Als het doel is om iets te leren, dan kan ik je de volgende informatie aanbieden, vanuit mijn eigen ervaring met het opzeten van bedrijfsnetwerken.
Subnetten
Computers communiceren stiekem niet op basis van IP addres maar op basis van MAC adres. Hiervoor moeten ze echter wel het MAC adres weten. Dit gebeurt door aan het hele netwerk te vragen: "Welk MAC adres hoort er bij IP adres X?" Zodra ze weten welk MAC adres er bij welk IP adres hoort, gebruiken ze het MAC adres.
Omdat er nogal een verschil zit tussen deze vraag aan 256 computer stellen (subnetmask 255.255.255.0) of 65534 (subnetmask 255.255.0.0) heeft men subnetten uitgevonden. Het is bedoeld om een groot netwerk efficienter te laten werken. Je ziet dit voornamelijk op campussen waar elk gebouw zijn eigen subnet krijgt zodat een computer de vraag "Welk MAC adres hoort er bij IP adres X" niet naar alle gebouwen hoeft te sturen (over mogelijk relatief trage verbindingen.)
Verder maak je vaak gebruik van subnetten als je niet voldoende adressen meer over hebt in je bestaande subnet (192.168.0.x/24 met subnet mask 255.255.255.0 heeft bijvoorbeeld ruimte voor maar 254 apparaten, voor apparaat 255 zul je dus een tweede subnet toe moeten voegen, 192.168.1.x/24 bijvoorbeeld.)
Het helpt echter niet bij het beveiligen danwel scheiden van netwerk verkeer voor security, iedereen kan namelijk het statische netwerk adres van zijn/haar computer aanpassen om van subnet te wisselen. Kanttekening daarbij is dat het wel kennis en ervaring vraagt maar laten we ervan uitgaan dat de mensen waar je je zorgen om zou moeten maken die kennis en ervaring in voldoende maten hebben.
IP adressen buiten je subnet
Zodra een IP adres buiten je subnet valt (bijvoorbeeld een IP adres van een webserver op het internet) komt er een router aan te pas. Je computer kijkt naar het IP adres, ziet dat het buiten het subnet valt en stuurt al het verkeer naar je router. Die handelt een en ander verder af. In het geval van een thuisnetwerk komt hier ook NAT (Network Address Translation) om de hoek kijken. Men heeft NAT uitgevonden omdat er niet genoeg IP addressen meer waren om elk apparaat een Internet IP adres te geven (ja, vroeger had elke computer en server een IP op het internet een eigen Internet IP adres.)
Als je met apparte subnetten wil gaan werken, moet je dus ook zorgen dat er een router is die het verkeer tussen de subnetten kan routeren. De Draytek kan dit prima.
Statische vs Dynamische IP adressen
Statische IP adressen instellen is bedoeld voor netwerken zonder DHCP server. Dit kom je tegenwoordig bijna niet meer tegen maar aangezien de functionaliteit al gebouwd is, heeft bijna elk apparaat de mogelijkheid. Tegenwoordig gebruikt men het om ervoor te zorgen dat apparaten die op afstand benaderd moeten worden, zoals IP camera's, NAS devices, routers en switches, makkelijk te vinden zijn op basis van hun IP adres.
Je kunt beargumenteren dat het moeilijker is voor een kwaadwillend persoon om uit te vinden welke IP adres range gebruikt word op een netwerk zonder DHCP server, maar dit verschil is marginaal. De gemiddelde hacker heeft voldoende tools en procesorkracht om alle IP adres ranges af te lopen en te kijken waarop er een antwoord komt. Hierbij zal een hacker het IP adres van de netwerk interface om de zoveel tijd om moeten zetten maar een simpel scriptje in een besturingssysteem zoals Linux maakt dit kinderspel voor de ervaren hacker (ik spreek uit ervaring, dit is soms makkelijker dan het opzoeken van het IP adres van een of ander apparaat waarvan je het statische IP adres bent vergeten omdat het drie jaar geleden is dat je dat ding verhuisd hebt en je was vergeten om t ding in te stellen in je nieuwe netwerk.)
Nu is er uiteraard wel een manier om het verkeer van verschillende netwerken strikt te scheiden:- Gebruik VLAN. Dit staat voor Virtual Local Area Network en deelt je switch op in partities. Deze techniek zorgt ervoor dat apparaten op apparte VLAN's elkaar niet kunnen zien. Hier zitten echter wel wat addertjes onder het gras dus is het te adviseren om je goed in te lezen over dit onderwerp.
- Computers op verschillende VLAN's die ieder een eigen, gescheiden subnet hebben, kunnen niet met elkaar praten. Hiervoor zet je normalieter een router in zodat die router het verkeer tussen de VLAN's kan routeren. Je kunt vervolgens de firewall van deze router gebruiken om de beveiliging naar wens in te richten (als administrator zou je misschien vanaf je eigen PC de IP camera's willen kunnen benaderen bijvoorbeeld)
Alle informatie hierboven is bedoeld om je kennis over netwerken te vergroten, doe ermee wat je wil.