Subnetzmaske 255.255.0.0 für Server mit statischer IP?
820
LPChip
Kurze Frage
Ist es eine schlechte Idee, meinen Servern mit einer statischen IP alle eine Subnetzmaske von 255.255.0.0 zu geben und sie von einer Klasse C zu einem Klasse B-Netzwerk zu machen? Die IP-Adressen der Server reichen von 192.168.10.10 bis 192.168.10.20 und dürfen sich alle sehen. Clients können sich in demselben Bereich oder in 192.168.11.x befinden
Lange Frage
Ich spiele mit meinem DHCP-Server-Setup und entschied mich für Flexibilität in meinem Netzwerk. Ich tausche manchmal Router mit verschiedenen Konfigurationen aus, und es ist immer ein Problem, meine Server so zu konfigurieren, dass sie zu dem Router passen, den ich verwenden werde, zumal der Router manchmal auch mein Modem ist, während es manchmal ein sekundärer Router ist.
Ich habe in der Vergangenheit versucht, den DHCP-Server zu verwenden, um meinen Servern ihre IP-Adresse über DHCP-Reservierungen zuzuweisen. Ich habe jedoch festgestellt, dass dies ein Problem ist, da Sie nicht wissen, welcher Server welche MAC-Adresse hat diese aufzuschreiben, damit ich sie später konfigurieren kann.
Ich entschied, dass ich statische IP-Adressen für meine Server verwenden werde, was ohnehin die beste Vorgehensweise ist. Verschiedene Router und verschiedene Modems arbeiten mit unterschiedlichen IP-Adressbereichen und können nicht immer vollständig konfiguriert werden. Wenn ich beispielsweise mein Modem im Bridge-Modus habe, besteht es darauf, immer im Bereich 192.168.100.x zu sein, was zu einem Chaos in meinem Router-Netzwerk führt. Wenn sich das Modem nicht im Bridge-Modus befindet, akzeptiert es einfach nicht 192.168.100.x als Bereich.
Ich habe entschieden, dass 192.168.10.x der Bereich sein wird, in dem ich meine statischen IP-Adressen platziere. Jeder Router wird, wenn möglich, so konfiguriert, dass er DHCP als 192.168.11.x mit einer Subnetzmaske von 255.255.254.0 hat. Das funktioniert super.
Meine Frage ist nun, tut es tatsächlich weh, oder stellt es ein Sicherheitsrisiko dar, wenn ich meinen statischen IP-Geräten eine Subnetzmaske von 255.255.0.0 gebe, während DHCP eine andere Subnetzmaske austeilt?
Theoretisch überlappen sich die Bereiche, so dass die Geräte weiterhin problemlos kommunizieren können, und ich könnte meinen DHCP-Bereich später dynamisch auf eine größere Größe vergrößern, ohne alle Adressen der festen IP-Subnetzmaske ändern zu müssen.
Ist es eine gute Idee, allen statischen IP-Adressen eine Subnetzmaske von 255.255.0.0 zu geben? Wenn es sich um eine Meinungsfrage handelt (wie in, spielt es keine Rolle), dann ist das auch eine Antwort, die für mich bedeutet: Ja, es kann gemacht werden. Wenn es einen Grund gibt, warum das wirklich schlecht ist, dann ist das die andere Antwort. Es ist also einer der beiden. Wenn es ein großes Nein ist, erwarte ich den Grund dafür, damit ich daraus lernen kann.
Danke im Voraus. :)
Ich fing an, eine Antwort zu schreiben, aber obwohl ich verstehe, warum Sie fragen, was Sie tun möchten, verstehe ich nicht, warum Sie es tun wollen. Wenn das Problem hier eine Einschränkung des Geräts ist, werden Sie sowieso Probleme bekommen. Einige Router lassen möglicherweise keine Subnetzmaske 255.255.254.0 zu. Bei anderen Routern können Sie möglicherweise nicht den Bereich 192.168.xx auswählen. Ich sage nur, dass dies keine wirklich langfristige Lösung ist. Warum lassen Sie nicht einen fähigen Router / L3-Switch an Ihr Netzwerk angeschlossen und können dann einfach eine Einstellung an diesem Gerät für alles vorbereiten, was Sie vorher einstecken?
Appleoddity vor 5 Jahren
0
Ich würde sagen, "die Bereiche würden sich überlappen, so dass die Geräte auch weiterhin problemlos kommunizieren können", muss nicht unbedingt gelten. Die Maske legt fest, ob Ihr Peer direkt verbunden ist oder nicht. Wenn Ihr Server eine 192.168.0.0/16-Adresse hat (dh 255.255.0.0-Maske), wird der gesamte Bereich als lokal betrachtet, wenn der Router jedoch eine 192.168.0.1/24 hat wird es versuchen, über seinen DG zum Server zu gehen (zB 192.168.11.4). Asymmetrische Masken funktionieren nicht immer. Abgesehen davon ist die Verwendung von / 16 im privaten Bereich in Ordnung.
Carlos Mendioroz vor 5 Jahren
0
@Appleoddity Ich verwende jetzt einen Mikrotik-Router, also ist DHCP mit benutzerdefiniertem Subnetz kein Problem. Andererseits habe ich auch einen Domänencontroller, den ich für DHCP verwenden kann, der auch eine benutzerdefinierte Subnetzmaske ausführen kann. Ich bitte darum, von zu lernen, aber auch um damit zu experimentieren. Wenn ich meinen Router gegen einen anderen austauschen sollte, möchte ich ihn so schnell wie möglich einrichten können. Wenn ich also auf ein Problem stoße, bei dem ich die statischen IP-Adressen meines Servers für einen Router anpassen muss, dann die Punkt wurde besiegt. Ich hoffe, dies zu vermeiden, indem ich 255.255.0.0 als Subnetzmaske verwende und das andere Netzwerk so nah wie möglich oder im gleichen Bereich mache.
LPChip vor 5 Jahren
0
1 Antwort auf die Frage
1
Tim_Stewart
Afaik, das ist kein Sicherheitsrisiko.
Ich denke, eine bessere Lösung wären hier VLANs für Ihr Konfigurationstestnetzwerk. Sie benötigen sowohl einen 802.1q-fähigen Switch als auch einen Router. Dies gibt Ihnen die größte Flexibilität. Sie können traditionelles Subnetting auch verwenden, wenn Ihr Router tatsächlich über mehrere Schnittstellen verfügt. (Kein Consumer-Combo-Gerät)
Meines Wissens gibt es keine richtige oder falsche Methode, um Subnetzmasken auszuführen. Sie möchten es normalerweise so klein halten, dass der Broadcast-Verkehr kein Problem darstellt (zu viele Geräte in einem bestimmten Netzwerkbereich oder einer "Broadcast-Domäne"). Abgesehen von der Verschwendung von privaten Adressräumen ist dies eine Ansichtssache.
Ich verwende pfsense mit vlans. Es eignet sich sehr gut für die Einrichtung temporärer / Home-Lab-Netzwerke für Konfigurationen. Sie können dann die Port-Vlan-Mitgliedschaft entfernen, wenn Sie fertig sind. Außerdem haben Sie die Möglichkeit, jedes virtuell getrennte Netzwerk sehr genau zu steuern. (Verkehrsregeln, benutzerdefiniertes DHCP für jedes Subnetz usw.)
Freundliche Grüße,
Hallo und danke für deine Antwort. VLAN ist nicht das, wonach ich suche. Es ist mein gesamtes Netzwerk und jedes Gerät sollte jedes Gerät sehen. Mein Ziel hier ist es, einen Router mit einer neuen Konfiguration austauschen zu können und so schnell wie möglich einsatzbereit zu sein. Ich mache das als Test, aber ich hoffe trotzdem wertvolle Fähigkeiten / Kenntnisse zu erlernen. :) Bisher würde Ihre Antwort darauf hindeuten, dass die von mir in Betracht gezogene Strategie kein Problem darstellt.
LPChip vor 5 Jahren
0
Nicht sicher, was Sie mit "sehen" meinen? Wenn Sie Inter-Vlan-Kommunikation über IP meinen, würde es trotzdem funktionieren. Nein, das wäre kein Problem. Wenn enge Sicherheit ein Problem für die Server ist, sollten Sie entweder das traditionelle Subnetting über separate physische Schnittstellen und ACLs nutzen oder das VLanning mit ACLs. Ohne strenge Sicherheitsanforderungen müssten Sie nicht. Mit diesen beiden Methoden können Sie alle Subnetze / Verkehr zentral verwalten.
Tim_Stewart vor 5 Jahren
0
Ich meine, jedes Gerät sollte in der Lage sein, mit dem anderen zu kommunizieren. Keine VLANs, nur ein großes Netzwerk mit wenigen Servern und einigen Clients usw.
LPChip vor 5 Jahren
0
Dann wird es dir gut gehen. Solange sich alle Geräte in derselben kontinuierlichen Netzwerkraum- / Broadcast-Domäne befinden. Sie werden kommunizieren können.
Tim_Stewart vor 5 Jahren
0