Sette opp lan til over 250 brukere ?

[xzibiz]

Jeg har fått ansvaret for nettverket på et LAN som skal være på høsten.

Jeg har tidligere satt opp mange nettverk til LAN, men ikke så stort.

 

Utfordringen min er at det er over 250 brukere. Og da må jeg jo bruke to ip nett. Og det har jeg aldri gjort før.

Kjører PfSense router, og har prøvd å google litt. Og tror jeg har kommet fram til et svar, men litt usikker.

 

På serveren setter jeg opp 2 eller flere vlan, og setter opp brannmuren sånn at disse snakker sammen og opp mot WAN?

 

På Core switchen (Layer 3) setter jeg feks port 1 til å ha alle vlana, og deler så ut vlana til portene bordswitchene er på sånn at det går opp med ca 250 ip'er ?

 

Må jeg konfigurere noe på bordswitchene eller holder det med core switchen ?

[tingo]

Og da må jeg jo bruke to ip nett.

Hvorfor "må" du det?

[laaknor]

Og da må jeg jo bruke to ip nett.

 

Her er noen subnetmasker som er kjekke å lære seg:

255.255.255.0 - plass til 254 maskiner

255.255.254.0 - plass til 510 maskiner

255.255.252.0 - plass til 1022 maskiner

255.255.0.0 - plass til 65534 maskiner

255.0.0.0 - plass til 16.777.214 maskiner

 

Så lenge du skal ha mindre enn 16 millioner maskiner, så behøver du ikke gjøre noe spesielt på nettverkssiden i hvertfall (teoretisk i hvertfall. I praksis bør du ikke ha mer enn 3-400 på samme subnettet).

[process]

Du må ikke ha flere subnett. 10.0.0.0/8 gir deg 16 millioner IP addresser i ett subnett, men 192.168.0.0/23 eller 192.168.0.0/22 holder i massevis (hhv 510 og 1022).

Endret 24. mars 2013 av process

[xzibiz]

Trenge ikke vlan heller da ?

[process]

Trenge ikke vlan heller da ?

 

Nei, VLAN er ikke nødvendig.

[::TeknoFoben::]

Hei,

Hvis jeg var deg hadde jeg satt subnet mask til 255.255.252.0, da får du som laaknor sier 1022 addresser.

Da vil ip-rangene bli

192.168.0.0 - 192.168.3.254

192.168.4.0 - 192.168.7.254

192.168.8.0 - 192.168.11.254

osv

Du må holde deg innenfor disse, hver fjerde som starter på 0.

Da kan du enkelt si til DHCP serveren at den skal gi ut ipadresser i en av rangene som beskrevet i listen.

Løsning for deg:

Subnet mask: 255.255.252.0

IP range 192.168.0.100 - 192.168.3.254

[SpecialForce]

Du kan godt ha Vlan til management av switcher osv. Gjerne med høyere prioritet enn trafikken ellers i nettet.

[ChrisCo]

Hvis det ikke skal være flere enn 510 stk på LANet, så holder det med /23 maske (255.255.254.0)

 

Da er rangen 192.168.0.1 - 192.168.1.254. Altså 510 hoster..

[Scriptgutten]

Jeg har heller aldri hatt ansvaret for et så stort nettverk, men jeg kan tenke meg at den største utfordringen med et slikt nett er å konfigurere det slik at det ikke går i sirup når alle kobler maskinene sine til.

 

Hvis man ikke håndterer trafikken riktig, og all trafikk får flyte fritt, skal det ikke mange bittorrent-klienter til før f.eks internettlinjen er ubrukelig til spilling, og det skal heller ikke mer enn 1-2 maskiner til som flooder broadcast ut på nettet før hele lokalnettet knebles. Jeg har eksempel på en liten bagatell der noen ved et uhell har koblet en kabel mellom to porter på samme switch, som resulterte i at broadcast-trafikk gikk i loop og kneblet hele nettverket.

 

Du må heller ikke være for godtroende om folkene som kommer, for det vi alltid være mange "tullinger" som drasser med seg maskiner infisert med malware som kan være med å ødelegge, eller folk som av en eller annen grunn har egen DHCP-server satt opp som deler ut IP-adresser og skaper konflikter med oppsettet på nettverket. Noen kan i verste fall komme for å bevisst prøve å sabotere nettet.

[xzibiz]

Nå ser alt litt enklere ut

Takk for mange gode svar.

 

Godt det er en stund til., så jeg får satt opp alt skikkelig.

Tenkte å kjøre et /23 nett ut til deltakerene.

Sette opp et vlan til et aksesspunk (wifi).

Og mulig et eget vlan til manage switchene.

[k-ryeng]

Hvis man ikke håndterer trafikken riktig, og all trafikk får flyte fritt, skal det ikke mange bittorrent-klienter til før f.eks internettlinjen er ubrukelig til spilling, og det skal heller ikke mer enn 1-2 maskiner til som flooder broadcast ut på nettet før hele lokalnettet knebles.

Broadcast storm-control er nyttig til det siste, men husk å sette terskelverdien høyt nok - det er naturlig en god del broadcast-trafikk på LAN-party. Quality of Service i pfsense kan avhjelpe torrent-trafikk, hvis man setter torrent på lav prioritet...

 

Jeg har eksempel på en liten bagatell der noen ved et uhell har koblet en kabel mellom to porter på samme switch, som resulterte i at broadcast-trafikk gikk i loop og kneblet hele nettverket.

De fleste "moderne" switcher har enten loop-protection eller spanning-tree, det bør aktiveres for å unngå akkurat dette. Du trenger ikke å bruke spanning-tree for redundans.

 

Du må heller ikke være for godtroende om folkene som kommer, for det vi alltid være mange "tullinger" som drasser med seg maskiner infisert med malware som kan være med å ødelegge, eller folk som av en eller annen grunn har egen DHCP-server satt opp som deler ut IP-adresser og skaper konflikter med oppsettet på nettverket. Noen kan i verste fall komme for å bevisst prøve å sabotere nettet.

DHCP-snooping er genialt til dette :-) Da får bare maskiner med gyldige IP-adresser lov å kommunisere i nettverket - og bare godkjente DHCP-servere får lov å gi ut IP-adresser...

 

Eget management VLAN er et "must", ellers klarer du deg fint med ett VLAN. Ikke kjør eget VLAN til accesspunkt (AP) - da må du sette opp interVLAN-routing for å kunne spille mellom kablet og trådløst. Med mindre du bare skal ha et fåtall enheter trenger du dessuten mer enn ett AP, beregn maksimalt 15 brukere per AP med mindre du har enterprise-APer som du _vet_ takler mer.

 

Personlig ville jeg droppet trådløst, evt bare satset på et godt sikret trådløsnett som en del av management VLAN. Da kan du confe switcher uansett hvor du er i nærområdet, og trenger ikke lete frem konsoll-kabler eller kople deg til kjerneswitchen...

[PureDarkness]

Det finnes mange gode løsninger. Det jeg har gjort for et LAN som skal takle 200+ brukere er følgende (bruker VLAN 10,20,30,40,50 og 60 som eks):

 

Konfigurerte en KRAFTIG ruter slik:

 

WAN - Motta DHCP (såfremt man ikke vet hvilken IP man får fra leverandør)

LAN - Settes i trunkmodus for VLAN 10,20,30,40,50 og 60.

 

DHCP - konfigureres til å dele ut IP-adresser per VLAN. F.eks svitsj 1&2 bruker VLAN 10, og får da tildelt IP 10.10.1.100-10.10.1.200. Svitsj 2&3 bruker VLAN 20, og får da tildelt IP 10.10.2.100-10.10.2.200. På denne måten er det mye lettere å holde en god oversikt over nettet.

 

Man trenger da også en kjernesvitsj med VLAN-støtte. Man setter da opp de respektive VLAN'ene på ønskelige porter, for så å trunke en port med alle VLAN'ene. Slik får man et nettverk hvor man gjører struktur på DHCP, samt at alle får til å pinge hverandre over bordene. Rapid Spanning-Tree er også veldig kjekt å ha, så slipper man at alt går i stå hvis noen kobler en loop. :-)

 

I allefall slik jeg har gjort det.

 

EDIT: Man kan jo også lage et VLAN per bord, slik at hvert bort har sin egen IP-range, men dette krever da en kjernesvitsj med mange flere porter. Det spørs litt på hvilken struktur man ønsker.

Endret 27. mars 2013 av PureDarkness

[k-ryeng]

Ulempen med å bruke flere VLAN til brukerne, er at man ikke kan browse alle spill over nettverket - man er nødt til å kjenne IPen til gameserver hvis den er i et annet VLAN. Får man mange nok brukere _må_ man dele opp, fordi hvert broadcast domain blir for stort (bør aldri overstige 500, på dataparty hvor det er ekstra mye broadcast bør man egentlig redusere dette en del også). Men kan man la være, vil det være en fordel å ha færrest mulig broadcast domains for brukernes del. Merk at jo større broadcast domain (antall brukere som får broadcastmeldinger), jo høyere må terskelen for broadcast storm-control være...

[ZeRKoX]

Jeg har fått ansvaret for nettverket på et LAN som skal være på høsten.

Jeg har tidligere satt opp mange nettverk til LAN, men ikke så stort.

 

Utfordringen min er at det er over 250 brukere. Og da må jeg jo bruke to ip nett. Og det har jeg aldri gjort før.

Kjører PfSense router, og har prøvd å google litt. Og tror jeg har kommet fram til et svar, men litt usikker.

 

På serveren setter jeg opp 2 eller flere vlan, og setter opp brannmuren sånn at disse snakker sammen og opp mot WAN?

 

På Core switchen (Layer 3) setter jeg feks port 1 til å ha alle vlana, og deler så ut vlana til portene bordswitchene er på sånn at det går opp med ca 250 ip'er ?

 

Må jeg konfigurere noe på bordswitchene eller holder det med core switchen ?

 

Er core-svitsjen din Layer3? Hva heter den? For om den er en lag3 svitsj, så kan den stå for inter-VLAN ruting dersom du bestemmer deg for å dele opp nettet ditt i flere subnett.

 

Om du deler opp i flere subnett, så vil ikke folk finne hverandre på "find lan-game" funksjoner i spill, med mindre du slenger opp hacks ala TG's MBD.

[xzibiz]

har to nortel baystack 5520 48t switcher til coreswitch. disse er layer3 etter hva jeg kan se. bare få tak i en console kabel.

[Cx]

Du bør absolutt segmentere lanet ditt imo. Det blir generert sinnsykt mye broadcast-trafikk hvis du har over 250 klienter i samme LAN.

 

Men som nevnt over blir det vanskeligere å finne spill uten å vite ip adressen til serveren.

[ZeRKoX]

Sinnsykt mye vil jeg ikke kalle det. Jeg vil påstå at 500 klienter lett bør kunne gå i samme lag3 domene, uten noe videre stress. Pc-er i dag er kraftige nok til å behandle litt broadcasts.

[PoTski]

Sett opp flere subnet og bruk igmp snooping. Ikke hør på de andre her

 

Lager du et broadcast domene blir det garantert krøll.

 

Kos deg på lan

[k-ryeng]

Sett opp flere subnet og bruk igmp snooping. Ikke hør på de andre her

 

Lager du et broadcast domene blir det garantert krøll.

 

Kos deg på lan

Et subnet er per definisjon et broadcast domain...