Frage zur Netzwerkorganisation

[H. Hennig 10]

Hallo,

ich möchte ein Netzwerk so in verschiedene Segmente aufteilen, dass die einzelnen Segmente sich untereinander nicht sehen, alle aber den selben Server (DC, DNS, Fileserver) und das selbe Gateway benutzen.

Dazu möchte ich z.B. folgende IP-Einstellungen verwenden:

Server: 172.16.0.5 / 255.255.0.0

Router: 172.16.0.254 / 255.255.0.0

Netzwerksegment 1: 172.16.1.0 / 255.255.255.0

Netzwerksegment 2: 172.16.2.0 / 255.255.255.0

...

Das müsste doch so funktionieren, oder?

 

H. Hennig

[Hannes91 10]

Hi Henning,

 

das funktioniert so. Du musst natürlich am Gateway/Router entsprechendes Routing und ACLs konfigurieren.

 

Gruß

[Cybquest 36]

Ich würde sagen, das funktioniert so nicht.

 

Der Server und Router mag zwar die Clients "sehen" durch die B-Netzwerkmaske, für die Clients sind Server und Router aber in einem anderen Netz!

M.E. brauchts einen Router, der in jedem Netz ein Bein hat.

Gleiche Gateways in unterschiedlichen Netzen gehen m.E. nicht.

[lefg 276]

Vom Prinzip benötigen Server wie Router zwei IP´s, eine für jedes Sublnetz auf dem Netzwerkinterface.

bearbeitet 26. Oktober 2012 von lefg

[Cybquest 36]

Ich kann mich vage daran erinnern, dass Multihomed DC/DNS suboptimal wären...

[Dukel 454]

Evtl. kann man 3 Netze machen. Die beiden Netzwerksegmente und ein Server Netz. Dazwischen einen Router, so dass die entsprechenden Netze geroutet werden (k.a. ob das der vorhandene Router kann oder ob ein neuer / zusätzlicher hin muss).

[lefg 276]

Vom Prinzip benötigen Server wie Router zwei IP´s, eine für jedes Sublnetz auf dem Netzwerkinterface.

 

Ich hab das mal ergänzt (auf dem Netzwerkinterface)

[lefg 276]

Evtl. kann man 3 Netze machen. Die beiden Netzwerksegmente und ein Server Netz. Dazwischen einen Router, so dass die entsprechenden Netze geroutet werden (k.a. ob das der vorhandene Router kann oder ob ein neuer / zusätzlicher hin muss).

 

Was aber soll erreicht werden, wozu soll das gut sein? Der TO hat sein Ziel nicht genannt.

[Dukel 454]

Was aber soll erreicht werden, wozu soll das gut sein? Der TO hat sein Ziel nicht genannt.

 

Doch. Die beiden Netzwerksegmente sollen keinen Zugriff untereinander haben aber beide sollen auf die selben Ressourcen (Server und Router) zugreifen können.

Das sollte mit 3 Netzen und einem Router dazwischen möglich sein.

[H. Hennig 10]

Hallo,

 

vielen Dank für die rege Diskussion.

Ich habe das ganze in der Zwischenzeit in einer VM-Umgebung getestet. Es hat einwandfrei funktioniert (genau die o.g. IP-Kofiguration). Allerdings hatte ich dabei kein Gateway und konnte also keinen Internetzugriff testen. Ansonsten hat der PC mit der IP 172.16.0.1/16 zwei andere PCs (172.16.1.1/24 und 172.16.2.1/24) gesehen und konnte auch von beide PCs aus angepingt werden, während sich die beiden PCs untereinander nicht gesehen haben.

Eigentlich müssten die verschiedenen Netze ja z.B. unterschiedliche Broadcastadressen haben und damit entsprechende Routingeinträge notwendig sein.

Da das ganze eventuell auf einem DC zur Anwendung kommen soll werde jedoch ich auf irgendwelche abendteuerlichen Konfigurationen verzichten und keine Teilnetze einrichten oder diese per Router Trennen.

 

H. Hennig

[lefg 276]

Hallo

 

Was ist denn das eigentliche Ziel und warum, was soll bewirkt werden?

 

Die CIDR Address Range eines Rechners mit 172.16.0.1/16 ist 172.16.0.0 - 172.16.255.255.

 

Die CIDR Address Range eines Rechners 172.16.1.1/24 ist 172.16.1.0 - 172.16.1.255

 

http://www.subnet-calculator.com/cidr.php

bearbeitet 27. Oktober 2012 von lefg

[H. Hennig 10]

Hallo lefg,

 

Ziel ist, wie gesagt, folgendes:

In einem Netzwerk sollen getrennte Bereiche geschaffen werden (z.B. Abteilung 1, Abteilung 2, Abteilung 3, ...), die sich untereinander im Netzwerk nicht sehen können, aber alle die selben Ressourcen nutzen (Freigaben auf Server, DC, Gateway, Netzwerkdrucker, ...). Das ganze soll mit möglichst geringem Aufwand geschehen (Hardware, Konfiguration)

 

MfG

 

H.Hennig

[Hannes91 10]

Hallo,

 

ist denn schon Hardware vorhanden? Router, L2 oder L3 Switches?

 

Gruß

[lefg 276]

Hallo lefg,

 

Ziel ist, wie gesagt, folgendes:

In einem Netzwerk sollen getrennte Bereiche geschaffen werden (z.B. Abteilung 1, Abteilung 2, Abteilung 3, ...), die sich untereinander im Netzwerk nicht sehen können, ....

 

Hallo H.Hennig,

 

aus Interesse, was ist das Motiv für die Trennung, warum sollen die Abteilungen sich nicht sehen können? Das ist diie eine immer wiederkehrende Frage. :)

[NeMiX 76]

Hallo lefg,

 

Ziel ist, wie gesagt, folgendes:

In einem Netzwerk sollen getrennte Bereiche geschaffen werden (z.B. Abteilung 1, Abteilung 2, Abteilung 3, ...), die sich untereinander im Netzwerk nicht sehen können, aber alle die selben Ressourcen nutzen (Freigaben auf Server, DC, Gateway, Netzwerkdrucker, ...). Das ganze soll mit möglichst geringem Aufwand geschehen (Hardware, Konfiguration)

 

MfG

 

H.Hennig

 

Warum macht Ihr das nicht einfach mit Vlans und ACLs? Ist die einfachste Möglichkeit das umzusetzen. Der Switch ist das Standardgateway und macht die ganze "Arbeit". Das Gefummel mit den verschiedenen Netzwerkmasken halte ich eher für suboptimal.