Jump to content
Sign in to follow this  
eXOs

Routing zwischen zwei Netzen

Recommended Posts

Hi zusammen,

 

ich hätte da mal eine Frage. Wir haben hier langsam IP Adressen knappheit, ich möchte mir aber die Umstellung auf ein B Klassen Netz nicht wirklich antun. DIe Knappheit ist primär auf den starken Zuwachs von Testsystemen (VMs) die von verschiedenen Hosts erreichbar sein müssen zurückzuführen. Meine Idee wäre deshalb, eine zweite Domain - eben für die Testsysteme aufzuziehen.

 

Ich habe mir das so gedacht, dass dann unsere produktive Domain im Netz 192.168.1.x läuft, die Testdomain im Netz 192.168.2.x.

 

Mit dem Routing des W2k8 will ich dann das Routing zwischen den Netzen durchführen und eine Vertrauenstellung für die Authentifizierung einrichten.

 

Dann müsste es ja möglich sein, aus der Produktivumgebung auf die Testsysteme zuzugreifen.

 

Die Frage wäre aber dann noch, ob das auch ein Weg ist der zu empfehlen ist, oder ob besser in Hardare investiert wird die mir das Routing macht.

 

Was denkt ihr?

Share this post


Link to post
Wir haben hier langsam IP Adressen knappheit, ich möchte mir aber die Umstellung auf ein B Klassen Netz nicht wirklich antun.

 

Davon ausgehend, dass Dein heutiges produktives Netz das Subnetz 192.168.1.0/24 umfasst und es Dir vorrangig um zusätzliche IP-Adressen geht, könntest Du einfach die Subnetzmaske auf 255.255.254.0 ändern und so ein Subnetz 192.168.0.0/23 erreichen. Du würdest somit alle IP-Adressen von 192.168.0.1 bis 192.168.1.0 hinzugewinnen, d.h. 255 zusätzliche.

Share this post


Link to post

Hi dmetzger,

 

danke für die Antwort. Das ist korrekt, aber ich hatte vergessen eine kleinigkeit zu erwähnen. Ich wollte grundsätzlich die Trennung der DOmains (Produktiv und Testdomain) durchführen - das ganze hatte keine so hohe Prio, die Testsysteme sind nicht in der Domain, eine eigene Domain dafür würde aber einigen Leuten das leben leichter machen. Da jetzt die IPs knapp werden habe ich das zum Anlass genommen diese Trennung gleich mit zu machen.

 

Wären die beiden Domains im gleichen Subnetz möglich?

Share this post


Link to post
Hi dmetzger,

 

danke für die Antwort. Das ist korrekt, aber ich hatte vergessen eine kleinigkeit zu erwähnen. Ich wollte grundsätzlich die Trennung der DOmains (Produktiv und Testdomain) durchführen

 

Wozu? Ein Router ist ja keine wirkliche Trennung. ;)

 

Wären die beiden Domains im gleichen Subnetz möglich?

 

Ja klar.

 

Bye

Norbert

Share this post


Link to post

Hi du,

 

 

Mit dem Routing des W2k8 will ich dann das Routing zwischen den Netzen durchführen und eine Vertrauenstellung für die Authentifizierung einrichten.

 

 

 

er ich hatte vergessen eine kleinigkeit zu erwähnen. Ich wollte grundsätzlich die Trennung der DOmains (Produktiv und Testdomain) durchführen - das ganze hatte keine so hohe Prio, die Testsysteme sind nicht in der Domain, eine eigene Domain dafür würde aber einigen Leuten das leben leichter machen.

 

irgendwie sind das für mich zwei Wiedersprüche. An deiner Stelle Test und Produktiv unbedingt trennen. Mit einem Router sollte dies machbar sein. Besser wäre noch eine Firewall oder sogar zwei getrennte Netze, doch das übersteigt meist die vorhandenen Mittel.

Share this post


Link to post

Hi zusammen,

 

ok, nochmal die Fakten:

 

Testdomain:

- Jeder aus der Technik hat das recht systeme in die Domain einzubinden

- Jeder aus der Technik hat lokale Admin Rechte in der Domain

- Jeder aus der Technik muss ggf. Änderungen an der Domain machen können

(Technik <> Admin)

 

 

Produktivdomain:

- Keiner außer der Admin und ich darf Systeme in die Domain einbinden

- Nur wenige haben auf die Server Admin Rechte

- Keiner außer der Admin und ich darf Änderungen an der Domain durchführen

 

Der Zugriff soll aber direkt möglich sein, idealerweise eben mit den Daten der Produktivdomain - daher die Vertrauenstellung.

 

Nun bin ich an dem Punkt das ich mir überlege, das Routing wegzulassen und das Subnetz mit der Subnetzmaske zu erweitern, dann setze ich im gleichen Netz die zweite Domain auf, erstelle eine Vertrauenstellung und dann habe ich doch genau das was ich will.

 

Ich weiß nur nicht genau, wie elegant und unkompliziert das Ganze ist.

Share this post


Link to post

Was genau soll eigentlich getestet werden, wenn jeder alles machen kann? Dann kann auch jeder alles kaputt machen und keiner weiß hinterher was warum von wem überhaupt wie konfiguriert wurde. ;)

 

Bye

Norbert

Share this post


Link to post
Was genau soll eigentlich getestet werden, wenn jeder alles machen kann? Dann kann auch jeder alles kaputt machen und keiner weiß hinterher was warum von wem überhaupt wie konfiguriert wurde. ;)

 

Bye

Norbert

 

Nein, es geht nicht um Domaintests. Wir sind eine Softwarefirma. Die Testserver/ Clients sollen zum einen leichter für alle erreichbar sein und zum anderen muss das system eben auch mal in einer domain getestet werden. Und wer die Testdomain kaputt macht bekommt eine auf den Deckel :-)

 

Nein, die Leute sind EDV technisch schon fit, aber an der produktiven Domain soll auf keinen fall einer rummfummeln um was zu testen.

Share this post


Link to post

@eXOs

 

Was konkret soll getestet werden? Um welche Art von Applikation handelt es sich? Welche Art von Servern werden zum Testen verwendet (Webserver, Datenbankserver, etc)?

Share this post


Link to post
Nein, es geht nicht um Domaintests.

 

Wozu brauchen die Tester dann Adminrechte in der Domain? ;)

 

Wir sind eine Softwarefirma. Die Testserver/ Clients sollen zum einen leichter für alle erreichbar sein und zum anderen muss das system eben auch mal in einer domain getestet werden. Und wer die Testdomain kaputt macht bekommt eine auf den Deckel :-)

 

Ist nur schwer herauszufinden. ;)

 

Nein, die Leute sind EDV technisch schon fit,

 

Das behaupten irgendwie alle "Entwickler" Nur stimmt das meist auf einem anderen Gebiet. ;)

 

aber an der produktiven Domain soll auf keinen fall einer rummfummeln um was zu testen.

 

Und wie willst du das verhindern? Ich vermute mal, die Entwickler entwickeln ja irgendwo auch die Software, oder?

 

Bye

Norbert

Share this post


Link to post
Testdomain:

- Jeder aus der Technik hat das recht systeme in die Domain einzubinden

- Jeder aus der Technik hat lokale Admin Rechte in der Domain

- Jeder aus der Technik muss ggf. Änderungen an der Domain machen können

(Technik <> Admin)

 

 

Produktivdomain:

- Keiner außer der Admin und ich darf Systeme in die Domain einbinden

- Nur wenige haben auf die Server Admin Rechte

- Keiner außer der Admin und ich darf Änderungen an der Domain durchführen

 

Es gibt ja auch noch die administrative Delegation.

 

Der Zugriff soll aber direkt möglich sein, idealerweise eben mit den Daten der Produktivdomain - daher die Vertrauenstellung.

 

Idealerweise ist eine Testumgebung vollständig von der produktiven getrennt. Sonst ist es absehbar, dass irgendwann jemand doch in der produktiven Umgebung herumfummelt.

 

dann setze ich im gleichen Netz die zweite Domain auf, erstelle eine Vertrauenstellung und dann habe ich doch genau das was ich will.

 

Wir reden hier von einer zweiten Gesamtstruktur, nicht von einer Subdomäne?

 

Ich weiß nur nicht genau, wie elegant und unkompliziert das Ganze ist.

 

Du musst zwei Gesamtstrukturen verwalten. Das lässt sich je nach Automatisierungs- und Standardisierungsgrad durchaus bewerkstelligen.

Share this post


Link to post

Hallo zusammen und noch ein fohes neues Jahr euch allen.

 

Im Grunde ist es egal was da getstet werden soll. Es geht nur darum, ob es sinn mach dies so auszuziehen. Ich denke sicherheitsstruktur sollte ich tatsächlich überdenken, bin aber soweit mit den Überlegungen, dass wir das so umsetzen - danke

Share this post


Link to post

Hallo,

 

ich meine:

 

Das primäre Problem ist doch der zu kleine Raum der IP-Adrtessen, dieses Manko ist zu beseitigen durch Supernetting, das Prinzip hat Daniel Metzger beschrieben, die Subnetmask ändern auf 255.255.254.0; das Errichten eines traditionellen B-Netzes mit 255.255.0.0 ist doch prinzipell nichts anderes, die Erweiterung des Adressraumes.

 

Ein Routing zwischen (Ip)Netzen bringt prinzipiell kein mehr an Sicherheit, es sei denn, es gibt auf dem Router noch eine Firewall, diese sorgfältig konfiguriert.

 

Man kann natürlich zwei physikalische Netze für die beiden Domänen einrichten, zwei Adressräume, dazwischen ein Routing, das Ganze als Vorbeugung zur Veringerung eines eventuellen hohen Broadcastes.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...