Discussion:
C-Netz verbinden
(zu alt für eine Antwort)
Thomas Liebermann
2005-02-11 14:30:23 UTC
Permalink
Hallo Newsgroup

Folgende Fragestellung:

Ich betreibe ein Klasse C Netz 192.168.2.0/255.255.255.0 welches langsam
aber sicher aus den Nähten zu platzen droht. Ich habe noch etwa 15 Adressen
frei.

Ich muss also neue Adressen schaffen.

Ich kann nun ein neues Klasse C Netz erstellen und mit einem Router
verbinden, z.B 192.168.3.0/ 255.255.255.0.

Ich habe mich nun auf die Suche nach einem solchen Router gamacht und keine
gefunden. Ich brauche im Prinzip ein Gerät welches Routingfunktionen in
TCP/ IP anbietet und 2 oder mehr Ethernet Ports hat. Ich hab alles
gebfunden, Switch, Hub, ADSL Router etc. aber nicht was ich suchte.
Ich könnte es natürlich auch mit einem Rechner und 2 NICs machen.
Nun meine Frage an die Erfahruung der Newsgroup, was ist sinnvoller und
günstiger? Bei welchem Hersteller finde ich ein solches Gerät. Ich bin im
KMU tätig und frage mich, wie das in Grossfirmen gemacht wird.

Sind Router eigentlich noch aktuell oder setzt man heute auf Layer 3
Switches?

Oder ein anderer Ansatz- ich könnte auch ein Klasse B Netz erstellen, ist
das sinvoll, Stichwort Broadcast-Domain? Was sind so allgemeine
Erfahrungen, wie gross darf (sollte) ein Klasse B Subnetz generell sein?


Thomas Liebermann
B.Eckstein
2005-02-11 15:36:42 UTC
Permalink
Post by Thomas Liebermann
Ich kann nun ein neues Klasse C Netz erstellen und mit einem Router
verbinden, z.B 192.168.3.0/ 255.255.255.0.
Ich habe mich nun auf die Suche nach einem solchen Router gamacht und keine
gefunden.
Dann hast Du nicht richtig gesucht. Die "üblichen Verdächtigen" wie
Cisco haben selbstverständlich sowas im Angebot. Irgend 'ne keine Büchse
mit einem zweiten Ethernet-I/F z.B.
Post by Thomas Liebermann
Ich könnte es natürlich auch mit einem Rechner und 2 NICs machen.
Nun meine Frage an die Erfahruung der Newsgroup, was ist sinnvoller und
günstiger?
Günstiger ist vermutlich ein einfacher Linux-PC, vermutlich
zuverlässiger ein Router.
Post by Thomas Liebermann
Sind Router eigentlich noch aktuell oder setzt man heute auf Layer 3
Switches?
Die können das auch. YA>Auch hier heisst es, bei den "üblichen
Verdächtigen" wie 3com, Cisco, HP usw.
Post by Thomas Liebermann
Oder ein anderer Ansatz- ich könnte auch ein Klasse B Netz erstellen, ist
das sinvoll, Stichwort Broadcast-Domain? Was sind so allgemeine
Erfahrungen, wie gross darf (sollte) ein Klasse B Subnetz generell sein?
Hängt vom Traffic ab.
--
B.Eckstein, ***@ivu.de Cheap, Fast, Good - pick any two of them
Die FAQ zu de.comp.hardware.netzwerke: http://how.to/dchn
Mozilla-Tips: http://mozilla-anleitung.de/ http://www.holgermetzger.de/
Roland Messerschmidt
2005-02-11 15:48:39 UTC
Permalink
Hallo Thomas!
langsam aber sicher aus den Nähten zu platzen droht. Ich habe noch
etwa 15 Adressen frei.
Das heißt, du hast so etwa 235 (+/-) Geräte im Netz. Rechnen wir 1/3
für Server, Netzwerkdrucker etc. weg, bleiben rund 150 User. Das
nennst du KMU?

Du solltest etwas mehr Informationen bringen, um saubere
Lösungsansätze zu bekommen.

Sitzen alle in einem Haus?
Topologie (Stichwort: Stockwerksverteiler)?
Könnte man Abteilungen sinnvoll zusammenfassen?
IP-Vergabe per DHCP oder alles manuell eingegeben?
Bist du der Admin?


Roland
Thomas Liebermann
2005-02-11 16:53:29 UTC
Permalink
Post by Roland Messerschmidt
Hallo Thomas!
langsam aber sicher aus den Nähten zu platzen droht. Ich habe noch
etwa 15 Adressen frei.
Das heißt, du hast so etwa 235 (+/-) Geräte im Netz. Rechnen wir 1/3
für Server, Netzwerkdrucker etc. weg, bleiben rund 150 User. Das
nennst du KMU?
Genau, Drucker Server etwa 1/4, der Rest Clients.
Wir bieten Erwerblosenkurse an, also Schulungsräume, deshalb haben wir eine
grosse Anzahl von Clients bei wenigen Mitarbeitern und sind eine KMU,
...ich weiss nicht genau wo die KMU-Grenze liegt!
Item.
Post by Roland Messerschmidt
Sitzen alle in einem Haus?
Topologie (Stichwort: Stockwerksverteiler)?
Nein, in 4 Gebäuden in unterschiedlichen Stockwerken, ziemlich verzettelt.
Die Stockwerkverteiler bestehen aus Layer2 Switches, welche via Fiber
verbunden sind, aber wie gesagt, alle im gleichen IP-Netz.
Post by Roland Messerschmidt
Könnte man Abteilungen sinnvoll zusammenfassen?
Klar, ich würde das (gesuchte) Gerät vor einen solchen Layer2 Switch setzen
und würde etwa 80 Hosts ins neue Netz bringen- mein Problem wäre gelöst!
Ebenfalls interessante Variante (Sicherheit!) wäre die Schulungsclients von
den Mitarbeiterclients IP-mässig (anderes Netz) zu trennen (physikalisch
ist das leider nicht möglich), ich hätte dann 2 Fliegen auf einen Schlag.
Das würde aber meiner Meinung nach umständliche Verfahren in der
Adressverteilung (DHCP-Reservationen) mit sich bringen, oder täusche ich
mich da? Weiss jemand eine Lösung?
Post by Roland Messerschmidt
IP-Vergabe per DHCP oder alles manuell eingegeben?
DHCP von einem einzelnen Server.
Gibt es die Möglichkeit die Adressvergabe über den Router abzuwickeln? Hab
da mal was von DHCP Relay oder so ähnlich gehört, selber aber noch nie
eingesetzt!?
Post by Roland Messerschmidt
Bist du der Admin?
Ja. Ich administriere 9 derartige Standorte, welche ich via VPN über WAN
verbinde. Alle haben zwischen 30 und 100 Hosts, also kein Problem für die C
Klasse Netze. Ausser eben der eine Standort kommt nun an die Grenzen und
als ich mich auf die Suche nach einen einfachen LAN Router machte, konnte
ich zu meinen Erstaunen keinen passenden finden, deshalb meine
Fragestellung, ob und wie man das "normalerweise" bewerkstelligt.

Thomas
Michael Buchholz
2005-02-11 17:13:43 UTC
Permalink
Post by Thomas Liebermann
Genau, Drucker Server etwa 1/4, der Rest Clients.
Wir bieten Erwerblosenkurse an, also Schulungsräume, deshalb haben wir eine
grosse Anzahl von Clients bei wenigen Mitarbeitern und sind eine KMU,
...ich weiss nicht genau wo die KMU-Grenze liegt!
Item.
Hmm, also bei der Umschulung, die ich gemacht habe, war neder Schulungsraum ein
eigenes C-Netz, die Dozentenräume noch eines, und in jedem Raum stand ein
(Fli4l/IP-COP-)Router mit Switch, sowie ein Switch für alle Router.

Fertig ist die (Sicherere) Laube.

Lag wahscheinlcih auch daran, das ungefähr die Hälfte der Umschüler einen
IT-Beruf gelernt haben ;-)


Michael.
Thomas Liebermann
2005-02-11 17:33:18 UTC
Permalink
Post by Michael Buchholz
Post by Thomas Liebermann
Genau, Drucker Server etwa 1/4, der Rest Clients.
Wir bieten Erwerblosenkurse an, also Schulungsräume, deshalb haben wir eine
grosse Anzahl von Clients bei wenigen Mitarbeitern und sind eine KMU,
...ich weiss nicht genau wo die KMU-Grenze liegt!
Item.
Hmm, also bei der Umschulung, die ich gemacht habe, war neder Schulungsraum ein
eigenes C-Netz, die Dozentenräume noch eines, und in jedem Raum stand ein
(Fli4l/IP-COP-)Router mit Switch, sowie ein Switch für alle Router.
Fertig ist die (Sicherere) Laube.
Ja, klar, aber auch wesentlich teurer!
Heiko Kuerschner
2005-02-11 21:20:26 UTC
Permalink
Post by Thomas Liebermann
Ja, klar, aber auch wesentlich teurer!
Aber billiger als wenn sich vertrauliche Daten nicht mehr oder gar
woanders wiederfinden.
--
K�rsche
Wenns 'ner net gwittern tun tut ;)
Linux/*BSD-Anleitungen, Forum und Chat: www.newbie-net.de
HTML per Script validieren: www.unneraans.de/html-validator.sh/
Florian Laws
2005-02-11 17:40:17 UTC
Permalink
Post by Thomas Liebermann
Post by Roland Messerschmidt
Das heißt, du hast so etwa 235 (+/-) Geräte im Netz. Rechnen wir 1/3
für Server, Netzwerkdrucker etc. weg, bleiben rund 150 User. Das
nennst du KMU?
Genau, Drucker Server etwa 1/4, der Rest Clients.
Wir bieten Erwerblosenkurse an, also Schulungsräume, deshalb haben wir eine
grosse Anzahl von Clients bei wenigen Mitarbeitern und sind eine KMU,
...ich weiss nicht genau wo die KMU-Grenze liegt!
Item.
Bei 250 Mitarbeitern, meint die EU ;-)

Grüße,

Florian
Thomas
2005-02-11 18:44:13 UTC
Permalink
Post by Florian Laws
Bei 250 Mitarbeitern, meint die EU ;-)
...und max 50MIO Euro Umsatz, damit wäre dieses Problem gelöst! ;-)

Thomas
Roland Messerschmidt
2005-02-11 17:56:27 UTC
Permalink
Hallo Thomas!
Post by Thomas Liebermann
Wir bieten Erwerblosenkurse an, also Schulungsräume, deshalb haben
Ok, mit dieser Aussage kann man schon etwas anfangen...
Post by Thomas Liebermann
Ebenfalls interessante Variante (Sicherheit!)
wäre die Schulungsclients von den Mitarbeiterclients IP-mässig
(anderes Netz) zu trennen (physikalisch ist das leider nicht
möglich), ich hätte dann 2 Fliegen auf einen Schlag.
Daß das noch nicht gemacht wurde, finde ich - nun ja, sagen wir es
höflich - mutig...
Post by Thomas Liebermann
Weiss jemand eine Lösung?
Doch, aber die wird dir nicht gefallen, da der Karren offensichtlich
schon ziemlich verfahren ist...

Zumindest jeden Schulungsraum (~10 PC) an einen 08/15-Router hängen
(PCs natürlich per DHCP vom Router).

Ebenso die Mitarbeiter-PC (da müßte man sich aber wirklich etwas mehr
Gedanken machen und vor allem die Gegebenheiten besser kennen)

Und schließlich intensiv über Sicherheitsmaßnahmen nachdenken.
Post by Thomas Liebermann
Gibt es die Möglichkeit die Adressvergabe über den Router
abzuwickeln?
Na klar, kann jedes EUR 50-Gerät.
Post by Thomas Liebermann
Post by Roland Messerschmidt
Bist du der Admin?
Ja. Ich administriere 9 derartige Standorte, welche ich via VPN
über WAN verbinde. Alle haben zwischen 30 und 100 Hosts, also kein
Problem für die C Klasse Netze. Ausser eben der eine Standort kommt
nun an die Grenzen
Brutale Methode wie bereits erwähnt Subnetmask erweitern und nicht
wundern, wenn sich Schulungsteilnehmer in der Buchhaltung umsehen.


Roland
Thomas Liebermann
2005-02-11 19:28:55 UTC
Permalink
Post by Roland Messerschmidt
Post by Thomas Liebermann
Ebenfalls interessante Variante (Sicherheit!)
wäre die Schulungsclients von den Mitarbeiterclients IP-mässig
(anderes Netz) zu trennen (physikalisch ist das leider nicht
möglich), ich hätte dann 2 Fliegen auf einen Schlag.
Daß das noch nicht gemacht wurde, finde ich - nun ja, sagen wir es
höflich - mutig...
Ja, das stimmt! Vor zwei Jahren war ich allerdings noch froh überhaupt
einen Switch finanziert zu bekommen.
Anderseits frage ich mich, ob das offensichtliche Sicherheitsrisiko in der
Praxis wirklich so gefährlich ist... man korrigiere mich!


Thomas
Roland Messerschmidt
2005-02-11 21:18:04 UTC
Permalink
Hallo Thomas!
Post by Thomas Liebermann
Ja, das stimmt! Vor zwei Jahren war ich allerdings noch froh
überhaupt einen Switch finanziert zu bekommen.
Das ist leider die typische Abfolge:

Chef sagt: "wir machen" - Ausführender (Angestellter etc.) protestiert
wenn überhaupt nur leise - Chef zersteut entweder Bedenken ("Müller,
das machen sie schon" ) oder bleibt bei der Standardantwort "Soviel
Geld wollen sie dafür? Nein, die Hälte muß reichen!" bzw. "Geld gibt's
keines!" und Ausführender strickt wirklich irgendwas zusammen (meist
auch in Hinblick auf den Erhalt seines Arbeitsplatzes).

Kaum jemand stellt sich auf und sagt "5 Schulungsräume wollen sie
haben? Gut, mit dem vorhandenen Geld statten wir vorerst einmal 2
aus".
Post by Thomas Liebermann
Anderseits frage ich mich, ob das offensichtliche Sicherheitsrisiko
in der Praxis wirklich so gefährlich ist... man korrigiere mich!
Braucht man Versicherungen? Man zahlt da ja nur ein.


Roland
Thomas Liebermann
2005-02-12 11:33:03 UTC
Permalink
Post by Roland Messerschmidt
Post by Thomas Liebermann
Anderseits frage ich mich, ob das offensichtliche Sicherheitsrisiko
in der Praxis wirklich so gefährlich ist... man korrigiere mich!
Braucht man Versicherungen? Man zahlt da ja nur ein.
Ja, logisch, aber man kann sich auch überversichern!
Kosten Risiko muss man abschätzen. Ein absolut 100% sicheres System gibt es
nicht, oder ist nicht finazierbar. Aber ich stimme dir zu, dass ich
bezüglich der Sicherheit im Netzwerk "unterversichert" bin und ich eine
Verbesserung Anstrebung muss!
Nicholas Preyß
2005-02-11 18:16:10 UTC
Permalink
Post by Thomas Liebermann
[..]
Wir bieten Erwerblosenkurse an, also Schulungsräume, deshalb haben wir eine
grosse Anzahl von Clients bei wenigen Mitarbeitern und sind eine KMU,
...ich weiss nicht genau wo die KMU-Grenze liegt!
Item.
[..]
Post by Roland Messerschmidt
Bist du der Admin?
Ja. Ich administriere 9 derartige Standorte, welche ich via VPN über WAN
verbinde. Alle haben zwischen 30 und 100 Hosts, also kein Problem für die C
Klasse Netze. Ausser eben der eine Standort kommt nun an die Grenzen und
als ich mich auf die Suche nach einen einfachen LAN Router machte, konnte
ich zu meinen Erstaunen keinen passenden finden, deshalb meine
Fragestellung, ob und wie man das "normalerweise" bewerkstelligt.
Ihr bietet hoffentlich keine IT Kurse an? Sondern nutzt nur die Abwärme
der Schulungsgeräte für kulinarische Weiterbildung, oder so ?

nicholas

Im übrigen bist du bei deiner Suche sicher über dutzende billig
Breitband ohne int. Modem Router gstolpert, die meisten davon könnten
genau das was du suchst.
Florian Laws
2005-02-11 18:21:33 UTC
Permalink
Post by Nicholas Preyß
Post by Thomas Liebermann
Post by Roland Messerschmidt
Bist du der Admin?
Ja. Ich administriere 9 derartige Standorte, welche ich via VPN über WAN
verbinde. Alle haben zwischen 30 und 100 Hosts, also kein Problem für die C
Klasse Netze. Ausser eben der eine Standort kommt nun an die Grenzen und
als ich mich auf die Suche nach einen einfachen LAN Router machte, konnte
ich zu meinen Erstaunen keinen passenden finden, deshalb meine
Fragestellung, ob und wie man das "normalerweise" bewerkstelligt.
Ihr bietet hoffentlich keine IT Kurse an? Sondern nutzt nur die Abwärme
der Schulungsgeräte für kulinarische Weiterbildung, oder so ?
nicholas
Im übrigen bist du bei deiner Suche sicher über dutzende billig
Breitband ohne int. Modem Router gstolpert, die meisten davon könnten
genau das was du suchst.
Die machen auf dem "externen" Interface nicht automatisch PPPoE?

Grüße,

Florian
Uli Wachowitz
2005-02-11 18:57:19 UTC
Permalink
Post by Florian Laws
Die machen auf dem "externen" Interface nicht automatisch PPPoE?
Also die, die ich kenne, lassen sich entsprechend konfigurieren. Ein
Router der "automatisch" irgendwas macht, gehoert auf den Muell, nicht
in's Netzwerk.
--
I can please only one person per day. Today is not your day.
Tomorrow isn't looking good, either.
Roland Messerschmidt
2005-02-11 19:00:02 UTC
Permalink
Hallo Florian!
Post by Florian Laws
Die machen auf dem "externen" Interface nicht automatisch PPPoE?
Jein.
Sie erkennen oft das benötigte Protokoll. Wenn du also in D so einen
Router in Betrieb nimmst, wird dir oft schon PPPoE angeboten.

Die meisten können aber mindestens auf statische IP, dynamische IP,
und PPPoE konfiguriert werden. Für den österreichischen Markt auch
PPTP (oder mit entsprechender FW französisches PPTP). Und dann oft
noch "Exoten" a la Bigpond (Australien?) o.ä.

Roland
Florian Weimer
2005-02-11 23:27:29 UTC
Permalink
Post by Florian Laws
Post by Nicholas Preyß
Im übrigen bist du bei deiner Suche sicher über dutzende billig
Breitband ohne int. Modem Router gstolpert, die meisten davon könnten
genau das was du suchst.
Die machen auf dem "externen" Interface nicht automatisch PPPoE?
Es gibt im unteren Preissegment auch ISPs mit IP-Übergabe direkt in
Ethernet-Frames. Die nächste Frage ist dann, ob sich NAT abschalten
läßt. 8->
Florian Laws
2005-02-12 11:43:39 UTC
Permalink
Post by Florian Weimer
Post by Florian Laws
Post by Nicholas Preyß
Im übrigen bist du bei deiner Suche sicher über dutzende billig
Breitband ohne int. Modem Router gstolpert, die meisten davon könnten
genau das was du suchst.
Die machen auf dem "externen" Interface nicht automatisch PPPoE?
Es gibt im unteren Preissegment auch ISPs mit IP-Übergabe direkt in
Ethernet-Frames. Die nächste Frage ist dann, ob sich NAT abschalten
läßt. 8->
NAT wird hier dem Orginalposter doch gerade als Sicherheitsfeature
verkauft.

Grüße,

Florian
C. Schrack
2005-02-11 16:17:33 UTC
Permalink
Post by Thomas Liebermann
Ich betreibe ein Klasse C Netz 192.168.2.0/255.255.255.0 welches
langsam aber sicher aus den N„hten zu platzen droht. Ich habe noch
etwa 15 Adressen frei.
Warum nicht einfach die Subnet-Mask auf 255.255.254.0 ändern?
Auf diese Weise hast du dann einen Adressbereich von
192.168.2.1 - 192.168.3.254
Sollte eigentlich reichen, oder? Und Geld mußt du auch nicht in die
Hand nehmen.

gruß
christian
Nicholas Preyß
2005-02-11 16:36:49 UTC
Permalink
Post by C. Schrack
Post by Thomas Liebermann
Ich betreibe ein Klasse C Netz 192.168.2.0/255.255.255.0 welches
langsam aber sicher aus den N„hten zu platzen droht. Ich habe noch
etwa 15 Adressen frei.
Warum nicht einfach die Subnet-Mask auf 255.255.254.0 ändern?
Auf diese Weise hast du dann einen Adressbereich von
192.168.2.1 - 192.168.3.254
Sollte eigentlich reichen, oder? Und Geld mußt du auch nicht in die
Hand nehmen.
Ich finde schon 255 Geräte sind für eine Broadcast Domain viel zu viel.
Im Übrigen kann man dem Op nur nahelegen, sich qualifizierte Hile zu
besorgen.

nicholas
C. Schrack
2005-02-11 20:47:19 UTC
Permalink
Post by Nicholas Preyß
Ich finde schon 255 Geräte sind für eine Broadcast Domain viel zu viel.
Findest du? Hast du praktische Erfahrung oder nimmst du das jetzt an?
Post by Nicholas Preyß
Im Übrigen kann man dem Op nur nahelegen, sich qualifizierte Hile zu
besorgen.
Ich wollte eben dies tun, ihm qualifiziert helfen.

gruß,
christian
Nicholas Preyß
2005-02-11 23:12:42 UTC
Permalink
Post by C. Schrack
Post by Nicholas Preyß
Ich finde schon 255 Geräte sind für eine Broadcast Domain viel zu viel.
Findest du? Hast du praktische Erfahrung oder nimmst du das jetzt an?
Also ich fange meistens so nach 50Hosts an zu segmentieren. Weil es in
der Regel auch betriebstechnisch sinnvoll ist. Eine Strukturierung ist
im Vergleich zu ihren Kosten sehr oft sinnvoll.
Post by C. Schrack
Post by Nicholas Preyß
Im Übrigen kann man dem Op nur nahelegen, sich qualifizierte Hile zu
besorgen.
Ich wollte eben dies tun, ihm qualifiziert helfen.
Ich meine damit genau nicht, dass ihm hier jemand über ein fast schon
triviales Problem hilft. In der Regel führt das dazu, dass die
Folgeschäden wesentlich größer sind.

nicholas
Thomas Liebermann
2005-02-12 11:28:21 UTC
Permalink
Hallo Nicholas
Post by Nicholas Preyß
Post by C. Schrack
Post by Nicholas Preyß
Ich finde schon 255 Geräte sind für eine Broadcast Domain viel zu viel.
Findest du? Hast du praktische Erfahrung oder nimmst du das jetzt an?
Also ich fange meistens so nach 50Hosts an zu segmentieren. Weil es in
der Regel auch betriebstechnisch sinnvoll ist. Eine Strukturierung ist
im Vergleich zu ihren Kosten sehr oft sinnvoll.
Weshalb (den Sicherheitsaspekt mal ausgeschlossen)? Solange die
Netzleistung ausreichend ist, sehe ich keine Gründe für eine Segmentierung!
Je mehr Komponenten im Spiel sind, desto teuerer (Anschaffung- und
Unterhaltskosten), komplexer (damit steigt die Fehleranfällikeit) und evt.
auch langsamer wird ein Netzwerk, oder sehe ich das falsch?
Post by Nicholas Preyß
Post by C. Schrack
Post by Nicholas Preyß
Im Übrigen kann man dem Op nur nahelegen, sich qualifizierte Hile zu
besorgen.
Ich wollte eben dies tun, ihm qualifiziert helfen.
Ich meine damit genau nicht, dass ihm hier jemand über ein fast schon
triviales Problem hilft. In der Regel führt das dazu, dass die
Folgeschäden wesentlich größer sind.
OK, noch was zu meiner mangelnden Qualifikation. Wir Administrieren 450PCs,
10Server an 9 Standorten über die gesammte Schweiz verteilt mit 250
Stellenprozenten. Dieser Umsatnd erfordert oft auch Improvisation und hat
nicht immer die professionellste Lösung zur Folge. Diese 9 Netze verbinde
ich via VPN, da sind Router im Spiel, ich weiss also, wie man Netze
verbindet!!! Leider hatte ich aber noch nie das Vergnügen ein Netz mit mehr
als 250 Hosts zu planen und zu verwalten, deshalb fehlt mir hier die
Erfahrung, im Hinblick auf die sinvolle Strategie, wie auch der Hardware.
Aus diesem Grund kontaktierte ich die Newsgroup, für das gibt es sie ja,
Erfahrungsaustausch, oder? Im übrigen erhielt ich viele gute Hinweise,
Merci an dieser Stelle!
Desweiteren zur trivialen Fragestellung- was ist nun sinnvoller, IP
Segmentierung oder Netzwerkmaske anpassen? Im Hinblick auf die
Sicherheitsfrage, ist wohl eine Segmentiereung mit Routern, welche im
Handel erhältlich sind, sinnvoller.
Ich könnte nun z.B Breitbandrouter, welche wenige 100 Euro kosten,
verwenden, diese bieten aber viele Funktionen, welche ich nicht benötige
(Firewall, NAT etc.), den ganz einfachen LAN Router habe ich eben (noch)
nicht finden können. Ich werde mich aber nochmals auf die Suche machen.

Gruss Thomas
Nicholas Preyß
2005-02-12 12:15:34 UTC
Permalink
Post by Thomas Liebermann
Post by Nicholas Preyß
Also ich fange meistens so nach 50Hosts an zu segmentieren. Weil es in
der Regel auch betriebstechnisch sinnvoll ist. Eine Strukturierung ist
im Vergleich zu ihren Kosten sehr oft sinnvoll.
Weshalb (den Sicherheitsaspekt mal ausgeschlossen)? Solange die
Netzleistung ausreichend ist, sehe ich keine Gründe für eine Segmentierung!
Je mehr Komponenten im Spiel sind, desto teuerer (Anschaffung- und
Unterhaltskosten), komplexer (damit steigt die Fehleranfällikeit) und evt.
auch langsamer wird ein Netzwerk, oder sehe ich das falsch?
Grundsätzlich ja, aber praktisch sind bei IP Netzen IMHO die Kosten für
eine Segmentierung und der Anstieg an Komplexität sehr gering. Außerdem
zwingt es dich normalerweise deine Konfigurationen genauer anzuschauen
und dir fallen krass fehlkonfigurierte Netzwerkdrucker etc. auf, die mit
ihrem Default-Setup zufällig funktioniert haben.
Eine Segmentierung erleichtert dir außerdem die Übersicht und grenzt
Fehler ein.

nicholas
Miruslav Schuschig
2005-02-12 19:50:59 UTC
Permalink
Post by Thomas Liebermann
Post by Nicholas Preyß
Also ich fange meistens so nach 50Hosts an zu segmentieren. Weil es in
der Regel auch betriebstechnisch sinnvoll ist. Eine Strukturierung ist
im Vergleich zu ihren Kosten sehr oft sinnvoll.
Weshalb (den Sicherheitsaspekt mal ausgeschlossen)? Solange die
Netzleistung ausreichend ist, sehe ich keine Gründe für eine Segmentierung!
Je mehr Komponenten im Spiel sind, desto teuerer (Anschaffung- und
Unterhaltskosten), komplexer (damit steigt die Fehleranfällikeit) und evt.
auch langsamer wird ein Netzwerk, oder sehe ich das falsch?
Du kennst die 80/20er regel?
Segmentiert wird, um bandbreite nicht zu verschwenden
Erhoehen man Kollisionsdamaenen und/oder broudcastdomaenen spricht man von segmentierung
Findest du es sinnvoll x rechner per HUB zu verbinden?

DIe latenz erhoet sich, ja
aber was hilfts wenn arp request bis ins letzte eck des LAN`s geschickt werden
Unterschaetze arp-requests nicht!
Ganze hoersaehle per broudcast aufzusetzten .....
Post by Thomas Liebermann
Im übrigen erhielt ich viele gute Hinweise,
Merci an dieser Stelle!
In keinem beitrag las ich etwas von VLAN
stattdessen nur althergebrachtes ....
Post by Thomas Liebermann
Desweiteren zur trivialen Fragestellung- was ist nun sinnvoller, IP
Segmentierung oder Netzwerkmaske anpassen?
ist beides, dass selbe
du meinst eher classfull oder classless?
Post by Thomas Liebermann
Im Hinblick auf die
Sicherheitsfrage, ist wohl eine Segmentiereung mit Routern, welche im
Handel erhältlich sind, sinnvoller.
Du kannst filterregeln festlegen
aber mehr auch nicht ....
Sinnvoller ist es in der planungsphse
die sicherheit nicht ausser acht zu lassen
Post by Thomas Liebermann
Ich könnte nun z.B Breitbandrouter, welche wenige 100 Euro kosten,
verwenden, diese bieten aber viele Funktionen, welche ich nicht benötige
(Firewall, NAT etc.), den ganz einfachen LAN Router habe ich eben (noch)
nicht finden können. Ich werde mich aber nochmals auf die Suche machen.
Du willst breitband-router im lan einsetzten
willst einen router mit 2 lan ports?

zitat
Post by Thomas Liebermann
Im Übrigen kann man dem Op nur nahelegen, sich qualifizierte Hile zu
besorgen.
PS:
Viele denken, nur weil sie etwas tun
haetten sie schon ahnung ;)
Uli Wachowitz
2005-02-12 20:41:56 UTC
Permalink
Post by Miruslav Schuschig
Viele denken, nur weil sie etwas tun
haetten sie schon ahnung ;)
Boese, aber wahr. Full Ack
--
Give a man a match and he'll be warm for an hour...
Set him on fire and he'll be warm for the rest of his life.
Marc-Andre Alpers
2005-02-13 11:48:24 UTC
Permalink
Post by Thomas Liebermann
Weshalb (den Sicherheitsaspekt mal ausgeschlossen)? Solange die
Netzleistung ausreichend ist, sehe ich keine Gründe für eine Segmentierung!
Je mehr Komponenten im Spiel sind, desto teuerer (Anschaffung- und
Unterhaltskosten), komplexer (damit steigt die Fehleranfällikeit) und evt.
auch langsamer wird ein Netzwerk, oder sehe ich das falsch?
Jein! In segmentierten Netzwerken soll es ja so sein, das der meiste
Traffic im eigenem Segment bleiben soll und nur wenig Traffic über die
Gateways nach außen gehen soll. Broadcasts können ganz schön die
Performance eines Netzes reduzieren, wie ja schon an anderer Stelle hier
geschrieben worden ist. Wenn man vernünftige Komponenten für sein
Netzwerk benutzt, dann hat man auch lange Freude daran.
Post by Thomas Liebermann
Desweiteren zur trivialen Fragestellung- was ist nun sinnvoller, IP
Segmentierung oder Netzwerkmaske anpassen? Im Hinblick auf die
Sicherheitsfrage, ist wohl eine Segmentiereung mit Routern, welche im
Handel erhältlich sind, sinnvoller.
Ich könnte nun z.B Breitbandrouter, welche wenige 100 Euro kosten,
verwenden, diese bieten aber viele Funktionen, welche ich nicht benötige
(Firewall, NAT etc.), den ganz einfachen LAN Router habe ich eben (noch)
nicht finden können. Ich werde mich aber nochmals auf die Suche machen.
Also mit den billigen Breitbandroutern würde ich aufpassen, die sind
meistens nur dafür ausgelegt ADSL/CableModem Breitband Anschlüsse zu
Routen. Teilweise haben die externen Interfaces nur 10 Mbit und selbst
wenn es nen 100 Mbit Anschluß ist heißt das noch lange nicht das die
Kiste auch 100 MBit Routen kann. Ein WRT54G von Linksys z.B. soll
angeblich nur ca. 3-4 MB/s zwischen WAN und LAN Port zu schaufeln.
Dieses habe ich irgendwo mal hier in den Newsgroups gelesen.

Die zusatz Features wirste wohl in fast jedem Router finden. Wichtig
wäre nur ob sie Abschaltbar sind. Vor allem das NAT abschaltbar ist wäre
ja für dich wichtig. Wenn du nicht fündig werden solltest helfen wohl
nur alte PCs die man zum Router macht. Entweder man bastelt sich ein
Linux zurecht oder nimmt eine von den fertigen Lösungen. Hier wäre FLI4L
oder auch M0n0wall ein Blick wert.
--
MfG Marc-Andre Alpers
Olaf Erkens
2005-02-11 16:40:50 UTC
Permalink
Hallo Thomas Liebermann,
Post by Thomas Liebermann
Ich betreibe ein Klasse C Netz 192.168.2.0/255.255.255.0 welches langsam
aber sicher aus den Nähten zu platzen droht. Ich habe noch etwa 15 Adressen
frei.
Ich muss also neue Adressen schaffen.
Nö - andere
Post by Thomas Liebermann
Ich kann nun ein neues Klasse C Netz erstellen und mit einem Router
verbinden, z.B 192.168.3.0/ 255.255.255.0.
Wozu? Mach doch, wenn wir in der Notation bleiben wollen, ein Class B
draus:

172.16.2.0 / 255.255.254.0

Macht dann 512 Adressen im gleichen Subnetz.
Post by Thomas Liebermann
Oder ein anderer Ansatz- ich könnte auch ein Klasse B Netz erstellen, ist
das sinvoll, Stichwort Broadcast-Domain? Was sind so allgemeine
Erfahrungen, wie gross darf (sollte) ein Klasse B Subnetz generell sein?
Mit 512 Adressen ist das jedenfalls kein Problem, solange dein Netz
nicht aus lauter PeertoPeer-Rechnern besteht ist.

Gruß

Olaf
--
********************* OLAF ERKENS **********************
FJ@#RRR http://www.wiso.uni-dortmund.de/~FJ
FJR1300 RP04 BJ01 16Mm -> Thors Hammer grr#48/rrr#25
Daniel Krebs
2005-02-11 16:47:19 UTC
Permalink
Post by Thomas Liebermann
Ich betreibe ein Klasse C Netz 192.168.2.0/255.255.255.0 welches langsam
aber sicher aus den Nähten zu platzen droht. Ich habe noch etwa 15 Adressen
frei.
CIDR ist Dein Freund. Ändere einfach die Maske.
Daniel
Loading...