Frage zur Planung von Broadcastdomänen und Subnetzen

[Eleu]

Mit meiner Frage beziehe ich mich auf dieses Posting:

http://forum.fachinformatiker.de/networking-technologies/142875-ip-konkrete-subnetmasken-berechnen-2.html

Was mir bei solchen Aufgaben fehlt, ist irgendwie der Praxisbezug.

Kann das in der Praxis überhaupt so vorkommen, dass man einen IP Adressbereich von 31.0.0.0 bis 31.255.255.255 derart segmentiert, dass in einem Subnetz bis zu 2000 Rechner eingesetzt werden könnten ?

Ich habe mal in einem anderen Posting nachgefragt, ab welcher Rechneranzahl man eine Aufteilung in separate Subnetze vornehmen sollte.

Antwort: Ist natürlich abhängig von dem zu erwartendem Netzwerktraffic,

aber so ab 100 Rechner sollte man anfangen darüber nachzudenken.

Jetzt hat man ja häufig auch in vermaschten Netzen VLAN`s im Einsatz.

Wenn ich nun z.B. ein Subnetz mit der Netzadresse 31.0.10.0/25 habe, kann man in diesem Subnetz bis zu 125 Rechner unterbringen.

Nun würde ich dieses Subnetz auch in ein bestimmtes VLAN mit einer bestimmten VLAN ID unterbringen, damit ich eben nicht so viele broadcasts mehr habe.

Wenn jetzt in der Zukunft die Abteilung vergrößert wird (Also mehr als 125 Rechner), würde ich diese weiteren Rechner in ein weiteres Subnetz unterbringen.

Das neue Subnetz wieder in ein neues VLAN mit neuer VLAN ID.

Die Kommunikation dann über Router.

Ist das Grundsätzlich der richtige Weg ?

Oder kann man besser große Subnetze planen und wenn dann irgendwann der Traffic in dem Netz zu hoch ist, dann eben bestimmte Rechner in anderes Subnetz mit neuem VLAN umorgansieren.

Mit DHCP müsste so ein Wechsel von Rechnern in andere Netze doch schnell zu machen sein ?

Meine Frage wäre also, wie gehe ich es am sinnvollsten an, um auch in Zukunft so flexible wie möglich zu sein.

Von Anfang an große Netze, oder lieber kleine ?

Der in der Zukunft zu erwartende Bedarf ist ja ebenfalls nicht abzusehen.

Wie mache ich es also richtig, damit ich in der Zukunft nicht sagen muss:

Warum habe ich das nicht von Anfang an so gemacht. Dann hätte ich jetzt

nicht das Problem ich Idi...

Gruß

Eleu

Bearbeitet 10. November 2010 von Eleu

[jeronimonino]

Es gibt kein Grund im Unternehmischen Bereich nicht öffentliche subnetze zu teilen. Da du nicht offizielle IP-Adressen benutzt. Dieses Subnetting ist ein überbleibsel wo die Provider jedem Anschluss Offizielle Adressen zugewiesen haben, und die Administratoren sogut wie möglich mit der Range hantieren mussten.

[dgr243]

Ich habe mal in einem anderen Posting nachgefragt, ab welcher Rechneranzahl man eine Aufteilung in separate Subnetze vornehmen sollte.

Antwort: Ist natürlich abhängig von dem zu erwartendem Netzwerktraffic,

aber so ab 100 Rechner sollte man anfangen darüber nachzudenken.

100 Rechner halte ich für recht gering eangesetzt. In der Praxis habe ich meist Class C Netze, die teils bis 95% ausgelastet sind und selbst da keine Probleme mit Broadcast Storms.

Wenn jetzt in der Zukunft die Abteilung vergrößert wird (Also mehr als 125 Rechner), würde ich diese weiteren Rechner in ein weiteres Subnetz unterbringen.

Das neue Subnetz wieder in ein neues VLAN mit neuer VLAN ID.

Die Kommunikation dann über Router.

Ist das Grundsätzlich der richtige Weg ?

Jein. Technisch gesehen funktioniert das durchaus so, praktisch gesehen würde ich - bei Planung am grünen Tisch - eher funktionale VLANs (intern_prod, intern_Dev, intern_Test,intern_Hochsicherheit, extern, DMZ, WLAN, VoIP, Drucker,....)- bauen. Das ist aber auch eine Glaubbensfrage. Die Aufteilung nach Abteilungen empfinde ich als suboptimal.

Mit DHCP müsste so ein Wechsel von Rechnern in andere Netze doch schnell zu machen sein ?

Ja das ist mit DHCP schnell gemacht. Port in neues VLAN umkonfigurieren, DHCP Lease erneuern bzw. neue IP Anfordern am Client, neuer DHCP Server (bzw. anderer DHCP Pool) wird angesprochen, fertig.

Meine Frage wäre also, wie gehe ich es am sinnvollsten an, um auch in Zukunft so flexible wie möglich zu sein.

Von Anfang an große Netze, oder lieber kleine ?

Der in der Zukunft zu erwartende Bedarf ist ja ebenfalls nicht abzusehen.

Grundsätzlich sollte für den Portbedarf zumindest grobe Forecasts geben. Das ermöglich zwar keine Planung im Mehrjahresbereich, gibt aber genügend Vorlauf für evtl. notwendige Anpassungen.

Planerisch machen wir das bei uns so, dass wir grundsätzlich mit Class C Netzen anfangen. Wird der Bedarf in diesem VLAN/IP Netz zu hoch (Auslastung permanent > 90%) wird ein weiteres VLAN/IP Netz hinzugefügt und neue Geräte nur noch im neuen VLAN Provisioniert.

Die höchste Flexibilität -und bei uns gerade in der Umsetzung- erreicht man natürlich mit 802.1x. Zukünftig wird sich also jedes Endgerät am Netz authentifizieren und auf Basis dieser authentifizierung im "richtigen" VLAN Landen und ggf. weitere Features (QoS, Access Beschränkungen (ACL), Port Security Features...) zugewiesen bekommen. Hat gleichzeitig den Vorteil, dass User Meier sein Notebook an Standort Hintertupfingen abstöpseln und in den Vordertapfingen anstöpseln kann, ohne dass sich an seiner IP Umgebung etwas ändert

Wie mache ich es also richtig, damit ich in der Zukunft nicht sagen muss:Warum habe ich das nicht von Anfang an so gemacht. Dann hätte ich jetzt nicht das Problem ich Idi...

Eine 100%ige Sicherheit wirst du nie haben. Deine besten Freunde sind solide Bedarfsforecasts und ein offenes Netzdesign, welches einfache Änderungen / Umzüge / Erweiterungen ermöglicht

Es gibt kein Grund im Unternehmischen Bereich nicht öffentliche subnetze zu teilen.

Mir fallen da durchaus Gründe ein.

Einfaches Beispiel: Wenn ich definitiv weiß, dass ich an Standort XYZ 3 Etagen habe, die sich auch nicht ändern werden und pro Etage 2 Drucker vorgesehen sind, weiss ich ja definitiv, dass ich nicht mehr als 6 IP Adressen (zzgl. Router IP + ggf. HSRP) benötigen werde. Das Netz also hier schon auf /29 zu begrenzen ermöglicht mir ggf. dass ich unternehmensweit alle Drucker in einem /24 unterbringe und erleichtere mir so die Administration.

Damit habe ich zwar etwas mehr Aufwand in der Routingkonfiguration, die ändere ich ja aber nicht regelmässig bzw. habe entsprechende Routingprotokolle im Einsatz.

Ist nur ein Beispiel, wo auch das teilen von privaten Netzen durchaus sinnvoll sein kann.

[Eleu]

Es gibt kein Grund im Unternehmischen Bereich nicht öffentliche subnetze zu teilen. Da du nicht offizielle IP-Adressen benutzt. Dieses Subnetting ist ein überbleibsel wo die Provider jedem Anschluss Offizielle Adressen zugewiesen haben, und die Administratoren sogut wie möglich mit der Range hantieren mussten.

Verstehe ich das richtig ?

Bestenfalls alle Rechner in ein großes Subnetz packen ?

Einzelne Adressbereiche in diesem Subnetz in separate VLAN`s aufteilen ?

Also die Segmentierung erfolgt dann nur noch über die VLAN`s ?

Edit: dgr243 hat dazu etwas geschrieben. Hatte ich noch nicht gesehen.

[dgr243]

Verstehe ich das richtig ?

Bestenfalls alle Rechner in ein großes Subnetz packen ?

Nein er meint, dass es nicht notwendig ist private Classfull Netze (/8 ; /16 ; /24) in weitere Subnetze zu unterteilen, sondern jeweils Classfull Netz vorzusehen, auch wenn diese dann vielleicht nur zu 5% belegt sind.

[Eleu]

Jein. Technisch gesehen funktioniert das durchaus so, praktisch gesehen würde ich - bei Planung am grünen Tisch - eher funktionale VLANs (intern_prod, intern_Dev, intern_Test,intern_Hochsicherheit, extern, DMZ, WLAN, VoIP, Drucker,....)- bauen. Das ist aber auch eine Glaubbensfrage. Die Aufteilung nach Abteilungen empfinde ich als suboptimal.

Das Netz also hier schon auf /29 zu begrenzen ermöglicht mir ggf. dass ich unternehmensweit alle Drucker in einem /24 unterbringe und erleichtere mir so die Administration.

Damit habe ich zwar etwas mehr Aufwand in der Routingkonfiguration, die ändere ich ja aber nicht regelmässig bzw. habe entsprechende Routingprotokolle im Einsatz.

Aber wenn alle Drucker in einem Subnetz untergbracht werden,´muss alles was gedruckt werden soll von allen Abteilungen dorthin geroutet werden.

Ich habe mal gelesen, dass switchen schneller ist als routen.

Wenn die Subnetze/VLAN`s nach Abteilung aufgeteilt werden, bleibt der meiste Netzwerktraffic innerhalb der Layer 2 Umgebung.

Würde das nicht die gesamte Netzwerkstruktur entlasten ?

Oder ist das das bei den heutigen Geräten kein Thema mehr.

Gruß

Eleu

[Crash2001]

[...]Wenn die Subnetze/VLAN`s nach Abteilung aufgeteilt werden, bleibt der meiste Netzwerktraffic innerhalb der Layer 2 Umgebung.

Würde das nicht die gesamte Netzwerkstruktur entlasten ?

Oder ist das das bei den heutigen Geräten kein Thema mehr. [...]

Überlege mal, wo innerhalb einer Abteilung drauf zugegriffen wird im Normalfall...

Meist wird auf diverse Server zugegriffen, die nicht im gleichen vlan sind. Da hast du dann schon automatisch wieder das Routing, ausser wenn du ein grosses Netz machst. Dann hast du aber wieder die Probleme mit dem Broadcast und Multicast.

Dass in einer Abteilung Zugriffe von einem auf den anderen Rechner untereinander erfolgen ist wohl eher die Ausnahme. Für Datenaustausch wird in bestimmt 90% der Fälle ein Fileserver genutzt.

Und das bisschen Traffic vom drucken ist definitiv kein Problem.

Mittlerweile geht man eigentlich dazu über in grossen Firmen, die Subnetze (/24 oder noch grösser) jeweils Layer3-seitig abzukoppeln, um so den Broadcasttraffic niedrig zu halten und diverse andere Probleme wenn nur in diesem einen Subnet eskalieren zu lassen. (z.B. Networkloops oder Broadcaststorms)

Routing in Wirespeed ist nicht mehr so das Problem wie noch vor ein paar Jahren und wird dementsprechend auch oft eingesetzt.

NAtürlich sind Layer3-Switche teurer, als reine Layer2-Switche, aber so viel teurer auch nicht mehr...

[dgr243]

Aber wenn alle Drucker in einem Subnetz untergbracht werden,´muss alles was gedruckt werden soll von allen Abteilungen dorthin geroutet werden.

Ich habe mal gelesen, dass switchen schneller ist als routen.

L2 Switching ist schneller als L3 Routing

Aktuelle Switches -wenn wir jetzt mal von SoHo und Consumer Geräten absehen- sind aber zu 99% eh L3 Switches und routen somit Problemlos in Wirespeed.

Wenn die Subnetze/VLAN`s nach Abteilung aufgeteilt werden, bleibt der meiste Netzwerktraffic innerhalb der Layer 2 Umgebung.

Würde das nicht die gesamte Netzwerkstruktur entlasten ?

Jein.. Ist halt ne Frage des Netzaufbaus. WENN du wirklich für jede Abteilung einen eigenen Fileserver hast der im VLAN der Abteilung steht, hättest du eine gewisse Entlastung. Allerdings würde das auch bedeuten, dass man die Fileserver ans Network edge stellt, wo man doch eigentlich versucht sowas im Network Core (oder notfalls Collapsed Core) anzubinden.

Ist aber auch sicherlich eine Frage der Größe. Ich bin jetzt von einem größeren LAN / CAN ausgegangen mit mehreren Standorten und Portanzahlen von >= 5000

Unterhalb von -aus dem Bauch raus- 500-800 Ports würde ich mir da sowieso kaum Gedanken drum machen...

[DocInfra]

Unterhalb von -aus dem Bauch raus- 500-800 Ports würde ich mir da sowieso kaum Gedanken drum machen...

Und ob. Bei < 150 ist es egal. Aber bei 500 bis 800 Ports hast du schon eine recht hohe Grundlast. Häng da mal einen Sniffer rein... Das ist i.d.R. schon der Horror. Ich muss sagen, dass ich für meinen Teil schon bei kleinen Netzen mit VLANs arbeite. Selbst wenn ich < 100 Clients bin, trenne ich Server, Drucker und Clients. Dazu kommen dann eigene VLANs für Spezialfälle (iSCSI, vMotion von VMware etc). Warum auch nicht? Es ist kaum Mehrarbeit und man hat eine ganz saubere Trennung. Routing ist heute wirklich kein Problem mehr, aber das haben die Jungs vor mir ja auch schon klar gemacht.

[Eleu]

Dank Euch allen für die vielen Tipps.

Interessant finde ich die Geschichte mit 802.1x.

Werde mir das mal reinschmöckern

802.1x verursacht aber bestimmt auch einen ziemlichen Protocol overhead ?

D.h. die Netzlast wird dadurch auch nicht grade kleiner.

drg243: Kannst ja mal mitteilen wie das so bei dir läuft, wenn es mal fertig ist.

Gruß

Eleu

[dgr243]

drg243: Kannst ja mal mitteilen wie das so bei dir läuft, wenn es mal fertig ist.

Momentan zicken die VoIP Phones noch ein wenig rum, aber der Rest des Netzes läuft. Ist schon witzig, dass ich mich an Standort A vom Netz abstöpsele, per WLAN im selben VLAN Arbeite (sogar selbe IP, dank DHCP Reservierung), kurz auf Standby schalte und an Standort 2 300km entfernt wieder in meinem Heimat VLAN mit meiner Heimat IP sitze

Das Protokoll selbst erzeugt dabei kaum Traffic. Nur Traffic der zuvor innerhalb eines VLANs blieb (und das VLAN am Standort) muss nun halt Deutschlandweit verschubbst werden. DAS wiederum merkt man natürlich an der Grundlast des Netzes (von ~130mbit/s zwischen Filiale und Zentrale hoch auf rund 700mbit/s, wenn genügend Leute am "roamen" sind)