Masochist 11 Geschrieben 11. Januar 2011 Melden Teilen Geschrieben 11. Januar 2011 Hallo Zusammen, ich habe gerade ein Rechenzentrum mit 54 Server übernommen. Viele davon sind schon virtualisiert. Es gibt mehre IP Netzbereiche. User/Server/ Drucker IP:192.168.24.0....255 S:255.255.255.0 EVA/ SAN /LUN 10er Netz Jetzt sind die IP Adressen aus dem 24er Netz fast ausgereizt. Ich möchte durch dieses durch eine Netzerweiterung ändern. So das ich wenn ich die Subnetzmaske änder auf 255.255.248.0 auf 2046 Host IPs komme. Meine Frage jetzt: Hat jemand einen genauen Ablauf worauf man alles achten muss, wenn ich dieses ändere. Denn so einfach ist das nicht, wie sich das anhört. Fakt ist: Firewall ändern DHCP Bereich für Clients ändern Drucker Ändern VPN Modul für extern ändern vituelle Server, Server ändern ?????? Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 11. Januar 2011 Melden Teilen Geschrieben 11. Januar 2011 Wenn du jetzt /24 hast ist /21 nicht etwas übertrieben? Stattdessen würde ich an deiner Stelle mal darüber nachdenken für Clients und Server jeweils eigene Subnetze zu verwenden, sofern die Infrastruktur es erlaubt. Und was meinst du mit "EVA/SAN/LUN 10er Netz"? Zitieren Link zu diesem Kommentar
Holger02 10 Geschrieben 11. Januar 2011 Melden Teilen Geschrieben 11. Januar 2011 Stattdessen würde ich an deiner Stelle mal darüber nachdenken für Clients und Server jeweils eigene Subnetze zu verwenden, sofern die Infrastruktur es erlaubt. Genauso würde ich es auch machen. Einfach die Geräte in einzelne Netze und dann alles wie gewünscht verbinden. Sollte auf die Dauer auch weniger Arbeit sein. Gruß Holger Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 11. Januar 2011 Melden Teilen Geschrieben 11. Januar 2011 (bearbeitet) Hallo, ich meine, das Supernetting, also das Vergrössern des Host-Adressraumes, Verkleinern des Netz-Adressraumes durch Ändern der Subnetmask ist die effektivste Möglichkeit, viel weniger arbeitsaufwendig als der Bau von physikalischen (IP-)Subnetzen, letztere baut man zum Verringern des Broadcastes. Das Packen von Clients, Servern und Druckern in eigene IP-Subnetze solle man mir mal logisch begründen, falls es nur der Ordnung halber (besser) sein sollte, dann ist das ein Denken in Küchenschubladen. Den Host-Adressraum vergrössern, Anwenden des Supernetings habe ich mehrmals durchgeführt, unbemerkt von Usern, ohne jede Störung im Netz. Im einfachsten Fall ist es das Ändern des DHCP-Servers. Je mehr statische IPs es gibt, desto mehr müsste von Hand oder könnte per Scripting erledigt werden. Man mache sich einen Plan, zeichne diesen an eine Wand, klebe oder hefte verschiedenfarbige Karten dran, darauf gut lesbare Überschriften und Schlagworte, man kann natürlich auch ein Programm für Projektmanagment benutzen, weiter einen Projektor und dann an die Wand. bearbeitet 11. Januar 2011 von lefg Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 11. Januar 2011 Melden Teilen Geschrieben 11. Januar 2011 Das Packen von Clients, Servern und Druckern in eigene IP-Subnetze solle man mir mal logisch begründen, falls es nur der Ordnung halber (besser) sein sollte, dann ist das ein Denken in Küchenschubladen Mein Hintergedanke in Posting #2 waren VLANs. Jedoch habe ich nur Subnetze geschrieben. Ich meinte natürlich beides in Kombination. Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 11. Januar 2011 Melden Teilen Geschrieben 11. Januar 2011 Denn so einfach ist das nicht, wie sich das anhört. Doch, so einfach ist es. 1. Auf allen bestehenden Geräten (Server, Drucker, Firewall) mit fixen IP-Adressen die Subnetzmaske auf 255.255.248.0 ändern; 2. DHCP-Bereich anpassen: 192.168.24/21, verfügbarer Adressenbereich (ohne Ausschluss) = 192.168.25.0 bis 192.168.27.254 Alle Geräte mit festen IP-Adressen bleiben im Adressenbereich 192.168.24.1 bis 192.168.24.255, und zwar ohne IP-Adressenänderungen. Alle DHCP-Clients wandern im gleichen Subnetz in den Adressenbereich 192.168.25.0 bis 192.168.27.254. Das lässt sich im laufenden Betrieb erledigen. :) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 11. Januar 2011 Melden Teilen Geschrieben 11. Januar 2011 (bearbeitet) Letztendlich müssen doch alle Clients des Netzes mit den Ressourcen in Verbindung treten können, die Clients müssen ins Inet können, zugreifen auf die Server, drucken auf die Drucker; wozu also künstlich (Schein)Hürden aufbauen, Zäune, in denen letztendlich doch Tore sein müssen? Falls jemand mit statischer IP-Adressierung arbeitet, dann kann eine Segmentierung Sinn machen für eine bessere Übersicht, leichtere Verwaltbarkeit, das auch bei Reservierungen; letzteres habe ich für Serverfarms in Erinnerung. Die Veringerung der Ausbreitung des Broadcastes durch Segmentierung habe ich schon erwähnt, sowas kann Sinn machen -Boadcastdomäne- (vorher sollte man aber z.B. den geschwätzigen Bowserdienst deaktivieren, das ist weniger aufwendig). Den Sinn der Anwendung von VLAN kann ich in solch einem Fall nicht sehen. Noch ein paar Worte zu Druckern: Mein (jetzt neu) vorgesetzter Kollege adressiert die auch am liebsten statisch, glaubt das sei für ihn leichter, übersichtlicher, besser behaltbar, nun, ich habe da besonders bei ihn das Gegenteil beobachtet. In meinem Bereich sind die Drucker dynamisch adressiert, haben einen Knotennamen (da gibt es ein Schema), auf den Clients der Netzwerktreiber richtig installiert, fertig ist die Laube. Falls ein Drucker ersetzt wird, an einen anderen Standort geht, alles viel leichter. Früher gab es Listen mit IP-Adressen und Hostnamen bei mir, die mussten gepflegt werden, brauche ich heute nicht mehr.Daniel schrieb es eben in diesen Tread vor mir, ich in einem anderen, sowas geht im laufenden Betrieb, keiner merkt etwas es gibt keine Störungen. Man beschäftige sich mal mit Supernetting, dem Gegenteil von Subnetting. Ich liebe die weite Prärie und auch die Tundra, verabscheue Fences. bearbeitet 11. Januar 2011 von lefg Zitieren Link zu diesem Kommentar
Masochist 11 Geschrieben 11. Januar 2011 Autor Melden Teilen Geschrieben 11. Januar 2011 Hallo, noch mal danke für die schnellen Antworten. Ich brauche deshalb so viele IP's da nächstes Jahr 2 Standorte in Deutschland bei mir hinzu kommen. Das bedeutet 30 Server und rund 560 Clients, von Router und Switchen mal ganz abgesehen. Da ich nicht weiß was sonst so kommt habe ich lieber ein paar IP's mehr. Den Core Switchen macht das sehr wenig aus. Es wäre ja alles einfacher, wenn die nicht alle in mein Netz müßten. Die kommen aber alle an unseren Standort. heul. Viel Arbeit wieder. Die Drucker dynamisch anbinden mit Knotentyp finde ich sehr übersichtlich. Danke Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 11. Januar 2011 Melden Teilen Geschrieben 11. Januar 2011 Ich brauche deshalb so viele IP's da nächstes Jahr 2 Standorte in Deutschland bei mir hinzu kommen. Das bedeutet 30 Server und rund 560 Clients, von Router und Switchen mal ganz abgesehen. Da ich nicht weiß was sonst so kommt habe ich lieber ein paar IP's mehr. Den Core Switchen macht das sehr wenig aus. In einem Netz dieser Größe sind VLANs IMHO unabdingbar. Oder anders gesagt: du willst mir nicht wirklich erzählen das ihr bisher keine VLANs verwendet?! Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 12. Januar 2011 Melden Teilen Geschrieben 12. Januar 2011 @Carlito Bitte erläutere die Anwendung von VLAN in solch einem Fall mal genauer! Mir ist das ein Rätsel. Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 12. Januar 2011 Melden Teilen Geschrieben 12. Januar 2011 @Carlito Bitte erläutere die Anwendung von VLAN in solch einem Fall mal genauer! Mir ist das ein Rätsel. Wenn ich den TO richtig verstehe hat er derzeit 54 Server + 30 Server zukünftig. Des Weiteren zukünftig plus 560 Clients. Wie viele es derzeit sind hat er nicht geschrieben. Grob gesagt mehrere hundert Systeme. Es muss doch nicht jeder mit jedem kommunizieren können!? Z.B. benötigt die Buchhaltung keinen Zugriff auf die Entwicklungsserver und anders herum. Ich denke dabei an Sicherheit und Stabilität des Netzes. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 12. Januar 2011 Melden Teilen Geschrieben 12. Januar 2011 Nun, dann bekommen die Buchhalter eben keine Berechtigung auf die Freigaben des Entwicklungsservers und umgekehrt, das wäre doch wohl der Normalfall. Ich verstehe den Gedankengang mit der Buchhaltung, wir haben sowas, das ist aber ein closed shop, per VLAN wird die Netzwerkinfrastruktur genutzt und Teile der Switches, shared. Trotzdem laufen tagged und untagged Packets über die selben Leitungen des Backboones. Kann es sein, Du meinst Private VLAN? Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 12. Januar 2011 Melden Teilen Geschrieben 12. Januar 2011 Nun, dann bekommen die Buchhalter eben keine Berechtigung auf die Freigaben des Entwicklungsservers und umgekehrt, das wäre doch wohl der Normalfall. Ich denke dabei an MITM-Attacken. Stichwort: ARP Spoofing etc. VLANs grenzen diese Angriffe ein. Simple IP-Adressbereiche nicht. Ich verstehe den Gedankengang mit der Buchhaltung, wir haben sowas, das ist aber ein closed shop, per VLAN wird die Netzwerkinfrastruktur genutzt und Teile der Switches, shared. Trotzdem laufen tagged und untagged Packets über die selben Leitungen des Backboones. Logischerweise. Sonst bräuchte man ja physisch getrennte Netze. Also keine VLANS. ;) Kann es sein, Du meinst Private VLAN? Das wäre noch besser. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.