Сети, подсети, etc...

maxys146	# 10 лет, 5 месяцев назад
Темы: 43 Сообщения: 754 Участник с: 08 апреля 2011	Здравствуйте. Наверное кто-то из вас уже сталкивался с такой проблемой, поэтому решил спросить.. Это не по linux вопросик, а вообще по сетям, поэтому если хотите переносите его в /dev/null )) Итак, есть офис, сеть 192,168,0,1-255, где соответственно первые 20 ip в диапазоне отведены под сервера, остальное раздается по dhcp. Количество компов и ноутов растет, уже приближается к 200+15 серверов примерно. Адреса 230-254 отведены под комутаторы, АП, контроллеры, телефоны и т.п., соответственно у меня остается на данный момент около 30 свободных адресов, которые по моим прогнозам закончатся через полтора-два месяца. Появилась идея ввести дополнительные подсети типа 192,168,1-5, например одну отдать на wifi, вторую на провод, третью на свичи и прочую требуху. Уже есть отдельные сети разбитые по vlan для видеонаблюдения и скуд, но они вообще от всего отрезаны и это я менять не собираюсь. Так вот у меня соответственно такой вопросик, как это все организовать, или можно как-то сделать по другому? То есть устройства в этих сетях должны иметь выход на один шлюз и у всех должен быть доступ к серверам, так-же некоторые подсети должны видеть друг-друга. Раньше таким вопросом не задавался, так что с теорией у меня тоже не особо, читаю конечно много всего, но много не понимаю, посему прошу совета и тырков в виде статей понятных простым смертным, а еще лучше обьяснения “на пальцах”)) Интересует чисто теория, с практикой надеюсь, разберусь сам))

# 10 лет, 5 месяцев назад

Сообщения: 754

Участник с: 08 апреля 2011

Здравствуйте.
Наверное кто-то из вас уже сталкивался с такой проблемой, поэтому решил спросить..
Это не по linux вопросик, а вообще по сетям, поэтому если хотите переносите его в /dev/null ))
Итак, есть офис, сеть 192,168,0,1-255, где соответственно первые 20 ip в диапазоне отведены под сервера, остальное раздается по dhcp.
Количество компов и ноутов растет, уже приближается к 200+15 серверов примерно. Адреса 230-254 отведены под комутаторы, АП, контроллеры, телефоны и т.п., соответственно у меня остается на данный момент около 30 свободных адресов, которые по моим прогнозам закончатся через полтора-два месяца.
Появилась идея ввести дополнительные подсети типа 192,168,1-5, например одну отдать на wifi, вторую на провод, третью на свичи и прочую требуху. Уже есть отдельные сети разбитые по vlan для видеонаблюдения и скуд, но они вообще от всего отрезаны и это я менять не собираюсь.
Так вот у меня соответственно такой вопросик, как это все организовать, или можно как-то сделать по другому? То есть устройства в этих сетях должны иметь выход на один шлюз и у всех должен быть доступ к серверам, так-же некоторые подсети должны видеть друг-друга.
Раньше таким вопросом не задавался, так что с теорией у меня тоже не особо, читаю конечно много всего, но много не понимаю, посему прошу совета и тырков в виде статей понятных простым смертным, а еще лучше обьяснения “на пальцах”))
Интересует чисто теория, с практикой надеюсь, разберусь сам))

Natrio	# 10 лет, 5 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	Если IP-адреса большинству узлов сети раздаются по DHCP, то проще всего будет расширить диапазон подсети. Все старые адреса останутся без изменений, на серверах и DHCP изменить маску подсети – и всё :)

maxys146	# 10 лет, 5 месяцев назад (отредактировано 10 лет, 5 месяцев назад)
Темы: 43 Сообщения: 754 Участник с: 08 апреля 2011	Natrio Если IP-адреса большинству узлов сети раздаются по DHCP, то проще всего будет расширить диапазон подсети. Все старые адреса останутся без изменений, на серверах и DHCP изменить маску подсети – и всё :) Дело в том что есть домен на 2008 винде, там нельзя маску поменять штатными средствами на dhcp-сервере… я в принципе нашел способ, но по dhcp раздается только wifi и идреса клиентов Еще-же нужно отдельно сервера вынести, растут как на дрожжах) UPD: А, еще забыл. Нужно сделать так, чтобы не все сервера были видны всем, то есть некоторые должны быть видны только другим серверам, остальные их не должны видеть вообще… Вобщем у меня есть пара цисок на это дело, наверное просто vlan надо курить по этому поводу, а маску всем 255.255.0.0, я правильно понимаю? То есть одна группа серверов на транк видный всем диапазон vlan например 1-5, вторая только 5-й, компы юзверей 1-й и так далее… Или как-то еще можно сделать?

maxys146

# 10 лет, 5 месяцев назад (отредактировано 10 лет, 5 месяцев назад)

Темы: 43

Сообщения: 754

Участник с: 08 апреля 2011

Natrio
Если IP-адреса большинству узлов сети раздаются по DHCP, то проще всего будет расширить диапазон подсети. Все старые адреса останутся без изменений, на серверах и DHCP изменить маску подсети – и всё :)

Дело в том что есть домен на 2008 винде, там нельзя маску поменять штатными средствами на dhcp-сервере… я в принципе нашел способ, но по dhcp раздается только wifi и идреса клиентов
Еще-же нужно отдельно сервера вынести, растут как на дрожжах)
UPD: А, еще забыл. Нужно сделать так, чтобы не все сервера были видны всем, то есть некоторые должны быть видны только другим серверам, остальные их не должны видеть вообще… Вобщем у меня есть пара цисок на это дело, наверное просто vlan надо курить по этому поводу, а маску всем 255.255.0.0, я правильно понимаю?
То есть одна группа серверов на транк видный всем диапазон vlan например 1-5, вторая только 5-й, компы юзверей 1-й и так далее… Или как-то еще можно сделать?

Natrio	# 10 лет, 5 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	А что, отдельно от домена DHCP-сервер поставить нельзя? Это с DHCP-клиентами под форточкой туго, а DHCP-серверов есть несколько.

maxys146	# 10 лет, 5 месяцев назад
Темы: 43 Сообщения: 754 Участник с: 08 апреля 2011	Можно, просто уже есть и привязка неограниченная по времени, то есть ип у всех по сути статика, я уже думаю поменять dhcp сервер, но суть-то не в этом, с практикой разберусь как нибудь)

Natrio	# 10 лет, 5 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	Если есть какие-то особо жуткие обстоятельста, мешающие поменять подсеть, тогда придётся делать связь с другими подсетями через дефолтный роут на связывающий их гейт, или раздавать по DHCP специальные роуты. Неограниченный срок аренды адреса по сути неограничен только при недоступности DHCP-сервера. Если он доступен, то при каждом включении аренда проверяется, и сервер может выдать другой адрес и подсеть.

Natrio

# 10 лет, 5 месяцев назад

Темы: 47

Сообщения: 4763

Участник с: 08 января 2011

Если есть какие-то особо жуткие обстоятельста, мешающие поменять подсеть, тогда придётся делать связь с другими подсетями через дефолтный роут на связывающий их гейт, или раздавать по DHCP специальные роуты.

Неограниченный срок аренды адреса по сути неограничен только при недоступности DHCP-сервера. Если он доступен, то при каждом включении аренда проверяется, и сервер может выдать другой адрес и подсеть.

gard	# 10 лет, 5 месяцев назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	Могу если надо поделиться рецептом выдачи роутов по dhcp.. это в общем то тривиально, но придется поискать..

kurych	# 10 лет, 5 месяцев назад
Темы: 0 Сообщения: 1394 Участник с: 06 ноября 2011	Какая топология? На сколько разветвленная сеть? Какими свичами пользуетесь? Управляемые? Поддерживают VLANы? В зависимости от этого можно будет различные варианты предложить. Не знаю, как с win7, но еще XP не рекомендовалось больше 30-ти рабочих станций сажать в один широковещательный домен. Лучше делить на подсети /27 изначально.

kurych

# 10 лет, 5 месяцев назад

Темы: 0

Сообщения: 1394

Участник с: 06 ноября 2011

Какая топология? На сколько разветвленная сеть? Какими свичами пользуетесь? Управляемые? Поддерживают VLANы? В зависимости от этого можно будет различные варианты предложить.
Не знаю, как с win7, но еще XP не рекомендовалось больше 30-ти рабочих станций сажать в один широковещательный домен. Лучше делить на подсети /27 изначально.

sleepycat	# 10 лет, 5 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	поддержу мнение gard. Мне кажется он прав, вы боитесь что серверы будут не видны, чтобы этого не случилось вам нужно просто раздать роуты. Можно взять старую схему, посадить все подсети за шлюзы и уже роутов станет меньше, метафорически выражаясь, и безопасность какбы повысится, но тут или раскошеливаться на железку, или собрать свои шлюзы(что иногда бывает дешевле не сильно в ущерб качеству). Все зависит от ситуации. Я обычно в такой ситуации собираю шлюзы заодно и dhcp на них , чтобы потом не путаться, что куда откуда там, но их колво на 1 объект обычно редко превышает 2(+1 главный для первой подсети и с выходом наружу). Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 10 лет, 5 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

поддержу мнение gard. Мне кажется он прав, вы боитесь что серверы будут не видны, чтобы этого не случилось вам нужно просто раздать роуты. Можно взять старую схему, посадить все подсети за шлюзы и уже роутов станет меньше, метафорически выражаясь, и безопасность какбы повысится, но тут или раскошеливаться на железку, или собрать свои шлюзы(что иногда бывает дешевле не сильно в ущерб качеству). Все зависит от ситуации. Я обычно в такой ситуации собираю шлюзы заодно и dhcp на них , чтобы потом не путаться, что куда откуда там, но их колво на 1 объект обычно редко превышает 2(+1 главный для первой подсети и с выходом наружу).

Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

maxys146	# 10 лет, 5 месяцев назад
Темы: 43 Сообщения: 754 Участник с: 08 апреля 2011	По железу, шлюз в мир на фре, комутаторы циски(брал с запасом) и свичи d-link 2108-е, vlan есть. Все это в пределах одного офиса, растет количество оборудования, и хотелось-бы продумать схему сети с запасом на будущее, чтобы потом не переделывать ничего. То есть предлагаете на каждую подсеть свой шлюз? или проще разбить на vlan на циске а основному шлюзу алиасы на интерфейс делать? Я немного запутался…

maxys146

# 10 лет, 5 месяцев назад

Темы: 43

Сообщения: 754

Участник с: 08 апреля 2011

По железу, шлюз в мир на фре, комутаторы циски(брал с запасом) и свичи d-link 2108-е, vlan есть. Все это в пределах одного офиса, растет количество оборудования, и хотелось-бы продумать схему сети с запасом на будущее, чтобы потом не переделывать ничего. То есть предлагаете на каждую подсеть свой шлюз? или проще разбить на vlan на циске а основному шлюзу алиасы на интерфейс делать?
Я немного запутался…