Zum Inhalt springen

Subnetting mit verschiedenen Abteilungen


nordi80

Empfohlene Beiträge

Hallo!

Habe ein kleineres Problem: Es sollen 3 Abteilungen eingerichtet werden (Vertrieb, Entwicklung und Buchhaltung). Alle sind momentan in einem Netz. Die Unterteilung in Subnetze ist mir klar (Klasse C Netz, die 3 ersten Bits vom letzten Oktett nehme ich zur Bildung). Nur sollen die Abteilungen Vertrieb nur die Rechner aus dem Vertrieb sehen, die Buchhaltung nur Buchhaltung und Vertrieb und die Entwicklung soll alle Rechner sehen können.

Wie kann ich das lösen? Hat jemand nen Rat für einen eigentlichen Anwendungsentwickler :-)?`

Gruß

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hallo,

da es um eine konzeptionelle Frage geht, spielt das Betriebssystem eine eher untergeordnete Rolle. Ausserdem wird man bei der Verwendung von drei Subnetzen nicht um einen Router mir drei Interfaces herumkommen (zwischen den Netzen muss schliesslich geroutet werden). Wozu soll eine Authentifizierung auf User-Basis verwendet werden, es geht ja um die Trennung der Subnetze? Diese Trennung läßt sich auch über Access-Listen bzw. eine Firewall auf dem Router realisieren.

@nordi80:

Die Trennung in drei unterschiedliche Subnetze hast Du ja schon vorgenommen. Welche Hardware soll als Router eingesetzt werden? Je nach Gerät kannst Du eine Firewall bzw. Access-Listen konfigurieren, die die Regeln für den Netzwerkzugriff auf die unterschiedlichen Abteilungen enthalten. Eine Möglichkeit ist der Einsatz eines Linux-basierten Routers, da Du hier sehr flexibel mit den Firewall-Regeln bist (und die Lösung ist auch relativ preiswert). Alternativ kannst Du auch einen VLAN-fähigen Switch mit Routingfunktionalität verwenden.

Nic

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hallo,

Original geschrieben von Gonfucius

Nein. Je nach OS ist eine logische Trennung der Netze möglich. Wie sicher das ist, ist eine andere Frage (durchaus OS abhängig). Wenn man sich denn für die Lösung über Netze entscheidet ist die physikalische Trennung sicherer, stimmt.

Wenn Du den ersten Beitrag gründlich liesst, wirst Du festellen das dort bereits von einer Trennung der drei Netze die Rede ist (und dabei handelt es sich um eine konzeptionelle Trennung, die völlig unabhängig vom Betriebssystem ist!). Spekulieren kann man natürlich viel, aber sinnvoll ist das nicht (und hilft auch dem Fragesteller nicht weiter).

@nordi80:

Eine echte Trennung der Netze erreichst Du nur über einen Router (oder einen VLAN-fähigen Switch mit Routing-Funktionalität). Die genannte Möglichkeit, mehrere IP-Adresse an ein Netzwerkinterface zu binden ist nicht besondert sinnvoll, da Du in diesem Fall die meisten Vorteile des Subnettings wird über Board wirfst.

Nic

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von Gonfucius

Nein, diese Lösung funktioniert bei entsprechendem OS einwandfrei. Und genau das möchte der OP ja. Nur die Rechner mit Routingfunktionalität bekommen dann IP-Adressen aus unterschiedlichen Netzen zugewiesen.

Wie nimmst Du in diesem Fall die Trennung der Broadcast-Domains vor? Der Router mag ja mit einem physikalischen (bzw. drei virtuellen Interfaces) in der Lage sein, die Daten zwischen den Subnetzen entsprechend zu routen. Aber wie siehts mit den Switches aus, auf denen alle drei Subnetze parallel liegen (wenn man mal von VLANs absieht, aber in diesem Falls sollte man keine Bastellösung wählen, sondern einen richtiges Konzept mit einem richtigen Router)?

Nic

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von Gonfucius

Hi,

Ja.

Dem Switch ist das egal (war es zumindest in unseren Testnetzen). Der Client entscheidet ob ein Packet in seinem Netz ist oder nicht. Probiere es einfach aus. Die Gefahr eines Redirect gehört natürlich eliminiert (OS).

Das es dem Switch "egal ist", ist auch das Hauptproblem. Da es sich um eine (!) Broadcast-Domain für alle drei Sub-Netze handelt, erhält ein Client auch den Traffik aus allen drei Netzen (den Broadcast- und Multicastverkehr ohne jegliche Änderungen, da sind auch keine Redirects o.ä. nötig). Netztrennung durch Subnetze bedeutet eine Trennung auf L3. Ein L2-Switch schaut nicht in den IP-Header, sondern auf den MAC-Header. Wirf mal in Deinem Testnetz einen Sniffer an. Du wirst festellen dass der Sniffer Datenpakete aus allen drei Subnetzen empfängt.

Aber so langsamn wird das hier OT, dem Frager ist wohl nicht wirklich geholfen.

Nic

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hallo!

Um wieviele Workstations handelt es sich denn jeweils?!

Ich muß Nic_Power zustimmen.

Es ist sinnvoller den Verkehr physikalisch zu trennen entweder über ein geroutetes Netz (sprich für jede Abteilung eigenen Switch und router dazwischen) oder über VLANs. Dafür brauchst du aber bessere & teurere Switche + Software bzw. Administrationszeit zum einrichten der VLANs (auch meistens über telnet möglich).

Dafür sparst du dir aber die Kosten für die Router.

Gruß

BSO

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von Gonfucius

Das ist nicht das Problem, sondern das ermöglicht die Realisierung des vom OP gewünschten Lösungsansatzes. Für wie sinnvoll man ihn auch halten mag.

Hi,

also ich kann Nic nur zustimmen, wir sind ja hier schliesslich Fachinformatiker und keine SOHO Bastler, die fehlerbehaftete Lösungen anpreisen!!!

mfg

HBegga

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von Gonfucius

Nachdem du mich ja direkt ansprichst:

Wo habe ich etwas "angepriesen"? Auf welche(n) "Fehler" beziehst du dich? Wo hast du Sinn meiner Posts nicht verstanden? (Bitte jeweils mit Zitat).

Hi Gon,

also gut........z.B Nic sagt es ist des und deswegen nicht anzuraten es nach deiner Lösung anzuwenden (Broadcast-Domain, Traffic etc).......

Du schreibst "stimmt", aber es geht trotzdem.

*preisst damit also deine Lösung an!!!*!

Nur weil etwas geht heisst es noch lange nicht das es auch im Sinne des Erfinders ist!

Ein Router teilt Logische Netze(oder ein L3 Switch). Fakt.

Alles andere ist gemurkse und nicht wirklich eine zufriedenstellende Lösung.

Denn nur weil etwas geht / läuft..heisst dies nochlange nicht das es sicher, gut oder anwendbar ist! Schliesslich gibbet ja auch Beta-Treiber die funktionieren....teilweise:D.

Ich hoffe Du verstehst wie ich das meine!

mfg

HBegga

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von Gonfucius

Es war eine technische Frage, mit entsprechender Antwort. Das hat mit anpreisen erst mal rein genau gar nichts zu tun.

Man bist Du stur :uli

Nein. Aber egal. Ich wusste ja bereits, dass meine Handschrift unter aller sau ist. Jetzt weiß ich auch noch, dass ich mich nicht verständlich ausdrücken kann. Danke für die Erkenntnis.

Ich liebe unsere störrischen Bayern :hodata :e@sy

hoffe man liesst sich mal wieder!

mfg

HBegga

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...