Tengo un Draytek Vigor 2820 que está conectado a tres conmutadores gigabit Netgear Layer 2. Actualmente la red es bastante simple, 192.168.1.0/24.
En la red tengo 7 servidores, alrededor de 50 computadoras, 6 impresoras de red, 16 teléfonos IP y entre 5 y 10 computadoras portátiles inalámbricas que están conectadas a través de tres puntos de acceso inalámbrico.
Aunque tenemos muchas direcciones IP disponibles, creo que podría ser un poco más eficiente en términos de identificar un dispositivo utilizando su dirección IP.
También tenemos tres sucursales que se conectan a través de túneles VPN.
Hasta ahora tenemos la siguiente estructura de IP:
Main Practice - 192.168.1.0/24
Branch 1. - 192.168.2.0/24
Branch 2. - 192.168.3.0/24
Branch 3. - 192.168.4.0/24
Nos referimos a ellos como sucursales, pero en su mayor parte son trabajadores a domicilio permanentes. Está configurado que a cualquier usuario de VPN que no sea de túnel se le asigne una dirección IP mayor que 192.168.1.200/24.
Lo que me gustaría hacer es poner todos los servidores en algo así como 10.1.1.0/24, los puntos de acceso inalámbrico en 10.1.2.0/24 y quizás las impresoras en 10.1.3.0/24.
No creo que nuestra red necesite VLAN, pero creo que la idea anterior simplificaría las cosas. Sin mencionar que nuestro número de direcciones de host disponibles es mucho mayor.
Usando un enrutador, ¿es posible agregar una ruta estática a una subred diferente usando la misma puerta de enlace? Tengo un servidor DHCP ejecutándose en Windows 2008 R2. Supongo que puedo agregar un nuevo alcance para cada una de las nuevas subredes.
¿Alguna desventaja importante de este plan?
Respuesta1
¿Alguna desventaja importante de este plan?
Sí. Es innecesariamente complicado. En términos generales, separa sus dispositivos en diferentes subredes porque necesita filtrar, registrar o enrutar. Por ejemplo: todos sus servicios DMZ se encuentran en una subred separada a la que sus clientes no pueden acceder directamente.
A menos que obtengas ventajas importantes al usar esta configuración que no puedo ver (lo cual ciertamente es posible), solo estás comprando complejidad adicional.Resiste la tentación de ser demasiado inteligente.
Aunque tenemos muchas direcciones IP disponibles, creo que podría ser un poco más eficiente en términos de identificar un dispositivo utilizando su dirección IP.
En mi opinión, si intentas identificar dispositivos a través de sus direcciones IP,Lo estás haciendo mal. Si bien parece una buena idea tener sus servidores en esta subred IP, las impresoras en aquella, las estaciones de trabajo en otra y los clientes inalámbricos en otra más, muy pronto descubrirá que sus tablas de enrutamiento se complican... rápidamente (e innecesariamente).
Ya existe un servicio configurado para identificar dispositivos... ¡DNS! ¿Por qué molestarse en intentar recordar direcciones IP cuando puede darle a sus dispositivos nombres con significado humano?
No creo que nuestra red necesite VLAN, pero creo que la idea anterior simplificaría las cosas. Sin mencionar que nuestro número de direcciones de host disponibles es mucho mayor.
Creo que tienes razón aquí, probablemente no necesites VLAN. Sin embargo, aún puede valer la pena colocar todos sus dispositivos VOIP en una VLAN separada si hay problemas de rendimiento.
Respuesta2
Supongo que desea agregar varias subredes en el mismo segmento físico. Si bien esto es posible, requerirá que defina un "alias de IP" o una "subinterfaz" (dependiendo de la terminología exacta utilizada por su marca exacta de enrutador; no estoy familiarizado con ella), básicamente asignando múltiples direcciones IP en la misma interfaz física.
Un problema al hacer esto es que todo el tráfico desde su LAN al servidor tendrá que pasar a través del enrutador, que probablemente no podrá enrutarse a velocidades de gigabit, e incluso si pudiera, todavía habrá una desaceleración. .
No estoy muy familiarizado con el servidor DHCP de Windows, por lo que no sé si hará lo que usted desea: múltiples subredes en un solo segmento de red. Pero tendría que tener alguna forma de configurar el servidor DHCP para proporcionar diferentes subredes dependiendo de la dirección MAC de la computadora que solicita una IP.
En realidad, tampoco hay ningún beneficio de seguridad, un atacante podría simplemente crear un alias de IP en sus estaciones de trabajo para acceder directamente a la LAN de su servidor.
Personalmente, no implementaría algo como esto porque haría que su red fuera más compleja, no menos. Usaría varias VLAN o simplemente colocaría todo en la misma subred.