Ich habe einige Fragen bezüglich meiner Netzplanung, vielleicht kann mir jemand erklären - falls ich mich transparent genug ausdrücke:
Ich habe eine Unterteilung unseres IP-Netzes vorgeschlagen die so aussieht. Unser Netz 10.0.x.x/16 wird in Subnetze unterteilt, einfach nach folgendem Schema:
10.1.1.x Aussenstelle A
10.1.2.x Aussenstelle B
werden durch unseren Provider geroutet.
10.0.1.x Intern A
10.0.2.x Intern B
Jetzt meine Frage:
In dem Netz 10.0.0.x/24 stehen unsere ganzen Server (WSUS,AD-Betriebsmaster,DNS,Fileserver). Dieses Netz 10.0.0.x ist aus den anderen Netzen erreichbar (z.B. für DNS-Anfragen). Das Netz selbst erreicht aber NICHT die anderen Netze (sondern nur auf Anfrage, d.h. dass Paket kommt ZUERST aus dem Quellnetz, z.B. 10.1.1.x oder 10.0.1.x, zu welchen Problemen kann es dabei führen?
Ich weiss nämlich nicht genau welche der o.g. Dienste wie kommuniziert, auf Anfrage (DNS?) oder die Aktualisierung der Clients über WSUS...
Gruss an den Rest und schon mal Frohe Ostern Euch Allen.
Entweder sehe ich gerade nicht richtig durch oder die Transparenz fehlt wirklich...
Zitat von mfdoom
Ich habe eine Unterteilung unseres IP-Netzes vorgeschlagen die so aussieht. Unser Netz 10.0.x.x/16 wird in Subnetze unterteilt, einfach nach folgendem Schema:
10.1.1.x Aussenstelle A
10.1.2.x Aussenstelle B
Nach der ersten Aussage (nämlich /16) ist dann Dein Netz dann aber nicht unterteilt sondern Du hast für beide Standorte (A und B) ein Netz, nämlich 10.1.0.0/16. Auf Dauer ist die Verwendung des selben IP Netzes in zwei verscheidenen Standorten nicht wirklich gesund.
werden durch unseren Provider geroutet.
10.0.1.x Intern A
10.0.2.x Intern B
Bezogen auf was bzw. auf welchen Standort? Von welchen Netzen sprechen wir hier, weil nun sind wir ja offensichtlich wieder im Ausgangsnetz (10.0.0.0/16)
In dem Netz 10.0.0.x/24 stehen unsere ganzen Server (WSUS,AD-Betriebsmaster,DNS,Fileserver).
Hast Du nicht anfangs von einem Class B Netz gesprochen?
Dieses Netz 10.0.0.x ist aus den anderen Netzen erreichbar (z.B. für DNS-Anfragen). Das Netz selbst erreicht aber NICHT die anderen Netze (sondern nur auf Anfrage, d.h. dass Paket kommt ZUERST aus dem Quellnetz, z.B. 10.1.1.x oder 10.0.1.x, zu welchen Problemen kann es dabei führen?
Hmmm entweder habe ich mich nicht mehr lange mit Routing beschäftigt oder irgendetwas stimmt hier nicht. Wenn aus dem Netz 10.1.1.x eine Anfrage an 10.0.0.x geht und die Antwort für 10.1.1.x zurück kommt dann sollte 10.0.0.x auch nach 10.1.1.x "telefonieren" können, es sei denn es sind Firewallpolicies am Start, die das verhindern...
Um vielleicht ein wenig Klarheit in die Sache zu bringen solltest Du vielleicht die CIDR Notation bei jedem Netz verwenden...
Entweder sehe ich gerade nicht richtig durch oder die Transparenz fehlt wirklich...
hmmm, ok dann mal etwas genauer:
Ich habe ein komplettes 16er Netz - nämlich das 10.0.x.x Netz.
In diesem Netz befinden sich Subnetze, z.B. 10.0.1.x/24; 10.0.2.x/24....
Jetzt kommt der spannende Teil: Aus dem, nennen wir es Adminnetz 10.0.0.1 wo alle Server drin sind werden Netzanfragen beantwortet aber nicht selbst initiiert,d.h. der Netzverkehr wird nur auf Anfrage aus diesem Adminnetz beantwortet. Ich hoffe es ist jetzt klarer was ich meine.
^^
Nach der ersten Aussage (nämlich /16) ist dann Dein Netz dann aber nicht unterteilt sondern Du hast für beide Standorte (A und B) ein Netz, nämlich 10.1.0.0/16. Auf Dauer ist die Verwendung des selben IP Netzes in zwei verscheidenen Standorten nicht wirklich gesund.
Damit hast du natürlich recht - ich habe mich so gar nicht transparent ausgedrückt.
Bezogen auf was bzw. auf welchen Standort? Von welchen Netzen sprechen wir hier, weil nun sind wir ja offensichtlich wieder im Ausgangsnetz (10.0.0.0/16)
Hast Du nicht anfangs von einem Class B Netz gesprochen?
Hmmm entweder habe ich mich nicht mehr lange mit Routing beschäftigt oder irgendetwas stimmt hier nicht. Wenn aus dem Netz 10.1.1.x eine Anfrage an 10.0.0.x geht und die Antwort für 10.1.1.x zurück kommt dann sollte 10.0.0.x auch nach 10.1.1.x "telefonieren" können, es sei denn es sind Firewallpolicies am Start, die das verhindern...
Um vielleicht ein wenig Klarheit in die Sache zu bringen solltest Du vielleicht die CIDR Notation bei jedem Netz verwenden...
also so ganz habe ich noch nicht verstanden was Du vor hast bzw. was dein Problem ist.
Aber als erstes würde ich hier mal für etwas mehr Transparenz sorgen indem ich mich an die Spezifikation der Netzwerke halten. Mich würde es nicht wundern wenn es bei Dir zu einem Routingproblem gekommen ist weil die Netze "entfremdet" wurden. Ist vielleicht irgendwo die Subnetzmask auf 8 Bit gestetzt (wie es korrekt wäre) worden ansatt auf 16 oder 24?
privates A-Netz = 10.0.0.0/8
privates B-netz = 172.16.0.0/12
privates C-netz = 192.168.0.0/16
Ein weiterer Vorteil wäre dabei auch noch der daß man dann anhand der IPs und auf den ersten Blick die Netze schon unterscheiden kann und nicht erst alles aufzeichnen muß was hier konfiguriert wurde.
also so ganz habe ich noch nicht verstanden was Du vor hast bzw. was dein Problem ist.
Aber als erstes würde ich hier mal für etwas mehr Transparenz sorgen indem ich mich an die Spezifikation der Netzwerke halten. Mich würde es nicht wundern wenn es bei Dir zu einem Routingproblem gekommen ist weil die Netze "entfremdet" wurden. Ist vielleicht irgendwo die Subnetzmask auf 8 Bit gestetzt (wie es korrekt wäre) worden ansatt auf 16 oder 24?
privates A-Netz = 10.0.0.0/8
privates B-netz = 172.16.0.0/12
privates C-netz = 192.168.0.0/16
Ein weiterer Vorteil wäre dabei auch noch der daß man dann anhand der IPs und auf den ersten Blick die Netze schon unterscheiden kann und nicht erst alles aufzeichnen muß was hier konfiguriert wurde.
Gruß
mikewi
Ähmmm, vielleicht hätte ich das Netz auch 10.0.x.x/16 nennen sollen? Ist es so besser - nein ein 8er Netz sollte das nicht sein.
Ich wollte einfach nur wissen wenn eine Anfrage aus dem Netz 10.0.2.x/16 in das Netz 10.0.x.x/16 kommt - sagen wir dieses Netz ist konkret 10.0.0.1/16 (nicht /8) dann wird diese Anfrage ja beantwortet - wenn es andersrum nicht möglich ist, also von 10.0.0.0/16 ist keine ROUTE in die einzelnen Netze (z.B. 10.0.1.x/24;10.0.2.x/24;10.0.3.x/24;...) vorhanden,d.h. nur der Weg IN das Netz 10.0.0.1/16 ist möglich - dieses Netz sieht aber nicht die anderen, ob es dann zu Problemen mit AD-Betriebsmaster,DNS,usw. kommt?
Das wollte ich bloss wissen, sry für meine umständliche Weise sowas zu erklären/darzustellen.
ähm ... Du schreibst die Server stehen im 10.0.0.0/24 .... die Clients im 10.0.x.x/16
das kann in der Konfig ohne Modifikation nicht funktionieren, da die Server keine Backroute in Dein /16er Netz haben. Die können nur im Bereich 10.0.0.xxx telefonieren ... außer Du hast einen Router der in das 10.0.x.x weiterroutet.
Also endweder Subnetzmaske für das Servernetz abändern oder Router
Also zunächsteinmal ist 10.0.2.x/16 und 10.0.x.x/16 ein und das SELBE IP Netz, gehe bitte nicht davon aus, dass Du in diesem Fall zwei IP Netze hast. Ein Routing findet hier nicht statt.
Dann mal etwas allgemeines zum IP Routing.
Wenn Du zwei IP Netze über einen oder mehrere Router miteinander verbinden möchtest muss jeder involvierte Router die jeweiligen zu routenden Netze kennen. Alternativ kann hier auch die default route zum Einsatz kommen, wenn die routing Umgebung etwas größer ist. Das Thema Routing Protokolle lasse ich mal außen vor.
Sobald also alle involvierten Router die jeweiligen Netze kennen kann die Kommunikation stattfinden. Deine Überlegung, dass lediglich ein Router in das Zielnetz routet ist technisch garnicht umsetzbar, weil Router A das Zielnetz von Router B kennen muss und umgekehrt. Erst wenn diese Voraussetzungen erfüllt sind können beide Netze überhaupt miteinander "sprechen".
Nur mal so 10.x.x.x ist ein A-Netz und sollte eine 8-Bit mask haben. Aber das ist alles reine Ansichtssache.
Zitat von mfdoom
Ähmmm, vielleicht hätte ich das Netz auch 10.0.x.x/16 nennen sollen? Ist es so besser - nein ein 8er Netz sollte das nicht sein.
Das ist zweimal das selbe Netz(segement) hier kannst Du überhaupt nicht routen, allenfalls Bridgen.
Zitat von mfdoom
Ich wollte einfach nur wissen wenn eine Anfrage aus dem Netz 10.0.2.x/16 in das Netz 10.0.x.x/16 kommt -
Ich glaub jetzt verstanden zu haben was Du meinest. Klar kommt es da zu Problemem wenn Du keine Rückroute definiers! Wie soll z. Bsp. der DNS eine Anfrage beantworten wenn er den Clieneten nicht erreichen kann? Was Du da konfigurieren möchtest/ hast ist eine typische DMZ, es können zwar Verbindungen in das Netz aufgebaut werden aber keine heraus.
Zitat von mfdoom
sagen wir dieses Netz ist konkret 10.0.0.1/16 (nicht /8) dann wird diese Anfrage ja beantwortet - wenn es andersrum nicht möglich ist, also von 10.0.0.0/16 ist keine ROUTE in die einzelnen Netze (z.B. 10.0.1.x/24;10.0.2.x/24;10.0.3.x/24;...) vorhanden,d.h. nur der Weg IN das Netz 10.0.0.1/16 ist möglich - dieses Netz sieht aber nicht die anderen, ob es dann zu Problemen mit AD-Betriebsmaster,DNS,usw. kommt?
