verschiedene Netze über dieselben Switches?
 

Hallo,

ich muss 2 verschiedene IP-Adressbereiche über die gleichen Switches einrichen und sie über einen Router/Firewall verbinden. Eigentlich müsste das ja funktionieren aber eine Sache ist mir dabei unklar:
wie läuft das mit dem DHCP broadcast wenn ich in beiden netzen einen eigenen DHCP server laufen habe?

so soll das schematisch aussehen:

10.5.1.0/24 -- 2 eigene switches -- uplink zu switch mit netz 100.0.0.0/8 -- glasfaserverbindung zum serverraum -- server hängt am gleichen switch wie die 100.0.0.0-server -- firewall hängt mit beiden schnittstellen am gleichen switch und ist standard-gateway

...bitte keine kommentare über das 100er netz, ich habs nicht eingerichtet...

jorge

Es kommt auf deine Switches an.

Bei "normalen" Switches hast du das Problem das Broadcasts alle bekommen. 2 DHCP-Server kannst nur dann verwenden wenn du auf den DHCP-Servern die IP-Adressen statisch zuweist (zu den MAC-Adressen der Clients). -> Nix gut.Sicherheitstechnisch sowieso eine Katastrophe.

Bei VLAN-fähigen Switches kannst du das Problem einfach mit getrennten VLANs lösen. Hab zB zu Hause in meinem Testnetzwerk 5 unterschiedliche IP-Netze auf einem Switch mittels VLANs separiert.

Gehört jetzt nicht ganz da her, aber mich würde trotzdem interessieren, warum eine fixe IP-Zuteilung im DHCP-Server auf MAC Adressen schlecht für die Sicherheit ist?

(hat man das nicht, kann sich ja jeder im LAN einloggen, da er eine Adresse erhält. Konfiguriert man den DHCP Server so, daß keine freie Adressen, außer der fix eingetragenen, verfügbar sind, ist das ja ein Vorteil, oder?)

Ciao Oliver

hm seh ich auch so, außer jemand spoofed die Mac was aber in einem Geswitchten Netz schwieriger ist .. (afaik)..

diese Konfiguration erinnert an WLan wobei man ja auch quasi eine Mac-Tabelle erstellt.. kommt mir auch ziemlich sicher vor :)

mfg

Mit der sicherheitstechnischen Katastrophe ist die Verwendung zweier Ip-Netze auf einem Switch mit einer Broadcast-Domain gemeint, nicht die fixe Zuordnung MAC<->IP.

Ah Danke :D ! die fixe zuordnung ist sicherheitstechnisch eher ein Plus oder ??

mfg

@teotmb:

danke,
das hatte ich mir eh gedacht.
mein vorteil ist dass ich das mit der zuweisung von mac- zu ip-adressen aus sicherheitstechnischen gründen eh schon seit einiger zeit so mache.
allerdings habe ich mich jetzt entschieden, die netze (mit finanziellem mehraufwand) auch physisch zu trennen; jedenfalls werde ich das den auftraggebern vorschlagen ;-).
ich hoffe nur das hier sicherheit eine höhere rolle spielt als geld.....

jorge

also in der schule hama das problem mittels Vlans gelöst
natürlich brauchst einen switch der diese unterstützt....
dann kannst deine ports am switch in 2 oder mehrere Vlans unterteilen
jedes vlan funktioniert dann wie ein eigener switch