Jump to content

Verbinden mehrerer Subnetzte


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Guten morgen,

 

ich habe folgendes Problem bei der Umstellung meiner Netzwerkinfrastruktur.

 

Momentan habe ich ein einziges großes Netz

IP: 10.1.0.0

SM: 255.255.0.0

Zum besseren Überblick wurde an alle Server 10.1.1.0, Workstations 10.1.2.0, Drucker 10.1.6.0 usw. vergeben.

 

Da ich jetzt auf eine neue Firewall umstelle (CheckPoint) möchte ich auch gleich die Netze etwas verkleinern, dabei sollen sich aber die IP Adressen nicht ändern. Ich habe vor einfach die Subnetmask etwas zu verkleinern.

SM: 255.255.255.0

 

 

Jetzt zu meiner eigentlichen Frage :D

Es müsste doch funktionieren wenn ich der Internen NIC der Firewall die

IP: 10.1.1.1

SM: 255.255.0.0

gebe, dass sie als Router für alle Subnetzte fungiert. Sie muss nur bei allen Rechnern als Default Gateway eingetragen sein, oder?

Ich möchte nämlich nicht für jedes Subnetz eine eigene NIC einbauen (außerdem hat der Firewallrechner nicht soviele Steckplätze :D )

Link to comment

Nach allen Regeln von TCP/IP geht da nicht. Funktioniert aber trotzdem.

Wir hatten mal einen Router, der leider nur eine IP-Adresse annehmen konnte. Wir haben folgendes konfiguriert

Router 192.168.1.1 255.255.0.0

Netz1 192.168.1.0/24

Netz2 192.168.2.0/24

Beide Gateway 192.168.1.1

Wie gesagt: der reinen Lehre nach geht s nicht, es geht aber...

 

Zwischen den Netzen wurde dabei nicht geroutet (das war auch der Sinn der Sache) lediglich aus beiden Netzen ins Internet.

Um zwischen den Netzen zu Routen müsste Dein Router irgendwelche Einstellungen haben. Ob der das kann wage ich zu bezweifeln.

Kannst Du der Firewall nicht zwei IP-Adressen geben?

 

Ich denke am Ende wirst Du mit dem großen Netz leben müssen, oder alle IPs anfassen müssen.

Michael

Link to comment

Hallo,

 

Da ich jetzt auf eine neue Firewall umstelle (CheckPoint) möchte ich auch gleich die Netze etwas verkleinern, dabei sollen sich aber die IP Adressen nicht ändern. Ich habe vor einfach die Subnetmask etwas zu verkleinern.

SM: 255.255.255.0

Dabei werden die Netze in der Tat kleiner. Nach deiner Beschreibung hast Du dann ein Netz für die Server, eins für die Clients und eins für die Drucker. Das macht herzlich wenig Sinn.

 

Gruß kobalt

Link to comment
Original geschrieben von micha42

Nach allen Regeln von TCP/IP geht da nicht. Funktioniert aber trotzdem.

...

Kannst Du der Firewall nicht zwei IP-Adressen geben?

...

Michael

 

Hallo Michael,

 

danke für deine Antwort. Ich bin der Meinung, das es seit CIDR und VLSM auch offiziell funktionieren müsste.

Ich kann einem Interface leider nur zwei IPs zuweisen, das reicht aber bei weitem nicht aus.

 

Evtl. kann mir jemand anders noch weiterhelfen?

Link to comment
Original geschrieben von kobalt

Hallo,

 

Dabei werden die Netze in der Tat kleiner. Nach deiner Beschreibung hast Du dann ein Netz für die Server, eins für die Clients und eins für die Drucker. Das macht herzlich wenig Sinn.

 

Gruß kobalt

 

Hallo Kobalt,

 

der Sinn liegt darin, dass ich über die Firewall Regeln erstellen kann und somit den Zugriff auf die Server aus dem Internen Netz limitieren kann, ähnlich einer DMZ.

Link to comment
Original geschrieben von Josh16

...

Ich bin der Meinung, das es seit CIDR und VLSM auch offiziell funktionieren müsste.

mußte gerade erstmal nachgucken was das nun wieder für Abkürzungen sind. Lief bei mir bis dahin unter "Subnetting". ;)

 

Naja was die Begründung angeht:

Das Gateway muß meines Wissens (für die reine Lehre) im gleichen Subnetz liegen wie der Host. Was bei der beschreibenen Konfiguration definitiv nicht der Fall ist. Warum es aber trotzdem funktioniert weiß ich nicht. Das kann dann wieder an den Abkürzungen CIDR und VLSM liegen. :D

Evtl. kann mir jemand anders noch weiterhelfen?

Pöh ;)

Michael

Link to comment

Hallo Josh16,

der Sinn liegt darin, dass ich über die Firewall Regeln erstellen kann und somit den Zugriff auf die Server aus dem Internen Netz limitieren kann, ähnlich einer DMZ.

Das ist schon klar, aber es macht - zumindest in den Fällen die ich mir denken kann - keinen Sinn, ALLE Server in eine DMZ zu stellen. Vor welcher Art Angriffen von innerhalb musst Du deine Server denn schützen? Die Clients müssen ja regelmässig mit den Servern kommunizieren (DHCP, DNS, DC) und wenn alles über Router laufen muss verlierst Du nur Geschwindigkeit. Wo wäre Deiner Ansicht nach der Gewinn?

 

Gruß kobalt

Link to comment
Original geschrieben von kobalt

Hallo Josh16,

 

Das ist schon klar, aber es macht - zumindest in den Fällen die ich mir denken kann - keinen Sinn, ALLE Server in eine DMZ zu stellen. Vor welcher Art Angriffen von innerhalb musst Du deine Server denn schützen? Die Clients müssen ja regelmässig mit den Servern kommunizieren (DHCP, DNS, DC) und wenn alles über Router laufen muss verlierst Du nur Geschwindigkeit. Wo wäre Deiner Ansicht nach der Gewinn?

 

Gruß kobalt

 

Es geht nicht nur um Angriffe von z.B. Würmern die eingeschleppt werden. Es geht hauptsächlich um Berechtigungen. Es gibt Abteilungen die haben auf manchen Servern nichts verloren.

Für die Kommunikation über die Standartdienste werden natürlich entsprechende Ports freigegeben. Ich halte es für ein Gerücht das ein Router wesentlich langsamer ist als ein Switch.

Link to comment
Es geht hauptsächlich um Berechtigungen. Es gibt Abteilungen die haben auf manchen Servern nichts verloren.

Dann dreh die NTFS-/Freigabe-Berechtigungen zu. Das wäre der einfachste Weg.

 

Ob sich die Geschwindigkeit in der Praxis tatsächlich bemerkbar macht, müsste man natürlich erst einmal messen. Theoretisch ist es aber langsamer (z.B. DHCP).

 

kobalt

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...