H. Hennig 10 Geschrieben 2. November 2012 Autor Melden Teilen Geschrieben 2. November 2012 Hallo, Also: Es ist bereits Hardware vorhanden. Es handelt sich dabei um einen ganz einfachen 100 MBit Switch (nicht managebar) und einen einfachen Router (alte Fritzbox). Der Auftraggeber möchte kein Geld für neue Hardware ausgeben, was bedeutet, dass die vorhandene Hardware weiter genutzt werden muss. Zur Trennung der Teilnetze: Der Auftraggeber möchte, dass von einzelnen Arbeitsbereichen aus nicht sichtbar ist, was es sonst noch so im Netzwerk gibt (PCs oder Netzwerkdrucker in anderen Bereichen). Die Mitarbeiter sind am PC normale Benutzer, können also keine IP-Einstellungen ändern. Mit einem solchen Konzept könnte von keinem Arbeitsplatz aus das ganze Netzwerk einfach überblickt werden. Es gibt zwar noch eine Menge anderer Möglichkeiten (z.B. Netzwerkumgebung ausblenden, PC im Netzwerk nicht anzeigen lassen ...), die halte ich aber in diesem Zusammenhang eher für suboptimal. Außerdem denke ich, dass sich damit Probleme, die in einem Teilnetz ergeben (z.B. Schadsoftware die auf einem einzelnen PC aktiv wird) schwerer im ganzen Netzwerk verbreiten. MfG H.Hennig Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. November 2012 Melden Teilen Geschrieben 2. November 2012 Hallo Ich nehme mal an, Du hst dein Konzept mal nachgebildet und festgestellt, es funktioniert so nicht, Hosts aus den beiden 24.Subnetzen können Server und Router im 16.Subnetz nicht erreichen, das siese in der Netzwerkumgebung, der Arbeitsgruppe angezeigt werden, das ist etwas ganz anderes, das liegt am Browserdienst. Die Ausbreitung von Schadsoftware über das LAN verhindert man durch das Aktivieren der Firewall(s) und deren richtige Konfiguration. Falls es nun auf jedem Fall Subnetze dieser Art für die Abteilungen geben soll, wäre das Konfigurieren von einer jeweils dazugehörigen Adresse/Masks am Server und am Router auf dem selben Interface eine Lösungsmöglichkeit. Ob das an der Fritzbox möglich ist? Zitieren Link zu diesem Kommentar
H. Hennig 10 Geschrieben 2. November 2012 Autor Melden Teilen Geschrieben 2. November 2012 Hallo, ich habe das Konzept in einer VM-Umgebung nachgebaut (PC_A mit 172.16.0.1/16, PC_B mit 172.16.1.1/24, PC_C mit 172.16.2.1/24, alles XP SP3). PC_A konnte PC_B und PC_C anpingen, PC_B und PC_C konnten PC_A anpingen, PC_B und PC_C konnten sich nicht anpingen. Mit den Firewalls hast du recht. Innerhalb eines LAN versuche ich Firewalls aber möglichst nicht zu verwenden, da der erforderliche Administrationsaufwand meist sehr hoch ist (damit genau das geht, was gehen soll und umgekehrt) und immer wieder Probleme auftreten. Windows 7 mit seiner sehr tief im System integrierten Firewall ist da z.B. ein gutes Beispiel. Die Netzwerkforen sind voll mit Themen über Probleme im Zusammenhang Firewall von Win7+Softwarefunktionalität im LAN. Ansonsten wäre die Aktion mit der vorhandenen Fritzbox nicht möglich, da man nur eine IP auf dem Gerät einrichten kann. MfG H.Hennig Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. November 2012 Melden Teilen Geschrieben 2. November 2012 Und wie realisierst Du es nun? Zitieren Link zu diesem Kommentar
H. Hennig 10 Geschrieben 2. November 2012 Autor Melden Teilen Geschrieben 2. November 2012 Da es offensichtlich zu viele Unbekannte gibt (ob es mit meiner Variante 100%-ig geht ist nicht ganz sicher, neue Hardware soll nicht beschafft werden, ...) werde ich wohl am aktuellen Konzept nichts ändern (keine unterschiedlichen Subnetze) und den Kunden dazu bringen mittelfristig einen neuen Switch anzuschaffen. Dann kann ich ihm ein ordentliches Gerät anbieten und die Sache über VLANs oder so regeln. Ein neuer Router wäre auch nicht schlecht (Fritzbox ist meiner Ansicht nach im kommerziellen Umfeld nicht der Hit). Es ist halt wie immer: Man kann nicht den Mercedes wollen aber nur den Trabant bezahlen ;-). Leider ist das bei vielen unserer Kunden aber gängige Praxis. MfG H.Hennig Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. November 2012 Melden Teilen Geschrieben 2. November 2012 (bearbeitet) Ich denke auch, ein L3-Switch wäre Stand der Technik für die Anforderung des Kunden, auch wenn diese Anforderung, der Grund dafür, ****sinn sein kann. Gibt es bei der Frizbox tatsächlich etwas, dass sie grundsätzlich für das kommerzielle Feld ungeignet macht? Ist sie fehleranfälliger? Nun, falls man sich damit behelfen muss, dann ist es so. Ich hab ja schon sowas gemacht wie Du es willst, so in etwa. Mehrere Subnutze, für jedes eine IP auf dem einem Interface des Servers, an dem anderen Interface den InetRouter. Der Server routete zwischen seinen Interfaces. Es handelte sich um kein Konzept, es war ein Provisorium. Es wurde dann ein geeigneter, den Anforderungen entsprechender Router beschafft. bearbeitet 2. November 2012 von lefg Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 3. November 2012 Melden Teilen Geschrieben 3. November 2012 Falls die Netzwerinterfaces(Treiber) und auch die Fritz VLAN-fähig sind ...... VLAN-Konfiguration und Optimierung Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.