none
как правильно расширить ip подсеть? RRS feed

  • Вопрос

  • Домен. DHCP кричит что использовано 90% Ip адресов. Используется подсеть 192.168.1.0/24. Шлюз на TMG, и еще есть около десятка серверов. Подсети 192.168.0.0, 192.168.2.0...5.0 заняты филиалами (Site-To-Site на TMG).

    Я пока вижу решение таким: на DHCP создать область, например, 192.168.10.0, а на всех серверах прописать еще один ip подсети 10.0/24

    Насколько такое решение является правильным? Или есть более верные варианты?

Ответы

  • У вас два варианта: либо мигрировать на новую подсеть с маской, например /23, либо использовать маршрутизацию.

    В первом случае вы можете использовать TMG как временный роутер, пока полностью не переедите на новую сетку.

    Второй вариант более масштабируемый (если ожидается рост числа серверов и рабочих станций), но требует соответствующее сетевое оборудование с поддержкой vlan-в и маршрутизации. Как вариант вы можете использовать тот же TMG как роутер: трафик до удаленных офисов он у вас уже роутит - отроутит и внутренний трафик.


    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа Peter Koreshkov 6 июля 2012 г. 5:21
    5 июля 2012 г. 14:16
    Модератор

Все ответы

  • 1) Вы можете  расширить подсеть    уменьшением значения маски подсети  на всех машинах например   до 192.168.1.0/23(можно ещё меньше )  тогда   у вас в  распоряжении будут хосты от 192.168.0.1 до 192.168.1.254 ,то есть  в два раза больше чем  есть сейчас.
    2) Если позволяет сетевое оборудование то   можно  при помощи технологии VLAN  расширить количество  сетей .
    Например у вас есть 192.168.1.0/24   её  можете оставить   для Серверов 

    затем добавьте подсеть 192.168.2.0/24  и её  добавьте  для  юзеров 

    Расширение  размеров сети  с помощью маски    предпочтительнее,  т.к   этот метод  легче в реализации.

    калькулятор сети вам в помощь http://jodies.de/ipcalc

    С Уважением.


    • Изменено k1b3r 2 июля 2012 г. 7:06
  • в том то и беда, что подсети 0.0, 0.2, 0.3 и т.д. уже заняты филиалами, а менять там адресацию проблематично.

  • 1. Выделить дополнительную подсеть типа 192.168.10.0/24 и использовать ее вместе с существующей. Придется настроить маршрутизацию и поддерживать фактически два логических сегмента. Но это все лучше, чем писать по 2 адреса (смысл прописывания второго адреса мне вообще непонятен).

    2. Выделить новый большой сегмент, к примеру 192.168.8.0/22, и полностью перейти на него. Это потребует трудозатрат на смену адресации, но будет гораздо правильнее чем дополнительные адреса. И это сохранит единый сегмент.

    Выбор вы должны делать исходя из того, что вам нужнее - единый сегмент сети или минимизация трудозатрат...


    http://OpsMgr.ru/

    Отвечающий
  • Почему бы не взять еще одну сеть и не поместить в отдельный VLAN?

    Сазонов Илья http://isazonov.wordpress.com/

    Модератор
  • отдельным VLAN правильнее и быстрее, чем городить неклассовые сетки и перенастраивать все оборудование. к тому же разделение на вланы всегда хорошо с точки зрения безопасности (у самого пара десятков вланов на три сотни хостов)

    2 июля 2012 г. 14:28
    Модератор
  • Дима и Илья,

    Вы упускаете мааленький момент: "Шлюз на TMG, и еще есть около десятка серверов".

    Вторую сеть TMG точно поддерживает, а вот поддерживает ли там сетевой адаптер VLAN - большой вопрос. Как и остальное оборудование...


    http://OpsMgr.ru/

    2 июля 2012 г. 14:53
    Отвечающий
  • зачем заставлять ТМГ заниматься тем что он не должен делать? вланы и маршрутизация удел роутеров и коммутаторов 3-го уровня, а ТМГ ни разу не маршрутизатор.

    2 июля 2012 г. 17:05
    Модератор
  •  Я бы избегал использовать нестандартные маски. А создание слишком большого сегмента сети чревато увеличением накладных расходов и, как следствие, снижением производительности сети. Широковещательный домен-то больше станет.

    Есть ли у вас коммутатор 2-3 уровня?

    Если есть, то самый лучший вариант - разделить сети на VLAN. Это можно делать и постепенно.

    VLAN не пропустит широковещательный трафик в другие подсети, но это решаемо. Решений 2:

    1. Настроить коммутатор таким образом, чтобы широковещательный трафик данного VLAN перенаправлялся в Вашему DHCP.  IP helper-address называется http://habrahabr.ru/post/89997/

    Это самый лучший вариант.

    2. DHCP Relay



    • Изменено Ivan Sinjov 3 июля 2012 г. 3:12
  • Иван, а чем отличается IP helper-address от DHCP Relay?

    >Я бы избегал использовать нестандартные маски.А создание слишком большого сегмента сети чревато увеличением накладных расходов и, как следствие, снижением производительности сети. Широковещательный домен-то больше станет.

    То есть правильно ли я понял, что "стандартная маска" (то есть не-CIDR) 255.255.0.0 для сети класса B для производительности сети гораздо лучше чем "нестандартная" /22?


    http://OpsMgr.ru/

    Отвечающий
  • По-моему /16 еще хуже, чем /22.

    А по поводу DHCP Relay, прошу прощения 2 раза. Я имел в виду что-то типа http://technet.microsoft.com/en-us/library/cc783103(v=ws.10).aspx 

    Я согласен с Dmitry Nikitin, и считаю, что маршрутизация на Windows - плохое решение.

  • По-моему /16 еще хуже, чем /22.


    То есть идеальное решение для большого сегмента (скажем, 4000 конечных точек) это  16 сетей класса C в 16 VLAN?

    http://OpsMgr.ru/

    Отвечающий
  • Да. Если не учитывать географию.

  • Географию?


    http://OpsMgr.ru/

    Отвечающий
  • 4000 пользователей могут быть в разных городах, или в одном здании.
  • В одном здании. Что это меняет?

    http://OpsMgr.ru/

    Отвечающий
  • 4000 рабочих станций в одной сети забьют вашу сеть бродкастами. А если кто-то умный воткнет хабчик двумя портами в 2 розетки, ляжет все, а не одна подсеть. И потом будет очень увлекательно искать, кто-же из 4000 умников напортачил-то...

    Зато любой коммутатор (даже бюджетный) способен поддерживать не менее 4096 VLAN. Создавай сколько хочешь.

    По-моему мы отошли от темы.

  • Если маршрутизацию между сетями в VLAN нужно в любом случае настраивать, какой сермяжный смысл во VLAN? Дополнительные сложности в дизайн сети внести?

    Модератор
  • VLAN - второй уровень, маршрутизация - 3. Они между собой не связаны...

    В одном VLAN может быть и несколько подсетей, однако для удобства обычно строят на одной VLAN одну подсеть. Вероятно это и приводит к смешиванию понятий.

    VLAN - это просто разделение портов коммутатора  на группы. Как будто это несколько коммутаторов. Но самое главное и полезное свойство не в этом, а в том, что используя технологию VLAN вы можете создавать распределенные коммутаторы. То есть если в одной комнате сидят пользователи сети А и пользователи сети В, не нужно ставить 2 коммутатора. Можно отдать несколько портов в А сеть, и несколько - в В. И те же сети вы можете выдать на третий коммутатор - в другой комнате.

    Так вот коммутатор потому и уровня 2-3, что с одной стороны он умеет работать с VLAN, а с другой, может маршрутизировать подсети.

    То есть, скажем на 16 коммутаторах вы создаете 16 сетей, и 16 шлюзов. Или на трех коммутаторах 16 сетей. Или 40 сетей - не важно. Главное, чтобы портов было достаточно. И все всех видят. И никакого шлюза на TMG не нужно.

    А TMG пусть занимается тем, для чего он предназначен - DMZ и пр.

  • Интересно наблюдать за вашей дискуссией ) Внесу ложку дёгтя: у меня большинство коммутаторов древние и не управляемые (но надежные, как оказывается).
  • на DHCP создать суперскоп, воткнуть туда 192,168,1,0/24 и скажем 192,168,10,0/24

    загрузить какой нить роутер пререгоном трафика между сетями оставив всех в большом военном бродкаст сегменте

    дешево и сердито

    ===============

    или оставляем серваки в  192,168,1,0 физически делим сегмент роутером

    всех клиентов пересаживаем скажем на 192,168,12,0/22, про релей агент или хелпер тут уже писали

    3 июля 2012 г. 14:03
  • А как у вас сейчас сделан роутинг между сетями? На клиентах и на серверах в качестве шлюза по умолчанию что стоит? Или каждую сеть отдельно добавляете?

    Сазонов Илья http://isazonov.wordpress.com/

    Модератор
  • Сейчас у меня для каждого филиала своя подсеть /24. В основной (где большинство серверов, и где DHCP плачет) основным шлюзом назначен TMG, он же поднимает Site-to-Site до филиалов, через него и идет вся маршрутизация.

    а "на всех серверах прописать еще один ip подсети 10.0/24" для того, что бы по возможности, не использовать шлюз (TMG) для обращения к серверам. 

  • У вас сеть  192.168.1.0/24 чем занята? Серверами? Или в ней все и серверы, и рабочие места?


    Сазонов Илья http://isazonov.wordpress.com/

    5 июля 2012 г. 11:27
    Модератор
  • там и серверы и рабочие станции...

    5 июля 2012 г. 13:19
  • У вас два варианта: либо мигрировать на новую подсеть с маской, например /23, либо использовать маршрутизацию.

    В первом случае вы можете использовать TMG как временный роутер, пока полностью не переедите на новую сетку.

    Второй вариант более масштабируемый (если ожидается рост числа серверов и рабочих станций), но требует соответствующее сетевое оборудование с поддержкой vlan-в и маршрутизации. Как вариант вы можете использовать тот же TMG как роутер: трафик до удаленных офисов он у вас уже роутит - отроутит и внутренний трафик.


    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа Peter Koreshkov 6 июля 2012 г. 5:21
    5 июля 2012 г. 14:16
    Модератор