12 Декабрь 2018, 19:42

Цитата дня:

Теория- это когда ты знаешь все, но ничего не работает. Практика - это когда все работает, но никто не знает почему.


IP адресация лольканой сети

Автор samotlor, 21 Март 2018, 22:18

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

samotlor

здравствуйте.
Пришел на работу в орг-ю, опыта маловато, разбираюсь потихоньку. В сети 110 компьютеров, 3 сервера пока и 26 сетевых МФУ.  1 контроллер домена на w2k8.

На DHCP КД создана одна зона адресов с 192.168.0.51 - 192.168.0.254 с маской 255.255.255.0.  Адреса до 51 отданы под статику. Статика в основном на на серверах и мфу.  Через шлюз к сети подцепляются VPN клиенты и я уже огреб проблем с удаленными юзерами у которых на маршрутизаторах тоже нулевая подсеть.

Вопрос дурацкий, но для меня сейчас важен. Хочу сменить IP адреса в домене на что-нибудь типа 192.168.121.х например.  Посоветуйте какую подсеть лучше выбрать и как распределить адреса на DHCP? Может вообще взять диапазон из класса D - 10.121.х.х с маской 255.255.0.0 и тем самым увеличить число адресов под статику?

И если кто делал или знает, подскажите какой алгоритм смены адресации в моем случае? Уронить все очень не хочется

Уваров А.С.

Ну смотрите, у вас уже 140 хостов, не считая удаленщиков, мобильные устройства и т.д. и т.п., сеть /24 - 256 адресов, это уже маловато будет. Поэтому есть смысл перейти на сеть /23 или /22 (512 и 1024 адресов).

Как это все сменить?

Сначала добавляете серверам второй IP-адрес из новой сети. Затем создаете новую область DHCP в новом диапазоне, но не активируете ее.

Теперь шлюз - оптимально он должен быть доступен из обоих сетей, если это невозможно, добавляете еще один роутер, который будет шлюзом для новой сети и маршрутизатором между ними. Но это плохой вариант.

Для вашей сети дешевые бытовые роутеры - плохой вариант, нужен либо полноценный шлюз на Линуксе, либо можно взять Mikrotik RB3011. В общем задача шлюза - выпускать обе сети в интернет и передавать пакеты между ними. Если шлюз будет иметь адреса обоих сетей, то все это будет делаться автоматически.

Затем деактивируете старую область и активируете новую, по мере перезагрузки ПК будут переходить в новую сеть, но также будет доступна и старая. Потом постепенно переводите старую, проверяете и потихоньку убираете старую сеть.

При грамотном подходе эти действия можно делать прямо в рабочее время без каких-либо перебоев в работе сети.

samotlor

здравствуйте, спасибо.

тогда выберу сеть /23. Адресами с 192.168.120.1  по  192.168.121.254. Под статику первые 150 адресов, вполне хватит.

Шлюзом тут стоит виндовый kerio. Не уверен, но по моему в нем (точнее в ОС) можно прописать еще один IP.

ПО переходу:
На DHCP в старой области не нужно срок аренды уменьшить?
Дополнительно на DNS КД ничего руками править не надо будет?
Вы уже проделывали такое в своей практике?

Уваров А.С.

Проделывали и неоднократно.

Шлюзом тут стоит виндовый kerio. Не уверен, но по моему в нем (точнее в ОС) можно прописать еще один IP.
А причем тут Kerio? Второй (третий, четвертый, пятый и т.д.) адрес прописывается штатными средствами ОС.

На DHCP в старой области не нужно срок аренды уменьшить?
Зачем? Главное чтобы шлюз маршрутизировал пакеты из старой сети в новую. После этого обе сети будут жить у вас одновременно и видеть узлы друг друга.


Дополнительно на DNS КД ничего руками править не надо будет?
На DNS проверьте чтобы интерфейс с новым адресом стоял в списке разрешенных (на которых сервер принимает запросы).


samotlor

добрый день.
В статье https://interface31.ru/tech_it/2012/08/active-directory-ot-teorii-k-praktike-chast-3.html Вы создаете область 80/20 между двумя КД. А как правильней поступить если второй КД будет добавляться позже, а сейчас область создается только на одном?

У Вас в статье область DHCP чередуется статикой/исключениями и диапазонами, которые выдает DHCP. Почему сразу не выделить часть последовательных адресов области под статику и не делать потом лишних телодвижений с добавлением исключений? Спасибо.

Уваров А.С.

#5
25 Март 2018, 23:25 Последнее редактирование: 25 Март 2018, 23:30 от Уваров А.С.
Если DHCP сервер один, то и делить там нечего, он должен обслуживать область полностью.

Почему сразу не выделить часть последовательных адресов области под статику и не делать потом лишних телодвижений с добавлением исключений? Спасибо.
Статика - это зло. Она допустима только на основных серверах, которые являются критическими для инфраструктуры. Все остальные узлы должны получать адреса через DHCP, если адрес должен сохраняться для узла - делаем ему резервирование.

Кроме того статику не рекомендуется вставлять в начало диапазона, так как есть ненулевая вероятность, что кто-то воткнет в сеть устройство с адресом 192.168.0.1 или подобным. Поэтому выделяем практически весь диапазон под DHCP, а потом добавляем области исключений.

samotlor

#6
26 Март 2018, 19:07 Последнее редактирование: 26 Март 2018, 19:13 от samotlor
Если DHCP сервер один, то и делить там нечего, он должен обслуживать область полностью.
это понятно, я говорю если еще один КД появится позже. Тогда, наверно, созданную область на первом надо просто удалить и пересоздать заново с  делением 80/20?

Статика - это зло. Она допустима только на основных серверах, которые являются критическими для инфраструктуры. Все остальные узлы должны получать адреса через DHCP, если адрес должен сохраняться для узла - делаем ему резервирование.
а разве "область исключения" не равно по сути "статика" ? В вышеупомянутой статье, у Вас исключенная область 192.168.51.200-192.168.51.209 отдана под сетевые принтера. Втыкаем мы принтер в сеть, он хватает IP от DHCP. Далее мы, как я понимаю, идем на принтер и руками меняем там IP на какой то из указанного выше диапазона? НУ и получаем по сути статику или я все не так понял?

А почему зло?  Потому что надо где то хранить и помнить весь этот список адресов?

Уваров А.С.

а разве "область исключения" не равно по сути "статика" ?
Статика, но исключения мы можем формировать по мере возникновения потребности в статических адресах, не снижая емкость пула без реальной на то необходимости.

А почему зло?  Потому что надо где то хранить и помнить весь этот список адресов?
А потом еще и руками изменять, в случае чего. Поэтому везде где можно следует использовать DHCP или DHCP + резервирование.


Вверх