Jump to content

Routing zwischen zwei Netzen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi zusammen,

 

ich hätte da mal eine Frage. Wir haben hier langsam IP Adressen knappheit, ich möchte mir aber die Umstellung auf ein B Klassen Netz nicht wirklich antun. DIe Knappheit ist primär auf den starken Zuwachs von Testsystemen (VMs) die von verschiedenen Hosts erreichbar sein müssen zurückzuführen. Meine Idee wäre deshalb, eine zweite Domain - eben für die Testsysteme aufzuziehen.

 

Ich habe mir das so gedacht, dass dann unsere produktive Domain im Netz 192.168.1.x läuft, die Testdomain im Netz 192.168.2.x.

 

Mit dem Routing des W2k8 will ich dann das Routing zwischen den Netzen durchführen und eine Vertrauenstellung für die Authentifizierung einrichten.

 

Dann müsste es ja möglich sein, aus der Produktivumgebung auf die Testsysteme zuzugreifen.

 

Die Frage wäre aber dann noch, ob das auch ein Weg ist der zu empfehlen ist, oder ob besser in Hardare investiert wird die mir das Routing macht.

 

Was denkt ihr?

Link zu diesem Kommentar
Wir haben hier langsam IP Adressen knappheit, ich möchte mir aber die Umstellung auf ein B Klassen Netz nicht wirklich antun.

 

Davon ausgehend, dass Dein heutiges produktives Netz das Subnetz 192.168.1.0/24 umfasst und es Dir vorrangig um zusätzliche IP-Adressen geht, könntest Du einfach die Subnetzmaske auf 255.255.254.0 ändern und so ein Subnetz 192.168.0.0/23 erreichen. Du würdest somit alle IP-Adressen von 192.168.0.1 bis 192.168.1.0 hinzugewinnen, d.h. 255 zusätzliche.

Link zu diesem Kommentar

Hi dmetzger,

 

danke für die Antwort. Das ist korrekt, aber ich hatte vergessen eine kleinigkeit zu erwähnen. Ich wollte grundsätzlich die Trennung der DOmains (Produktiv und Testdomain) durchführen - das ganze hatte keine so hohe Prio, die Testsysteme sind nicht in der Domain, eine eigene Domain dafür würde aber einigen Leuten das leben leichter machen. Da jetzt die IPs knapp werden habe ich das zum Anlass genommen diese Trennung gleich mit zu machen.

 

Wären die beiden Domains im gleichen Subnetz möglich?

Link zu diesem Kommentar
Hi dmetzger,

 

danke für die Antwort. Das ist korrekt, aber ich hatte vergessen eine kleinigkeit zu erwähnen. Ich wollte grundsätzlich die Trennung der DOmains (Produktiv und Testdomain) durchführen

 

Wozu? Ein Router ist ja keine wirkliche Trennung. ;)

 

Wären die beiden Domains im gleichen Subnetz möglich?

 

Ja klar.

 

Bye

Norbert

Link zu diesem Kommentar

Hi du,

 

 

Mit dem Routing des W2k8 will ich dann das Routing zwischen den Netzen durchführen und eine Vertrauenstellung für die Authentifizierung einrichten.

 

 

 

er ich hatte vergessen eine kleinigkeit zu erwähnen. Ich wollte grundsätzlich die Trennung der DOmains (Produktiv und Testdomain) durchführen - das ganze hatte keine so hohe Prio, die Testsysteme sind nicht in der Domain, eine eigene Domain dafür würde aber einigen Leuten das leben leichter machen.

 

irgendwie sind das für mich zwei Wiedersprüche. An deiner Stelle Test und Produktiv unbedingt trennen. Mit einem Router sollte dies machbar sein. Besser wäre noch eine Firewall oder sogar zwei getrennte Netze, doch das übersteigt meist die vorhandenen Mittel.

Link zu diesem Kommentar

Hi zusammen,

 

ok, nochmal die Fakten:

 

Testdomain:

- Jeder aus der Technik hat das recht systeme in die Domain einzubinden

- Jeder aus der Technik hat lokale Admin Rechte in der Domain

- Jeder aus der Technik muss ggf. Änderungen an der Domain machen können

(Technik <> Admin)

 

 

Produktivdomain:

- Keiner außer der Admin und ich darf Systeme in die Domain einbinden

- Nur wenige haben auf die Server Admin Rechte

- Keiner außer der Admin und ich darf Änderungen an der Domain durchführen

 

Der Zugriff soll aber direkt möglich sein, idealerweise eben mit den Daten der Produktivdomain - daher die Vertrauenstellung.

 

Nun bin ich an dem Punkt das ich mir überlege, das Routing wegzulassen und das Subnetz mit der Subnetzmaske zu erweitern, dann setze ich im gleichen Netz die zweite Domain auf, erstelle eine Vertrauenstellung und dann habe ich doch genau das was ich will.

 

Ich weiß nur nicht genau, wie elegant und unkompliziert das Ganze ist.

Link zu diesem Kommentar
Was genau soll eigentlich getestet werden, wenn jeder alles machen kann? Dann kann auch jeder alles kaputt machen und keiner weiß hinterher was warum von wem überhaupt wie konfiguriert wurde. ;)

 

Bye

Norbert

 

Nein, es geht nicht um Domaintests. Wir sind eine Softwarefirma. Die Testserver/ Clients sollen zum einen leichter für alle erreichbar sein und zum anderen muss das system eben auch mal in einer domain getestet werden. Und wer die Testdomain kaputt macht bekommt eine auf den Deckel :-)

 

Nein, die Leute sind EDV technisch schon fit, aber an der produktiven Domain soll auf keinen fall einer rummfummeln um was zu testen.

Link zu diesem Kommentar
Nein, es geht nicht um Domaintests.

 

Wozu brauchen die Tester dann Adminrechte in der Domain? ;)

 

Wir sind eine Softwarefirma. Die Testserver/ Clients sollen zum einen leichter für alle erreichbar sein und zum anderen muss das system eben auch mal in einer domain getestet werden. Und wer die Testdomain kaputt macht bekommt eine auf den Deckel :-)

 

Ist nur schwer herauszufinden. ;)

 

Nein, die Leute sind EDV technisch schon fit,

 

Das behaupten irgendwie alle "Entwickler" Nur stimmt das meist auf einem anderen Gebiet. ;)

 

aber an der produktiven Domain soll auf keinen fall einer rummfummeln um was zu testen.

 

Und wie willst du das verhindern? Ich vermute mal, die Entwickler entwickeln ja irgendwo auch die Software, oder?

 

Bye

Norbert

Link zu diesem Kommentar
Testdomain:

- Jeder aus der Technik hat das recht systeme in die Domain einzubinden

- Jeder aus der Technik hat lokale Admin Rechte in der Domain

- Jeder aus der Technik muss ggf. Änderungen an der Domain machen können

(Technik <> Admin)

 

 

Produktivdomain:

- Keiner außer der Admin und ich darf Systeme in die Domain einbinden

- Nur wenige haben auf die Server Admin Rechte

- Keiner außer der Admin und ich darf Änderungen an der Domain durchführen

 

Es gibt ja auch noch die administrative Delegation.

 

Der Zugriff soll aber direkt möglich sein, idealerweise eben mit den Daten der Produktivdomain - daher die Vertrauenstellung.

 

Idealerweise ist eine Testumgebung vollständig von der produktiven getrennt. Sonst ist es absehbar, dass irgendwann jemand doch in der produktiven Umgebung herumfummelt.

 

dann setze ich im gleichen Netz die zweite Domain auf, erstelle eine Vertrauenstellung und dann habe ich doch genau das was ich will.

 

Wir reden hier von einer zweiten Gesamtstruktur, nicht von einer Subdomäne?

 

Ich weiß nur nicht genau, wie elegant und unkompliziert das Ganze ist.

 

Du musst zwei Gesamtstrukturen verwalten. Das lässt sich je nach Automatisierungs- und Standardisierungsgrad durchaus bewerkstelligen.

Link zu diesem Kommentar

Hallo,

 

ich meine:

 

Das primäre Problem ist doch der zu kleine Raum der IP-Adrtessen, dieses Manko ist zu beseitigen durch Supernetting, das Prinzip hat Daniel Metzger beschrieben, die Subnetmask ändern auf 255.255.254.0; das Errichten eines traditionellen B-Netzes mit 255.255.0.0 ist doch prinzipell nichts anderes, die Erweiterung des Adressraumes.

 

Ein Routing zwischen (Ip)Netzen bringt prinzipiell kein mehr an Sicherheit, es sei denn, es gibt auf dem Router noch eine Firewall, diese sorgfältig konfiguriert.

 

Man kann natürlich zwei physikalische Netze für die beiden Domänen einrichten, zwei Adressräume, dazwischen ein Routing, das Ganze als Vorbeugung zur Veringerung eines eventuellen hohen Broadcastes.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...