web-dev-qa-db-ja.com

1つのルーターを使用したサブネット間のルーティング?

3つのギガビットNetgearレイヤー2スイッチに接続されているDraytekVigor2820があります。現在、ネットワークはかなり単純で、192.168.1.0/24です。

ネットワークの1つには、7台のサーバー、約50台のコンピューター、6台のネットワークプリンター、16台のIP電話、および3つのワイヤレスアクセスポイントを介して接続された5〜10台のワイヤレスラップトップがあります。

利用可能なIPアドレスはたくさんありますが、IPアドレスを使用してデバイスを識別するという点ではもう少し効率的だと思います。

VPNトンネルを介して接続する3つのブランチもあります。

これまでのところ、次のIP構造があります。

Main Practice - 192.168.1.0/24
Branch 1.     - 192.168.2.0/24
Branch 2.     - 192.168.3.0/24
Branch 3.     - 192.168.4.0/24

私たちはそれらをブランチと呼んでいますが、ほとんどの場合、本質的には常勤の在宅労働者です。非トンネルVPNユーザーには、192.168.1.200/24より大きいIPアドレスが割り当てられるように設定されています。

私がしたいのは、すべてのサーバーを10.1.1.0/24のような場所に置き、ワイヤレスアクセスポイントを10.1.2.0/24に置き、プリンターを10.1.3.0/24に置くことです。

私たちのネットワークにはVLANが必要ではないと思いますが、上記のアイデアは物事を簡素化すると思います。言うまでもなく、利用可能なホストアドレスの数ははるかに多くなります。

1つのルーターを使用して、同じゲートウェイを使用して別のサブネットに静的ルートを追加することは可能ですか? Windows 2008 R2で1つのDHCPサーバーを実行していますが、新しいサブネットごとに新しいスコープを追加できると思いますか?

この計画の主な欠点はありますか?

4
dannymcc

この計画の主な欠点はありますか?

はい。それは不必要に複雑です。一般に、フィルタリング、ロギング、ルーティングの要件があるため、デバイスを異なるサブネットに分離します。例:すべてのDMZサービスは、クライアントが直接アクセスできない別個のサブネット上にあります。

私が見ることができないこの設定を使用して深刻な利点を得ない限り(これは確かに可能です)、追加の複雑さを購入するだけです。 あまりにも賢い誘惑に負けないでください。

利用可能なIPアドレスはたくさんありますが、IPアドレスを使用してデバイスを識別するという点ではもう少し効率的だと思います。

私の意見では、IPアドレスを使用してデバイスを識別しようとしている場合、あなたは間違っています。サーバーをこのIPサブネットに、プリンターをそのサブネットに、ワークステーションを別のサブネットに、ワイヤレスクライアントをさらに別のサブネットに配置するのは良い考えのように思えますが、すぐにルーティングテーブルが複雑になることに気付くでしょう...すぐに(そして不必要に)。

デバイスを識別するためのサービス設定がすでにあります... DNS!デバイスに人間に意味のある名前を付けることができるのに、なぜわざわざIPを覚えようとするのでしょうか。

私たちのネットワークにはVLANが必要ではないと思いますが、上記のアイデアは物事を簡素化すると思います。言うまでもなく、利用可能なホストアドレスの数ははるかに多くなります。

あなたはここにいると思います。おそらくVLANは必要ありません。ただし、パフォーマンスの問題がある場合は、すべてのVOIPデバイスを別のVLAN)に配置する価値があります。

5
user62491

同じ物理セグメントに複数のサブネットを追加したいと思いますか?これは可能ですが、「IPエイリアス」または「サブインターフェース」を定義する必要があります(ルーターのブランドで使用されている正確な用語によって異なります-私はよく知りません)基本的に同じIPアドレスに複数のIPアドレスを割り当てます物理インターフェイス。

これを行う際の問題の1つは、LANからサーバーへのすべてのトラフィックがルーターを通過する必要があることです。ルーターはギガビットの速度でルーティングできない可能性が高く、可能であっても速度が低下します。 。

私はWindowsのDHCPサーバーに慣れていないので、期待どおりに機能するかどうかわかりません。単一のネットワークセグメントに複数のサブネットがあります。ただし、IPを要求しているコンピューターのMACアドレスに応じて、異なるサブネットを提供するようにDHCPサーバーを構成する方法が必要になります。

実際にセキュリティ上の利点はありません。攻撃者は、ワークステーションにIPエイリアスを作成して、サーバーLANに直接アクセスすることもできます。

私は個人的にこのようなものを実装しません。なぜなら、それはあなたのネットワークをより複雑にするからです。複数のVLANを使用するか、すべてを同じサブネットに固定します。

0