28 марта 2024, 12:39

Цитата дня:

Не допустить ошибок, значит прожить неполноценную жизнь. Стив Джобс


IP адресация лольканой сети

Автор samotlor, 21 марта 2018, 22:18

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

samotlor

здравствуйте.
Пришел на работу в орг-ю, опыта маловато, разбираюсь потихоньку. В сети 110 компьютеров, 3 сервера пока и 26 сетевых МФУ.  1 контроллер домена на w2k8.

На DHCP КД создана одна зона адресов с 192.168.0.51 - 192.168.0.254 с маской 255.255.255.0.  Адреса до 51 отданы под статику. Статика в основном на на серверах и мфу.  Через шлюз к сети подцепляются VPN клиенты и я уже огреб проблем с удаленными юзерами у которых на маршрутизаторах тоже нулевая подсеть.

Вопрос дурацкий, но для меня сейчас важен. Хочу сменить IP адреса в домене на что-нибудь типа 192.168.121.х например.  Посоветуйте какую подсеть лучше выбрать и как распределить адреса на DHCP? Может вообще взять диапазон из класса D - 10.121.х.х с маской 255.255.0.0 и тем самым увеличить число адресов под статику?

И если кто делал или знает, подскажите какой алгоритм смены адресации в моем случае? Уронить все очень не хочется

Уваров А.С.

Ну смотрите, у вас уже 140 хостов, не считая удаленщиков, мобильные устройства и т.д. и т.п., сеть /24 - 256 адресов, это уже маловато будет. Поэтому есть смысл перейти на сеть /23 или /22 (512 и 1024 адресов).

Как это все сменить?

Сначала добавляете серверам второй IP-адрес из новой сети. Затем создаете новую область DHCP в новом диапазоне, но не активируете ее.

Теперь шлюз - оптимально он должен быть доступен из обоих сетей, если это невозможно, добавляете еще один роутер, который будет шлюзом для новой сети и маршрутизатором между ними. Но это плохой вариант.

Для вашей сети дешевые бытовые роутеры - плохой вариант, нужен либо полноценный шлюз на Линуксе, либо можно взять Mikrotik RB3011. В общем задача шлюза - выпускать обе сети в интернет и передавать пакеты между ними. Если шлюз будет иметь адреса обоих сетей, то все это будет делаться автоматически.

Затем деактивируете старую область и активируете новую, по мере перезагрузки ПК будут переходить в новую сеть, но также будет доступна и старая. Потом постепенно переводите старую, проверяете и потихоньку убираете старую сеть.

При грамотном подходе эти действия можно делать прямо в рабочее время без каких-либо перебоев в работе сети.

samotlor

здравствуйте, спасибо.

тогда выберу сеть /23. Адресами с 192.168.120.1  по  192.168.121.254. Под статику первые 150 адресов, вполне хватит.

Шлюзом тут стоит виндовый kerio. Не уверен, но по моему в нем (точнее в ОС) можно прописать еще один IP.

ПО переходу:
На DHCP в старой области не нужно срок аренды уменьшить?
Дополнительно на DNS КД ничего руками править не надо будет?
Вы уже проделывали такое в своей практике?

Уваров А.С.

Проделывали и неоднократно.

Шлюзом тут стоит виндовый kerio. Не уверен, но по моему в нем (точнее в ОС) можно прописать еще один IP.
А причем тут Kerio? Второй (третий, четвертый, пятый и т.д.) адрес прописывается штатными средствами ОС.

На DHCP в старой области не нужно срок аренды уменьшить?
Зачем? Главное чтобы шлюз маршрутизировал пакеты из старой сети в новую. После этого обе сети будут жить у вас одновременно и видеть узлы друг друга.


Дополнительно на DNS КД ничего руками править не надо будет?
На DNS проверьте чтобы интерфейс с новым адресом стоял в списке разрешенных (на которых сервер принимает запросы).


samotlor

добрый день.
В статье https://interface31.ru/tech_it/2012/08/active-directory-ot-teorii-k-praktike-chast-3.html Вы создаете область 80/20 между двумя КД. А как правильней поступить если второй КД будет добавляться позже, а сейчас область создается только на одном?

У Вас в статье область DHCP чередуется статикой/исключениями и диапазонами, которые выдает DHCP. Почему сразу не выделить часть последовательных адресов области под статику и не делать потом лишних телодвижений с добавлением исключений? Спасибо.

Уваров А.С.

#5
25 марта 2018, 23:25 Последнее редактирование: 25 марта 2018, 23:30 от Уваров А.С.
Если DHCP сервер один, то и делить там нечего, он должен обслуживать область полностью.

Почему сразу не выделить часть последовательных адресов области под статику и не делать потом лишних телодвижений с добавлением исключений? Спасибо.
Статика - это зло. Она допустима только на основных серверах, которые являются критическими для инфраструктуры. Все остальные узлы должны получать адреса через DHCP, если адрес должен сохраняться для узла - делаем ему резервирование.

Кроме того статику не рекомендуется вставлять в начало диапазона, так как есть ненулевая вероятность, что кто-то воткнет в сеть устройство с адресом 192.168.0.1 или подобным. Поэтому выделяем практически весь диапазон под DHCP, а потом добавляем области исключений.

samotlor

#6
26 марта 2018, 19:07 Последнее редактирование: 26 марта 2018, 19:13 от samotlor
Если DHCP сервер один, то и делить там нечего, он должен обслуживать область полностью.
это понятно, я говорю если еще один КД появится позже. Тогда, наверно, созданную область на первом надо просто удалить и пересоздать заново с  делением 80/20?

Статика - это зло. Она допустима только на основных серверах, которые являются критическими для инфраструктуры. Все остальные узлы должны получать адреса через DHCP, если адрес должен сохраняться для узла - делаем ему резервирование.
а разве "область исключения" не равно по сути "статика" ? В вышеупомянутой статье, у Вас исключенная область 192.168.51.200-192.168.51.209 отдана под сетевые принтера. Втыкаем мы принтер в сеть, он хватает IP от DHCP. Далее мы, как я понимаю, идем на принтер и руками меняем там IP на какой то из указанного выше диапазона? НУ и получаем по сути статику или я все не так понял?

А почему зло?  Потому что надо где то хранить и помнить весь этот список адресов?

Уваров А.С.

а разве "область исключения" не равно по сути "статика" ?
Статика, но исключения мы можем формировать по мере возникновения потребности в статических адресах, не снижая емкость пула без реальной на то необходимости.

А почему зло?  Потому что надо где то хранить и помнить весь этот список адресов?
А потом еще и руками изменять, в случае чего. Поэтому везде где можно следует использовать DHCP или DHCP + резервирование.


samotlor

вот только сейчас пытаюсь все это провернуть.
пока сменил IP на серверах и на своей рабочей машине. Первое что заметил, отвалилось сетевое окружение. По прямой ссылке \\comp зайти можно, в сетевом окружении ничего нет.

nslookup IP адреса выдает, но сервер пишет unknown.

Уваров А.С.

По прямой ссылке \\comp зайти можно, в сетевом окружении ничего нет.
А что вы ожидали? Сетевое окружение использует широковещательные запросы, которые за пределы сети не выходят. Будут все в одной сети - будете видеть. Иначе - только по FQDN или плоским именам.

samotlor

плохо конечно... Я правильно понимаю что unknown server в запросе nslookup от того что в DNS не прописана обратная зона для новой подсети?

Сервер:  UnKnown
Address:  192.168.121.193

Имя:     server.domain.local
Addresses:  192.168.121.193
             192.168.0.1

Вот такой вывод сейчас получаю.

И еще, может дурацкий вопрос, но никогда этого не делал. При создании обратной зоны в DNS КД запрашиваеся только подсеть, без маски.  А что мне туда писать если у меня подсеть 192.168.120.0/23 ?  А сюда входят и адреса 192.168.121.0.

Уваров А.С.

Я правильно понимаю что unknown server в запросе nslookup от того что в DNS не прописана обратная зона для новой подсети?
Правильно.


И еще, может дурацкий вопрос, но никогда этого не делал. При создании обратной зоны в DNS КД запрашиваеся только подсеть, без маски.  А что мне туда писать если у меня подсеть 192.168.120.0/23 ?  А сюда входят и адреса 192.168.121.0.
Просто указываете сеть: 192.168.120._ (точнее три первые октета), остальное сервер сам "узнает" из конфигурации сети на хосте.

ival

#12
26 марта 2019, 08:49 Последнее редактирование: 26 марта 2019, 09:02 от ival
Разрешите вставить свои мысли.

Я не рекомендую уменьшать маску ниже 24 там где этого можно избежать. Как минимум вы увеличиваете широковещательный домен, а broadcast штука полезная, но с ним надо быть на чеку. Начинать надо строить сеть сразу правильно, пока она маленькая. Зачем использовать 23 или 22 маску если у Вас всего ну в худшем случае наберется 300 устройств? Не умнее ли взять, ну например  несколько сетей, на худой конец также 24. Одна 24 под рабочие станции, одна 24 под серверы, одна 24 под принтеры, одна 24 под vpn и одна 24 под мобильные устройства. Это конечно грубо, а так можно посчитать с учетом прироста  и выбрать где-то 26,27 или 28 маску + оставить пустоты из 24 сетей на случай роста. Каждой сети выделить vlan, маршрутизацию этих сетей передать на Ваш kerio, если нет коммутатора с поддержкой l3. Опять же уйти от 192.168 сетей в сторону 172.16. а лучше в сторону 10. Всё-таки в 192.168 мало подсетей и мало адресов, поэтому их лучше использовать на корневых устройствах в распределенных сетях. Плюс в этой сети можно попасть на пересечение. Простой пример, у удаленного пользователя дома сеть 192.168.0.0/24, она совпадает с Вашей. По vpn он подключиться, получит какой-то адрес, но на ресурсы компании он никогда не попадёт, потому что его пк будет знать что он в сети 192.168.0.0/24 поэтому запрос дальше портов коммутации никуда не уйдёт.

samotlor

все таки с сетевым окружением что-то не то. На КД добавлен второй IP и у меня машина с новым IP в это домене. На команду net view у себя получаю ошибку "не найден сетевой путь".

ival
вы меня запутали совсем)  Главная цель сменить именно подсеть.  Вы правы, с VPN как раз и проблема, что на бытовых роутерах часто нулевая и первая подсети. Поэтому и надо сменить подсеть на другую, потому что при подключении по VPN на ресурсы внутренней сети не пускает. И приходится городить костыли в виде дополнительных маршрутов на шлюзе. По моему это loopback называется.

Выводить МФУ в отдельный VLAN совсем неудобно, они разбросаны по всем этажам. Коммутатор L3 есть (HP5120), виланы есть, но маршрутизация еще не настроена между ними. Керио с маршрутизацией не справится, стоит на виртуалке и очень уж любит грузить процессор и без того.
Сервера убирать в другой вилан, не знаю даже, там с их трафик будет большой и гонять все через коммутатор.
Для 10 подсети опять же маска 24 не родная.
 

ival

Я бы попытался помочь Вам по сетевому окружению, но я не совсем понял, что с ним не так и что Вы хотите.

Loopback это логический интерфейс смотрящий сам на себя. Я знаю несколько применений loopback интерфейсов в сетях, но про то что с помощью loopback можно бороться с пересечением сетей слышу в первые, хотя может я чего-то не знаю.

Не совсем понятно в чем сложность вывода принтеров в отдельный vlan, даже если они в разных зданиях.

Как раз и основная задача l3-коммутатора агрегировать в себе весь трафик с коммутаторов доступа и маршрутизировать трафик между подсетями. Поэтому это нормальное явление когда через него идёт огромный поток. К тому же даже предположив что у Вас 10 свичей по 48 портов и они сходятся в Ваш hp по 4 линка с каждого это всего 40 гБ, а судя по сайту hp 48 портовый 5120 имеет пропускную способность 192 гБ (ну минус 20%).

По поводу масок. Нет родных или не родных масок, сеть 10.0.0.0 это не обязательно 8 маска. Мир давно уже ушёл от классовой адресации. Сейчас используется безкласовая адресация CIDR которая основывается на масках переменной длинны VLSM. Не хочу Вас обидеть, но советую почитать про сети, у Вас большой пробел. А сеть это фундамент, без неё все сервера, принтеры и т.п это бесполезное железо.

Уваров А.С.

Не хочу Вас обидеть, но советую почитать про сети, у Вас большой пробел. А сеть это фундамент, без неё все сервера, принтеры и т.п это бесполезное железо.
Поэтому меньшим злом будет просто расширить маску, потому как внедрять VLAN и делить сеть на подсети слабо представляя как оно работает - верный путь все положить.

ival

Поэтому меньшим злом будет просто расширить маску, потому как внедрять VLAN и делить сеть на подсети слабо представляя как оно работает - верный путь все положить.
А так получиться потрать время сейчас, а потом еще года через два года опять переделывай, а то и раньше. Или вообще уволиться и оставить 23 сеть новому админу, при наличии того что есть l3. Хотя дело конечно его.

samotlor

#17
30 марта 2019, 17:49 Последнее редактирование: 30 марта 2019, 17:55 от samotlor
Loopback это логический интерфейс смотрящий сам на себя. Я знаю несколько применений loopback интерфейсов в сетях, но про то что с помощью loopback можно бороться с пересечением сетей слышу в первые, хотя может я чего-то не знаю.
я написал, помоему, так как точно не знаю. Вот как это выглядит, это просто дополнительный маршрут в свойствах VPN kerio с 32 маской:

таким образом клиент за VPN у которого тоже нулевая подсеть может заходить на эти IP (и это если случайно IP не совпадут).

На счет коммутаторов, следом как раз и планируется настройка маршрутизации.

Поставил 24 маску, как и рекомендовали, этого хватит.

На КД дописал второй IP (из новой сети) в свойствах существующего интерфейса. Как и обсуждалось выше.
Создал на DHCP новую зону, старую деактивировал, новую активировал. Также "авторизовал" этот новый IP на DHCP. Старый IP из этой авторизации не убрал. Перегрузил DHCP сервер.

Дальше, перегружаю одну машину в сети, IP она получить не может. КД не раздает IP.

Пока вернул все назад. Может из-за того что не деавторизовал старый IP? Может стоило прописать новый IP вообще на втором незадействованном физическом интерфейсе вместо добавления к существующему?

ival

На КД дописал второй IP (из новой сети) в свойствах существующего интерфейса. Как и обсуждалось выше.
Я так никогда не делал, поэтому предположу, что при такой схеме нет никаких подводных камней для раздачи DHCP при дополнительном ip на интерфейсе. Хотя для меня не совсем понятно как DHCP-сервер должен понять из какого пула отдать IP если интерфейс не разделен ни физически ни логически. Запрос приходит, DHCP смотрит с какого интерфейса пришло, видит первый IP интерфейса и пытается дать ему IP из этого же пула. Повторюсь это мои предположения. Я использую разделение сетей (физическое или логическое) и DHCP релей, а такую схему никогда не видел. Может Уваров А.С., что-то подскажет.

Но самое простое, что можно сделать, включит журнал аудита DHCP и смотреть логи

Уваров А.С.

Я так никогда не делал, поэтому предположу, что при такой схеме нет никаких подводных камней для раздачи DHCP при дополнительном ip на интерфейсе. Хотя для меня не совсем понятно как DHCP-сервер должен понять из какого пула отдать IP если интерфейс не разделен ни физически ни логически. Запрос приходит, DHCP смотрит с какого интерфейса пришло, видит первый IP интерфейса и пытается дать ему IP из этого же пула.
Естественно DHCP в такой конфигурации работать не будет. Один физический интерфейс - одна зона (или должен быть релей).

Создал на DHCP новую зону, старую деактивировал, новую активировал. Также "авторизовал" этот новый IP на DHCP. Старый IP из этой авторизации не убрал. Перегрузил DHCP сервер.
Старую зону надо убрать на всех DHCP-cерверах, из старой адресации должны остаться только статические адреса. Все остальное должно получать адреса с новых DHCP, никакого промежуточного положения тут быть не должно.

Вверх