Aufteilung von LAN im häuslichen Bereich

Technik Alles rund um den PC
21

Ich habe nie von Broadcast Problemen gesprochen? Oder was meinst du?

22

My two Cents …

Jetzt muss ich doch noch einhaken - da hat sich mir bei manchen Statements doch das eine oder andere Nackenhaar gestellt :eek:

Ist ja alles schön und gut sich das/die Netz(e) nach irgendwelchen obskuren Kriterien wie „Funktion/Art des Gerätes“ aufzuteilen - bei IPv4 mag das auf den ersten Blick noch Sinn machen - aber einigermaßen professionell und sinnvoll geht anders :wink:
Warum an den IPs aufreiben? Gerade im Hinblick auf die aktuelle und künftige Entwicklung (IPv6 … da war doch was!!!) sollte man sich etwas von dieser „scheingeordneten“ Adressvergabe, auch bei v4, lösen - Namen sind die Antwort! (DNS …erfordert hier und da ein wenig Pflege). Oder gibt hier irgend jemand 74.125.140.94 oder 2a00:1450:400c:c08::5e ein wenn er eine Suche im WWW starten will?
Wer könnte sich denn auch bitte einen Ar*** voll v6-Adressen merken und ist gewillt die dann auch noch fröhlich einzutippen? Nebenbei bemerkt ändern sich v6-Adressen sinnvollerweise im Betrieb dynamisch (je nach Vergabemethode). Dann viel Spaß bei der Suche!
Sich gleich für das interne LAN 216 v4-Adressen zu vergeben sieht ja gut aus - „Platzprobleme“ wird man damit vermutlich nicht mehr bekommen - das wird nur dann lustig, um nur ein Szenario zu nennen, wenn man mal eben ein VPN nach irgendwo spannen möchte und der Partner einen überlappenden v4-Bereich nutzt. Happy Doppel-NATing oder Adressbereichszerschneiding! :smiley:

Klar, um einige fest vergebenen IPs wird man nicht herumkommen, weil es noch genügend Applikationen gibt die aus historischen Gründen (unverständlicherweise) nichts anderes zulassen. Gerade in der Hausautomation ist das ja doch noch verbreitet. 150 Geräte sind, wenn man es etwas ambitionierter betreibt, nicht wirklich außergewöhnlich, aber „voll“ ist ein /24 Netz damit auch nicht (es sei denn man hat ständig neue Geräte im LAN, die dann für die Lease-Dauer Adressen belegen (von der Verkürzung der Lease-Dauer würde ich abraten - für Sonder- oder Notfälle kann es sinnvoll sein).

Ein paar Denkansätze für v4 im Vorfeld:

[ul]
[li]ungefähr abschätzen wie viele dynamische & feste Adressen zu erwarten sind, dazu genügend Luft nach oben lassen - in den meisten Fällen müsste ein /24 Netz (254 Hosts) reichen - wer im Vorfeld schon 120 IPs aus dem Stehgreif aufzählen kann, nimmt halt ein /23 (510 Hosts). Bei der Wahl des privaten Adressbereiches ist genügend Auswahl vorhanden. Eine ganz verwegene Idee: vielleicht mal nicht den auf einer Fritte voreingestellten Bereich nehmen.[/li][li]dementsprechend wird der DHCP-Bereich angelegt - für den „festen“ Teil gibt’s mehrere Möglichkeiten oder eine Kombination daraus: (1) einen Bereich davor/danach frei lassen in dem sich nur feste IPs tummeln (2) IPs für bestimmte MAC-Adressen im DHCP-Server reservieren - der Client macht zwar DHCP, bekommt aber vom Server immer die gleiche IP - Vorsicht! - wenn sich die HW ändert/getauscht wird und damit die MAC, ist die Zuordnung obsolet (3) Geräte mit fest eingestellter IP innerhalb des dynamischen Bereichs für die dynamische Vergabe im DHCP-Server ausschließen[/li][li]will man wirklich getrennte Subnetze (ich halte es durchaus für sinnvoll z.B. das Hausautomationsgerümpel, oder Gast-LANs vom „Rest“ zu trennen, sei es aus funktionellen, Sicherheits- oder Handhabungsgründen) einfach von der Fritte verabschieden - das klappt mit EINEM Gast-(W)LAN prima, weil Out-Of-The-Box unterstützt, für ein Netz mit mehr Funktionalität hingegen wird das so nichts - ein Router der auch den Namen verdient muss her! (z.B. ein EdgeRouter Lite - günstig, schnell, kann DHCP, Firewall, etc. und ist für den Grundbedarf über eine WebUI konfigurierbar. Für den ambitionierten Heimnetzwerker gibt’s auch VLAN, OSPF, BGP, MPLS, uvm. - dann ist allerdings Kommandozeile gefragt - Achtung: kein DSL-Modem eingebaut!) Mikrotik, CISCO ASA, Sophos UTM, IPFire, u.a. seien hier auch noch genannt um Schleichwerbung zu vermeiden - ja, unterschiedliche Produkt- und Preiskategorien, aber durchaus gut für solche Szenarien brauchbar.[/li][li]super ist dann natürlich noch ein VLAN-tauglicher Switch - ein oder mehrere „doofe“ pro Netzbereich tun es auch (für die Paranoiker unter uns sogar noch gewissensberuhigender, da HW-mäßige Trennung - aber lange nicht so flexibel). Storm Control für Broad- und Multicast haben da auch schon die billigen an Board - mir ist im Privatbereich allerdings kein einziger Fall bekannt wo so etwas jemals aufgetreten wäre - selbst im professionellen Bereich eher selten durch Fehlkonfiguration oder einen Defekt - meist ist der Port/die NIC/der Host aber einfach nur kaputt :rolleyes:[/li][li]wenn man wirklich mit vielen Geräten hantiert zur besseren Übersicht evtl. mal über eine sinnige Namenskonvention nachdenken und die Hosts nicht nach Haustieren benennen - wer erinnert sich schon (gerne) an den Goldhamster, der vor 12 Jahren das Zeitliche gesegnet hat :D[/li][/ul]

Anyway … einfach mal loslegen und schauen was einem so am besten in die eigene Umgebung passt. Man kann nur schlauer werden!

Beste Grüße
/Jens

23

Ja und,da nn hast du doch noch rund 100 IP-Adressen im Subnetz frei, wo ist da was eng ?

Also beim besten Willen, was hast du alles an Geräten bei dir im Haus.

Ich habe mal gerade den Netzwerkplan überschlagen, den ich für einen Bekannten im Haus gemacht habe und der hat wirklich viele Netzwerkgeräte im Haus, da komme ich auf rund 120.

Dort haben wird bewusst 4 /24er Netze aufgesetzt, zum einem der Übersicht wegen, zum anderen der Sicherheit wegen,innerhalb der Subnetze haben wird dann noch VLAN angelegt.

Beispiel .x = VLAN in dem Subnetz:

  • Netu 0: Internetgateway ( Router + Firewall )
  • Netz 1.1: Server, NAS, Firewall, Switche, usw.
  • Netz 1.2: Computer/Notebooks/Drucker im Büro
  • Netz 1.3: Computer/Notebooks/Drucker im Haus
  • Netz 1.4: Computer/Notebooks Kinder ( eingeschränkter Netzzugang )
  • Netz 1.5: Multimediageräte: Smart-TVs, HEOS-Multiroomsystem, Apple-TV usw.
  • Netz 1.6: VoIP-Telefone Haus
  • Netz 1.7: VoIP-Telefone Büro
  • Netz 2.1: Alle Smarthome-Systeme KNX-Server, Gateways, PVA-System, Wärmepumpe, usw.
  • Netz 2.2: alle Smarthome-Bediengeräte: Touchsreens, Bedienpanel usw.
  • Netz 2.3: alle Miele@Home Geräte
  • Netz 3.1: WLan-Haus ( Smartphones, Tablets, Notebooks )
  • Netz 3.2: WLan-Büro
  • Netz 3.3: WLan-Kinder ( eingeschränkter Internetzugang )
  • Netz 3.4: Gäste-WLan Haus ( reiner Internetzugang )
  • Netz 3.5: Gäste-WLan Büro ( reiner Internetzugang )
  • Netz 3.6: Gäste-WLan Kinder ( eingeschränkter Internetzugang )
  • Netz 4.1: Alle Videokameras in/ums Haus, Türsprechanlagen
  • Netz 4.2: Alarmanlage, sonstiges Sicherheitssysteme

Die ganze Technik dahinter besteht aus einem einer FritzBox 6490 für den Kabel-Internetanschluss, einer Sophos UTM Hardware-Firewall, 1 48-Port HP-Switch mit VLan, 2 16-Port HP-Switch mit PoE um VoIP-Telefone bzw. die Überwachungskameras mit Strom zu versorgen.
Von der SophosUTM wird zum einen das WLan verwaltet und zudem regelt das Firewall-Regelwerk die Zugriffsrechte innerhalb des Netzes und zum Internet.

Das ganz sieht aufwendiger aus als es am Ende ist. Man muss nur anfangs etwas Gehirnschmalz reinstecken, alle Gereät zusammen sammeln und einen vernüftigen IP-Adressplan erstellen und dann regelt, was wohin sprechen soll/darf/nicht darf. DHCP wird nur in den Gäste-WLans benutzt, alle anderen haben feste IPs.

Es ist zb. nicht gewollt, das die Computer im Büro mit denen im Haus sprechen oder das die Kinder auf die Server zugreifen können.