henk 'm!

Ernemmer

Wim-Bart schreef op woensdag 29 augustus 2018 @ 16:34:
Ik zou maar eens gaan duiken in "Subnetten", "CIDR". "Subnet maskers" en dan eens denken wat er gebeurd wanneer wanneer je bijvoorbeeld het Subnet masker op alle systemen verander in "255.255.254.0" of zelfs "255.255.252.0"

Overigens kan ik hier een heel verhaal over houden, maar daar leer je dan weinig van. Overigens ooit een artikel over geschreven: Artikel

Die link geeft hier een melding op Malwarebytes.

woensdag 29 augustus 2018 17:05

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

borft schreef op woensdag 29 augustus 2018 @ 16:57:
[...]

Haha, ja, daar heb je natuurlijk gelijk. Maar je unt je afvragen wat voor budget ze hebben voor infra, als ze niet weten hoe ze het subnet moeten aanpassen

That said, als het volgelopen subnet een /24 is, dan hebben we het over minder dan 256 mac adressen, dat moet zelfs voor goedkope rommel geen probleem zijn.

En wanneer ze VLAN's willen heb je sowieso al een issue, want je wil gewoon geen devices (behalve manangement) in VLAN 1, en dan praat je over een best wel heftig iets voor een klein bedrijf. Ik vermoed dat ze ook meerdere switches hebben en die moeten dan ook allemaal aangepast worden, trunks/portgroups/lacp aanpassen zonder gedegen kennis van VLAN's is heading for disaster.

Een subnet aanpassing is eigenlijk best wel eenvoudig, in een all Windows/Linux omgeving hoeft er niks down. Eenvoudig te realiseren:

Stap 1: Pas op alle servers en niet DHCP devices het Subnet masker aan naar 255.255.252.0 (en /23 voor CIDR notatie)
Stap 2: Gooi bestaande DHCP Scope weg
Stap 3: Maak nieuwe scope aan op 192.168.0.0/23 met client range 192.168.1.1-192.168.1.254 (ga er van uit dat bestaande netwerk op 192.168.0.0/24 zit)

En is dit te klein dan 192.168.0.0/22 (255.255.252.0) met client range 192.168.2.1-192.168.3.254.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

woensdag 29 augustus 2018 17:17

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

Ernemmer schreef op woensdag 29 augustus 2018 @ 17:00:
[...]

Die link geeft hier een melding op Malwarebytes.

Even gechecked, maar hij is echt schoon.

https://sitecheck.sucuri....ipv4-ip-en-routering-item

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

woensdag 29 augustus 2018 17:18

Acties:

0 Henk 'm!

Clavis

Wim-Bart schreef op woensdag 29 augustus 2018 @ 17:17:
[...]

Even gechecked, maar hij is echt schoon.

https://sitecheck.sucuri....ipv4-ip-en-routering-item

Met mn fortigate web filtering kom ik er ook niet in

woensdag 29 augustus 2018 17:20

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

Clavis schreef op woensdag 29 augustus 2018 @ 17:18:
[...]

Met mn fortigate web filtering kom ik er ook niet in

Ben wel benieuwd waarom niet

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

woensdag 29 augustus 2018 17:31

Acties:

0 Henk 'm!

jvanhambelgium

De ASA's hebben gewoon een limiet van 256 IP's per pool.Niks aan te doen.
Je kan ook maar 1 pool per (sub)interface hebben ook...

Als je de boel wil gaan opsplitten in VLAN's kan je idd 254 IP's binnen elk van die VLAN's uitdelen. Maar dit vereist wel wat re-design van je LAN natuurlijk.

Eigenlijk is de DHCP-service op een ASA eerder SOHO spul...

woensdag 29 augustus 2018 17:33

Acties:

0 Henk 'm!

Clavis

Wim-Bart schreef op woensdag 29 augustus 2018 @ 17:20:
[...]

Ben wel benieuwd waarom niet

Profile Name Web-All
Request Type direct
Direction outgoing
Method domain
Category 26
Category Description Malicious Websites
Message URL belongs to a denied category in policy

En 26 is Spyware and Malware. Zal d'r nog wel eens induiken als je wilt?

woensdag 29 augustus 2018 17:38

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

Clavis schreef op woensdag 29 augustus 2018 @ 17:33:
[...]

Profile Name Web-All
Request Type direct
Direction outgoing
Method domain
Category 26
Category Description Malicious Websites
Message URL belongs to a denied category in policy

En 26 is Spyware and Malware. Zal d'r nog wel eens induiken als je wilt?

ja, heb het al opgevraagd en een heroverweging aangevraagd bij Fortigate want er klopt niks van wat daar staat.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

woensdag 29 augustus 2018 17:39

Acties:

0 Henk 'm!

Clavis

Wim-Bart schreef op woensdag 29 augustus 2018 @ 17:38:
[...]

ja, heb het al opgevraagd en een heroverweging aangevraagd bij Fortigate want er klopt niks van wat daar staat.

Misschien iets mis met je adds?

woensdag 29 augustus 2018 17:46

Acties:

0 Henk 'm!

Drardollan

Netwerk en systeembeheer

HKLM_ schreef op woensdag 29 augustus 2018 @ 16:41:
Zelf zou ik kiezen voor vlans's kan je mooi alles in een eigen vlan stoppen en daar op los gaan.

Waarom dan? Het maakt het onnodig complex, vraagt specifieke kennis en met een beetje pech ook nog extra hardware die natuurlijk ook extra expertise en onderhoud vraagt.

In een normaal simpel netwerk is het velen malen eenvoudiger om gewoon je range wat uit te breiden zoals al enkele keren genoemd is.

Automatisch crypto handelen via een NL platform? Check BitBotsi !

woensdag 29 augustus 2018 17:51

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

Clavis schreef op woensdag 29 augustus 2018 @ 17:39:
[...]

Misschien iets mis met je adds?

Standaard door Google aangeleverde scripts. Overigens is site 4 5 jaar geleden wel gehacked geweest. Maar toen helemaal herbouwd (niet gemigreerd maar herbouwd).

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

woensdag 29 augustus 2018 18:05

Acties:

0 Henk 'm!

Vorkie

Teken eens de huidige situatie uit inclusief de switches.

Je bent al uit een /24 gegroeid, dit kan inhouden dat je naar een /23 kan gaan, maar als bijvoorbeeld alles en iedereen ook via WiFi daar een ip adres van krijgt, zou je beter de WiFi apart kunnen trekken op een interface op de ASA.

Mooiste zou een layer3 switch zijn welke als gateway voor je diverse vlans wordt en dan het verkeer naar internet doorstuurt naar de ASA. De layer3 handeld zonder tussenkomst van een firewall het lokale verkeer af, je hebt toch segmenten dus minder broadcast en je kan zo mooi elke afdeling / switch zijn eigen vlan en ip reeks geven.

Let wel, dit soort zaken zijn wel stapje verder dan eventjes een subnetmask aanpassen, zoals eerder gezegd is dit voor de wat meer ervaren personen een klein weekendje werk mits je het simpel wilt houden.

woensdag 29 augustus 2018 21:56

Acties:

0 Henk 'm!

RiDo78

Hoe lang duurt je lease-tijd? En hoe groot is het verloop van de gebruikers?

Met andere woorden, is iedereen de hele dag aanwezig of komen er veel mensen even 'aanwaaien'? Als je veel mensen hebt die even binnen komen wippen en vrji snel weer op pad gaan, kun je wellicht je lease-tijd daar op aanpassen. Zo blijft een IP-adres niet al te lang in gebruik.

Pagina: 1

Reageer

Onderwerpen

Vraag

Alle reacties