Roteamento entre sub-redes com um roteador?

Navegue suas respostas
4

Eu tenho um Draytek Vigor 2820 que é conectado a três switches Gigabit Netgear Layer 2. Atualmente a rede é bastante simples, 192.168.1.0/24.

Uma rede eu tenho 7 servidores, cerca de 50 computadores, 6 impressoras de rede, 16 telefones IP e entre 5 e 10 laptops sem fio que estão conectados através de três pontos de acesso sem fio.

Embora tenhamos muitos endereços IP disponíveis, acho que poderia ser um pouco mais eficiente em termos de identificar um dispositivo usando seu endereço IP.

Também temos três filiais que se conectam por meio de túneis VPN.

Até agora, temos a seguinte estrutura de IP: 

Main Practice - 192.168.1.0/24
Branch 1.     - 192.168.2.0/24
Branch 2.     - 192.168.3.0/24
Branch 3.     - 192.168.4.0/24

Nós nos referimos a eles como ramos, mas eles são essencialmente trabalhadores domésticos permanentes na maioria das vezes. Está definido que qualquer usuário VPN não-túnel é atribuído um endereço IP maior que 192.168.1.200/24.

O que eu gostaria de fazer é colocar todos os servidores em algo como 10.1.1.0/24, os pontos de acesso sem fio em 10.1.2.0/24 e talvez as impressoras em 10.1.3.0/24.

Não acho que nossa rede precise de VLANs, mas acho que a ideia acima simplificaria as coisas. Sem mencionar que o nosso número de endereços de host disponíveis é muito maior.

Usando um roteador, é possível adicionar uma rota estática a uma sub-rede diferente usando o mesmo gateway? Eu tenho um servidor DHCP em execução no Windows 2008 R2, presumo que posso adicionar um novo escopo para cada uma das novas sub-redes?

Quaisquer desvantagens importantes para este plano?

    
por dannymcc 26.11.2011 / 19:24

2 respostas

5

Any major downsides to this plan?

Sim. É desnecessariamente complicado. De um modo geral, você separa seus dispositivos em sub-redes diferentes porque você tem uma necessidade de filtragem, registro ou roteamento. Por exemplo: todos os seus serviços DMZ vivem em uma sub-rede separada que seus clientes não podem acessar diretamente.

A menos que você obtenha vantagens sérias usando essa configuração que não posso ver (o que certamente é possível), você está apenas comprando complexidade extra. Resista à tentação de ser excessivamente inteligente.

Although we have plenty of IP addresses available I think it could be a little more efficient in terms of identifying a device using its IP address.

Na minha opinião, se você estiver tentando identificar dispositivos por meio de seus endereços IP, Você está fazendo errado . Embora pareça uma boa idéia ter seus servidores nessa sub-rede IP, e as impressoras em que estão, e as estações de trabalho em outra, e os clientes sem fio em outra ainda, logo suas tabelas de roteamento serão complicadas ... rapidamente (e desnecessariamente).

Já existe uma configuração de serviço para identificar dispositivos ... DNS! Por que se preocupar em lembrar de IPs quando você pode fornecer seus dispositivos, nomes com significado humano?

I don't think our network needs VLANS, but I think the above idea would simplify things. Not to mention make our number of available host addresses far greater.

Acho que você está bem aqui, provavelmente não precisa de VLANs. No entanto, ainda pode valer a pena colocar todos os seus dispositivos VOIP em uma VLAN separada, se houver problemas de desempenho.

    
por 26.11.2011 / 22:16
0

Suponho que você deseja adicionar várias sub-redes no mesmo segmento físico? Embora isso seja possível, isso exigirá que você defina um "alias de IP" ou uma "subinterface" (dependendo da terminologia exata usada pela sua marca exata de roteador - não estou familiarizado com ela) basicamente atribuindo vários endereços IP na mesma interface física.

Um problema em fazer isso é que todo o tráfego da sua LAN para o servidor terá que passar pelo roteador, o que provavelmente não será capaz de rotear em velocidades de gigabit, e mesmo se puder, ainda haverá seja uma desaceleração.

Não estou muito familiarizado com o servidor DHCP do Windows, por isso não sei se ele fará o que você deseja - várias sub-redes em um único segmento de rede. Mas você teria que ter alguma maneira de configurar o servidor DHCP para fornecer sub-redes diferentes, dependendo do endereço MAC do computador solicitando um IP.

Não há realmente nenhum benefício de segurança, também, um invasor pode simplesmente criar um alias de IP em suas estações de trabalho para acessar sua LAN de servidor diretamente.

Eu pessoalmente não implementaria algo assim, porque isso tornaria sua rede mais complexa - não menos. Eu usaria várias VLANs ou colocaria tudo na mesma sub-rede.

    
por 26.11.2011 / 19:40

Tags

Segregação de LAN por motivos de segurança usando VLAN O filtro de senhas registradas no Windows 2008 nunca é disparado