Как лучше расширить адресное пространство лок. сети (сеть обычная 192.168.1.0/24)?
Исходные данные:
Доменная сеть на ~240 хостов, AD, компы только Windows (XP и 7),
Я нашел такие варианты, но, вероятно есть и другие. Какой же выбрать (желательно обойтись минимумом затрат как денежных, так и трудовых)?
1) просто поменять маску с /24 на /23 (/22). Это даст домен из примерно 500 (1000) адресов. Минус: dchp в сети не поднята - все компы имеют статический IP, т.е. мне сначала придется через групповые политики включить получение IP через dchp. Также подсети 192.168.0 (выход в интернет) и 192.168.1 (LAN) объединятся в одну сеть, что недопустимо, придется какую-то из них делать, скажем 192.168.50, а это возможные косяки с тем, что что-то не заработает, окажется забытым, не исправленным и всплывет в рабочее время.
2) создать VLAN1 для LAN, потом добавить еще VLAN2 для новых компов, (VLAN3 для серверов, VLAN4 для сетевых принтеров, копиров) настроить работу вланов друг сдругом. Кстати, так вообще делают? VLAN же для разделения на подсети нужны, т.е. для изолирования, а не для объединения, разве не так?
3) добавить неким способом поддержку IP6. Например, dual stack позволит сосуществовать IP4 и IP6 адресам в одной сети. Минус: это сложно, оцениваю вероятность завалить этот способ 90%.
4) просто в той же физической сети создать еще одну (192.168.20/24) и смаршрутизировать ее в первую локалку (на сервере или маршрутизатор купить). Минус: не знаю, вся нагрузка на единственный сетевой интерфейс (если компы из сети А захотят общаться с компами из сети В)?
Для начала, мне кажется не совсем удобным администрировать сеть из ~240 хостов без DHCP.
Я в свое время решил такую проблему способом 1, ибо это было наименее болезненно и переход был "бесшовным". Расширил подсеть до /22. Всё прекрасно живет и работает. DHCP живет на WS 2012R2 на 2 серверах для обеспечения отказоустойчивости.
Всерьез задумывался над способом 2. При этом придется либо на DHCP держать несколько областей - для каждого VLAN своя область, либо в каждом VLAN держать свой DHCP (на мой взгляд, этот способ ущербный).
Сейчас таки подошел вплотную к реализации этого способа для того, чтобы вывести серверы из одного широковещательного домена с пользователями и "разбить" пользователей на подсети по территориальному признаку. Маршрутизация между VLAN легко обеспечивается коммутаторами с поддержкой 3 уровня.
Про использование в данном случае IPv6 ничего вразумительного сказать не могу.
Способ 4 считаю наименее оптимальным из приведенных.
2-й способ самый правильный ИМХО.
У меня уже 3 года сеть разделена на VLAN-ы. Серверы отдельно, юзеры отдельно, телефоны отдельно, принтеры, VPN, WiFi... итд итп.
Очень удобно, и очень легко все это "добро" контролировать.
Только тут есть ньюанс. VLAN-ы должен поддерживать шлюз и все комутаторы. Иначе в проводах и розетках запутаетесь
Когда понадобилось провести расширение сети быстро и без потерь, я прибег к первому способу, теперь неспешно и аккуратно привожу всё ко второму варианту. Т.е., согласен, что второй вариант наиболее оптимален, но в моем случае оказалось проще и надежнее использовать способ 1 как промежуточный.
Сергей Писаренко: На самом деле ничего сложного нет. Шлюз может быть каким угодно, у меня это FreeBSD. На нем же поставил DHCP, который выдает IP на нужные мне VLAN-ы. В планах перенести DHCP на контроллер домена, но пока я не вижу в этом особого смысла.
1-й вариант - это костыль. не люблю временные решения. Лучше один раз сделать, но сделать основательно
Сергей: если есть возможность сделать всё за 1 раз - это прекрасно. В моем случае, это поставило бы в неудобную позу бизнес-процессы компании, поэтому пришлось пойти кривым путём. А на счет того, что нет ничего сложного - полностью согласен, особенно, когда появляется опыт :)
Сергей Писаренко: Да ладно... Прям таки неудобну??
У меня компания работает на всю страну 24х7. Когда я пришел тут никаких VLAN-ов не было, все было в одной общей "солянке".
Поменял всю сеть за два дня выходных. Сотрудники даже не заметили
Все зависит от вас.
AD без DHCP - это нонсенс, да еще на больше чем сотню машин.
Порезать сеть на виртуальные локальные сети - очень правильно. В случаях особой паранойи, каждому клиентскому компьютеру назначается персональный VLAN, да еще и с привязкой порта по MAC (всего их может быть 4095, но при этом можно поместить тегированный трафик внутрь еще одного VLAN, и получить тем самым 4095*4095 VLAN), а на маршрутизаторе устанавливаются правила, согласно которым клиентские машины могут видеть только VLAN с серверами.
Секондари адрес на интерфейс повесьте. То есть на интерфейсе будет одновременно два адреса 192.168.1.0/24 и 192.168.2.0/24 (напримр), а дальше можно и 192.168.3.0/24 и т.д. Так настройки на клиентах менять не придётся...
И да, на счет DHCP и виланов все же задумайтесь, с ними жить проще.