Ich habe einen Draytek Vigor 2820, der mit drei Gigabit-Netgear Layer 2-Switches verbunden ist. Derzeit ist das Netzwerk ziemlich einfach, 192.168.1.0/24.
Im Netzwerk habe ich 7 Server, etwa 50 Computer, 6 Netzwerkdrucker, 16 IP-Telefone und zwischen 5 und 10 drahtlose Laptops, die über drei drahtlose Zugriffspunkte verbunden sind.
Obwohl uns viele IP-Adressen zur Verfügung stehen, denke ich, dass die Identifizierung eines Geräts anhand seiner IP-Adresse etwas effizienter sein könnte.
Wir haben auch drei Filialen, die über VPN-Tunnel verbunden sind.
Bisher haben wir folgende IP-Struktur:
Main Practice - 192.168.1.0/24
Branch 1. - 192.168.2.0/24
Branch 2. - 192.168.3.0/24
Branch 3. - 192.168.4.0/24
Wir bezeichnen sie als Zweigstellen, aber im Wesentlichen handelt es sich größtenteils um permanente Heimarbeiter. Es ist festgelegt, dass jedem Nicht-Tunnel-VPN-Benutzer eine IP-Adresse zugewiesen wird, die größer als 192.168.1.200/24 ist.
Ich würde gerne alle Server auf beispielsweise 10.1.1.0/24, die Wireless Access Points auf 10.1.2.0/24 und vielleicht die Drucker auf 10.1.3.0/24 setzen.
Ich glaube nicht, dass unser Netzwerk VLANs braucht, aber ich denke, die obige Idee würde die Dinge vereinfachen. Ganz zu schweigen davon, dass die Anzahl unserer verfügbaren Hostadressen dadurch deutlich größer wird.
Ist es mit einem Router möglich, mit demselben Gateway eine statische Route zu einem anderen Subnetz hinzuzufügen? Ich habe einen DHCP-Server unter Windows 2008 R2. Ich gehe davon aus, dass ich für jedes der neuen Subnetze einen neuen Bereich hinzufügen kann.
Gibt es bei diesem Plan irgendwelche größeren Nachteile?
Antwort1
Gibt es bei diesem Plan irgendwelche größeren Nachteile?
Ja. Es ist unnötig kompliziert. Im Allgemeinen trennen Sie Ihre Geräte in verschiedene Subnetze, da Sie Anforderungen an Filterung, Protokollierung oder Routing haben. Beispiel: Alle Ihre DMZ-Dienste befinden sich in einem separaten Subnetz, auf das Ihre Clients nicht direkt zugreifen können.
Sofern Sie durch die Verwendung dieses Setups keine ernsthaften Vorteile erzielen, die ich nicht erkennen kann (was durchaus möglich ist), kaufen Sie lediglich zusätzliche Komplexität.Widerstehen Sie der Versuchung, übermäßig schlau zu sein.
Obwohl uns viele IP-Adressen zur Verfügung stehen, denke ich, dass die Identifizierung eines Geräts anhand seiner IP-Adresse etwas effizienter sein könnte.
Meiner Meinung nach, wenn Sie versuchen, Geräte über ihre IP-Adressen zu identifizieren,Du machst es falsch. Es klingt zwar nach einer guten Idee, Ihre Server in diesem IP-Subnetz zu haben, Drucker in jenem, Arbeitsstationen in einem anderen und drahtlose Clients in noch einem weiteren, aber schon bald werden Sie feststellen, dass Ihre Routing-Tabellen kompliziert werden ... und zwar schnell (und unnötigerweise).
Es gibt bereits einen Dienst zur Identifizierung von Geräten: DNS! Warum sollte man sich die Mühe machen, sich IP-Adressen zu merken, wenn man seinen Geräten für Menschen verständliche Namen geben kann?
Ich glaube nicht, dass unser Netzwerk VLANs braucht, aber ich denke, die obige Idee würde die Dinge vereinfachen. Ganz zu schweigen davon, dass die Anzahl unserer verfügbaren Hostadressen dadurch deutlich größer wird.
Ich denke, da haben Sie recht, Sie brauchen wahrscheinlich keine VLANs. Es kann jedoch trotzdem sinnvoll sein, alle Ihre VoIP-Geräte in einem separaten VLAN zu platzieren, wenn es Leistungsprobleme gibt.
Antwort2
Ich nehme an, Sie möchten mehrere Subnetze auf demselben physischen Segment hinzufügen? Dies ist zwar möglich, erfordert jedoch die Definition eines „IP-Alias“ oder einer „Subschnittstelle“ (je nach der genauen Terminologie, die von Ihrer Routermarke verwendet wird – ich bin damit nicht vertraut), wodurch grundsätzlich mehrere IP-Adressen auf derselben physischen Schnittstelle zugewiesen werden.
Ein Problem dabei ist, dass der gesamte Datenverkehr von Ihrem LAN zum Server über den Router laufen muss, der höchstwahrscheinlich nicht in der Lage ist, mit Gigabit-Geschwindigkeiten zu routen, und selbst wenn er es kann, kommt es trotzdem zu einer Verlangsamung.
Ich bin mit dem DHCP-Server von Windows nicht so vertraut und weiß daher nicht, ob er das tut, was Sie möchten – mehrere Subnetze in einem einzigen Netzwerksegment. Aber Sie müssten den DHCP-Server irgendwie so konfigurieren, dass er je nach MAC-Adresse des Computers, der eine IP anfordert, unterschiedliche Subnetze bereitstellt.
Es gibt auch keinen wirklichen Sicherheitsvorteil, da ein Angreifer genauso gut einen IP-Alias auf Ihren Arbeitsstationen erstellen könnte, um direkt auf Ihr Server-LAN zuzugreifen.
Ich persönlich würde so etwas nicht implementieren, da es Ihr Netzwerk komplexer machen würde – nicht einfacher. Ich würde entweder mehrere VLANs verwenden oder einfach alles in dasselbe Subnetz stecken.