Как лучше расширить адресное пространство лок. сети (сеть обычная 192.168.1.0/24)?

Исходные данные:
Доменная сеть на ~240 хостов, AD, компы только Windows (XP и 7),

Я нашел такие варианты, но, вероятно есть и другие. Какой же выбрать (желательно обойтись минимумом затрат как денежных, так и трудовых)?

1) просто поменять маску с /24 на /23 (/22). Это даст домен из примерно 500 (1000) адресов. Минус: dchp в сети не поднята - все компы имеют статический IP, т.е. мне сначала придется через групповые политики включить получение IP через dchp. Также подсети 192.168.0 (выход в интернет) и 192.168.1 (LAN) объединятся в одну сеть, что недопустимо, придется какую-то из них делать, скажем 192.168.50, а это возможные косяки с тем, что что-то не заработает, окажется забытым, не исправленным и всплывет в рабочее время.

2) создать VLAN1 для LAN, потом добавить еще VLAN2 для новых компов, (VLAN3 для серверов, VLAN4 для сетевых принтеров, копиров) настроить работу вланов друг сдругом. Кстати, так вообще делают? VLAN же для разделения на подсети нужны, т.е. для изолирования, а не для объединения, разве не так?

3) добавить неким способом поддержку IP6. Например, dual stack позволит сосуществовать IP4 и IP6 адресам в одной сети. Минус: это сложно, оцениваю вероятность завалить этот способ 90%.

4) просто в той же физической сети создать еще одну (192.168.20/24) и смаршрутизировать ее в первую локалку (на сервере или маршрутизатор купить). Минус: не знаю, вся нагрузка на единственный сетевой интерфейс (если компы из сети А захотят общаться с компами из сети В)?

Надеюсь нормально описал, помогите выбрать способ, пожалуйста.
  • Вопрос задан
  • 6017 просмотров
Пригласить эксперта
Ответы на вопрос 4
@spisarenko
Перфекционист-прокрастинатор
Для начала, мне кажется не совсем удобным администрировать сеть из ~240 хостов без DHCP.

Я в свое время решил такую проблему способом 1, ибо это было наименее болезненно и переход был "бесшовным". Расширил подсеть до /22. Всё прекрасно живет и работает. DHCP живет на WS 2012R2 на 2 серверах для обеспечения отказоустойчивости.

Всерьез задумывался над способом 2. При этом придется либо на DHCP держать несколько областей - для каждого VLAN своя область, либо в каждом VLAN держать свой DHCP (на мой взгляд, этот способ ущербный).
Сейчас таки подошел вплотную к реализации этого способа для того, чтобы вывести серверы из одного широковещательного домена с пользователями и "разбить" пользователей на подсети по территориальному признаку. Маршрутизация между VLAN легко обеспечивается коммутаторами с поддержкой 3 уровня.

Про использование в данном случае IPv6 ничего вразумительного сказать не могу.

Способ 4 считаю наименее оптимальным из приведенных.
Ответ написан
Комментировать
bk0011m
@bk0011m
Системный администратор
2-й способ самый правильный ИМХО.
У меня уже 3 года сеть разделена на VLAN-ы. Серверы отдельно, юзеры отдельно, телефоны отдельно, принтеры, VPN, WiFi... итд итп.
Очень удобно, и очень легко все это "добро" контролировать.
Только тут есть ньюанс. VLAN-ы должен поддерживать шлюз и все комутаторы. Иначе в проводах и розетках запутаетесь
Ответ написан
gbg
@gbg Куратор тега Сетевое администрирование
Любые ответы на любые вопросы
AD без DHCP - это нонсенс, да еще на больше чем сотню машин.
Порезать сеть на виртуальные локальные сети - очень правильно. В случаях особой паранойи, каждому клиентскому компьютеру назначается персональный VLAN, да еще и с привязкой порта по MAC (всего их может быть 4095, но при этом можно поместить тегированный трафик внутрь еще одного VLAN, и получить тем самым 4095*4095 VLAN), а на маршрутизаторе устанавливаются правила, согласно которым клиентские машины могут видеть только VLAN с серверами.
Ответ написан
Комментировать
karabanov
@karabanov
Системный администратор
Секондари адрес на интерфейс повесьте. То есть на интерфейсе будет одновременно два адреса 192.168.1.0/24 и 192.168.2.0/24 (напримр), а дальше можно и 192.168.3.0/24 и т.д. Так настройки на клиентах менять не придётся...

И да, на счет DHCP и виланов все же задумайтесь, с ними жить проще.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы