Permalänk
Medlem

Stort eller litet subnet?

Hej, ska sätta upp ett litet nätverk hemma och undrar hur det är bäst att dela in små subnet eller ett stort subnet.

1. Servrar 10.0.0.0/24, Klienter 10.0.1.0/24 och Wifi 10.0.2.0/24 med en router/brandvägg mellan subnet och som har dhcp relay.

2. Servrar 10.0.0.0/16, Klienter 10.0.1.0/16 och Wifi 10.0.2.0/16.

3. Servrar 10.0.0.0/16 VLAN 4, Klienter 10.0.1.0/16 VLAN 2 och Wifi 10.0.2.0/16 VLAN 3 med en router/brandvägg mellan VLAN:en

Servrarna och brandväggen är virtuella.
Detta är för intanetet. DMZ ska ha ett eget subnet (10.1.0.0/24) och lika så gäst wifi (10.2.0.0/24).

/Andreas

Permalänk
Avstängd
Skrivet av tunis78:

Hej, ska sätta upp ett litet nätverk hemma och undrar hur det är bäst att dela in små subnet eller ett stort subnet.

1. Servrar 10.0.0.0/24, Klienter 10.0.1.0/24 och Wifi 10.0.2.0/24 med en router/brandvägg mellan subnet och som har dhcp relay.

2. Servrar 10.0.0.0/16, Klienter 10.0.1.0/16 och Wifi 10.0.2.0/16.

3. Servrar 10.0.0.0/16 VLAN 4, Klienter 10.0.1.0/16 VLAN 2 och Wifi 10.0.2.0/16 VLAN 3 med en router/brandvägg mellan VLAN:en

Servrarna och brandväggen är virtuella.
Detta är för intanetet. DMZ ska ha ett eget subnet (10.1.0.0/24) och lika så gäst wifi (10.2.0.0/24).

/Andreas

Spelar ingen som helst roll för ett litet hemmanätverk.

Visa signatur

///M4

Permalänk
Medlem

I stora tillämpningar brukar man säga minsta möjliga subnet. I detta fall spelar det ingen större roll, kör på en storlek som är lätt att memorera.

Visa signatur

Desktop: | Win10 | InWin 303 | ASUS TUF X570 | AMD Ryzen 5 3600 | Noctua NH-U12S (PP) | Intel 600p 256GB | Gigabyte GTX 670 | 32GB DDR4 2400Mhz | Corsair RM650x | 3x 1080 Screens |
Datacenter: | 1x Physical | 1x Virtual |
Laptop: | 2x |

Dell Certified Technician

Permalänk
Medlem
Skrivet av tunis78:

Bara så du vet:
10.0.0.0/16
10.0.1.0/16
10.0.2.0/16

Alla dom är samma subnät.
10.0.0.0/16
10.1.0.0/16
10.2.0.0/16

Dom är olika.

Permalänk
Medlem

Jag kör lösning 1. Alltså flera separata subnät. Men om man har dlna eller annat i sitt hemnätverk så har jag kommit på att man vill ha de trådlösa å hemmanätet i samma (tror broadcasten går på hela subnätet). Men jag hade valt att försöka separera servermiljön så mycket som möjligt.

Skickades från m.sweclockers.com

Visa signatur

Gaming: Asus P8P67, Intel i5-2500k, Asus 7970 DCII, 8gb ram, 300gb velociraptor
Server: Asus Rampage II, Intel i7-980x, 6970 ref, 30gb ram, SASUC8I + 8st 2tb diskar + 1st 128gb SSD

Permalänk
Medlem

varför krångla, inte som om att de privata näten inte räcker och blir över. Kör ett gäng /24 nät, antar att du inte kommer ha fler än 254 klienter per subnet så /16 är lite väl

10.0.0.0/24
10.0.1.0/24
Osv...

Skickades från m.sweclockers.com

Visa signatur

Define R3, GA-Z97X, i5 4690k, 8GB Corsair, GTX780

Permalänk
Medlem

Tänk på att alla data som går mellan olika vlan belastar cpu på router/fw extremt mycket mer än om det hade gått internt på samma vlan. (mellan vlan måste brandväggsregler konsulteras hela tiden).

Om det inte är väldigt viktigt att ha separata vlan ur säkerhet/sekretesssynpunkt, så är det bättre (för prestanda) att inte ha det.
På en hemrouter (som ju är ganska svag), kommer tex backup eller annan samtidig dataöverföring mellan flera noder i olika vlan kunna ta knäcken på hela lösningen.

Samtidigt är det ju nyttigt att sätta upp en massa små vlan för att lära sig.

Permalänk
Avstängd
Skrivet av JBE:

Tänk på att alla data som går mellan olika vlan belastar cpu på router/fw extremt mycket mer än om det hade gått internt på samma vlan. (mellan vlan måste brandväggsregler konsulteras hela tiden).
Om det inte är väldigt viktigt att ha separata vlan ur säkerhet/sekretesssynpunkt, så är det bättre (för prestanda) att inte ha det.
På en hemrouter (som ju är ganska svag), kommer tex backup eller annan samtidig dataöverföring mellan flera noder i olika vlan kunna ta knäcken på hela lösningen.
Samtidigt är det ju nyttigt att sätta upp en massa små vlan för att lära sig.

Nja, håller inte alls med dig om "belastar cpu på router/fw extremt mycket".

Vid så låg trafik som det är i vanliga hemmanätverk så räcker det och blir över.
"På en hemrouter (som ju är ganska svag), kommer tex backup eller annan samtidig dataöverföring mellan flera noder i olika vlan kunna ta knäcken på hela lösningen."

Så du säger att en virtuell router (ex pfsense) är en "hemmarouter som är ganska svag"?
Jag kunde ha köpt det om TS hade sagt att han har en Netgear med valfri annan mjukvara som ska sköta det hela, men då TS har en virtuell maskin som router så är det ingen "hemmarouter som är ganska svag" och den kommer åd klara av det utmärkt, utan någon flaskhals.

Till TS: Kör på /24 subnet´s, det räcker och blir över

Visa signatur

System: Corsair Obsidian 550D Midi Tower Svart || Corsair AX 850W PSU || Intel® Core i7-3770K Processor || ASUS P8P67-M || 2 x Intel® SSD 520 Series 180GB || Gigabyte GeForce GTX 670 2GB PhysX CUDA ||

Permalänk
Medlem
Skrivet av kufra:

Jag kör lösning 1. Alltså flera separata subnät. Men om man har dlna eller annat i sitt hemnätverk så har jag kommit på att man vill ha de trådlösa å hemmanätet i samma (tror broadcasten går på hela subnätet). Men jag hade valt att försöka separera servermiljön så mycket som möjligt.

Skickades från m.sweclockers.com

Helt meningslöst i ett hemmanätverk. Vill du separera så mycket som möjligt så skaffar du separata switchar eller sätter upp VLAN. Instämmer med PowerNet.

Visa signatur

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net

Permalänk
Medlem

Håller med PowerNet i mångt och mycket.

Jag skulle köra en pfSense burk och /24 nät för att göra det enkelt. Sen är det en rekommendation att aldrig köra större än /23 nät. Men det är inget som gör någon skillnad i hemma nät.

Sen är frågan om du ska köra smarta switchar med stöd för VLAN eller flera simpla switchar? Kanske L3 switchar så att du kan routa mellan vissa av näten redan där utan att behöva blanda in routern i det? Finns väldigt många lösningar för detta och vilken som är bäst beror väldigt mycket på vad man själv tycker om och hur komplicerat man vill göra det.

Mvh
Mattias

Permalänk
Medlem
Skrivet av Mayth:

Håller med PowerNet i mångt och mycket.

Jag skulle köra en pfSense burk och /24 nät för att göra det enkelt. Sen är det en rekommendation att aldrig köra större än /23 nät. Men det är inget som gör någon skillnad i hemma nät.

Sen är frågan om du ska köra smarta switchar med stöd för VLAN eller flera simpla switchar? Kanske L3 switchar så att du kan routa mellan vissa av näten redan där utan att behöva blanda in routern i det? Finns väldigt många lösningar för detta och vilken som är bäst beror väldigt mycket på vad man själv tycker om och hur komplicerat man vill göra det.

Mvh
Mattias

Och hur mycket pengar man vill lägga

Skickades från m.sweclockers.com

Visa signatur

Define R3, GA-Z97X, i5 4690k, 8GB Corsair, GTX780

Permalänk
Medlem
Skrivet av Dr.Mabuse:

Helt meningslöst i ett hemmanätverk. Vill du separera så mycket som möjligt så skaffar du separata switchar eller sätter upp VLAN. Instämmer med PowerNet.

Har man en virtuell router så har man inget vanligt hemnätverk

Men ni menar att man har 4 nät?
Lan 10.0.1.0/22
wlan 10.0.2.0/22
dmz 10.0.3.0/22
dessa borde ju då ligga innom samma nätmask å då kan man komma åt alla i detta nätet utan att gå via routern?

Men om man vill isolera dmz från lan å wlan hur gör man då?
Med vlan har jag förstått det som att man behöver switch som klarar detta men det underlättar egentligen bara kablaget. Att man kan ha flera nät på samma switch. När man kör virtuellt så spelar de ju ingen roll om man har vlan eller flera separata lan med NAT regler emellan. Eller har jag missat nägot? Jag har inte direkt stenkoll

Skickades från m.sweclockers.com

Visa signatur

Gaming: Asus P8P67, Intel i5-2500k, Asus 7970 DCII, 8gb ram, 300gb velociraptor
Server: Asus Rampage II, Intel i7-980x, 6970 ref, 30gb ram, SASUC8I + 8st 2tb diskar + 1st 128gb SSD

Permalänk
Medlem

Tackar för svaren.
Jag har testat att sätta upp enligt mitt första alternativ.

Permalänk

Du berättar inget om bakgrunden. Är det för att lära dig om VLAN, för att du verkligen vill hålla isär dina gäster från "ditt" hemnätverk... eller vad är anledningen? Personligen skulle jag sätta upp maximalt 2st, ett för gäster och ett för precis allt annat. Ser inte vitsen i att segmentera ett hemnätverk på detta vis om man inte har speciella krav.
Kan bara tala för mig själv, men försöker göra saker och ting enkelt för mig och min familj. Komplicerat och komplext på jobbet efter behov och krav. Hemma blir det ändå bara jag som får fixa när sambon "inte kan ladda ner internet"

Visa signatur

Workstation: Intel Core i5-10400 | Gigabyte B460M DS3H | 16GB DDR4 | Geforce GTX1660 SUPER 6GB |
Server: Dell R730xd | Intel Xeon E5-2640 | 64GB DDR3 ECC RAM | Dell VMware vSphere ESXi 6.5
NAS: Synology 212J 2x4TB, Synology 218play 2x4TB | MSMCP CCNA1

Permalänk
Avstängd
Skrivet av kufra:

Har man en virtuell router så har man inget vanligt hemnätverk

Men ni menar att man har 4 nät?
Lan 10.0.1.0/22
wlan 10.0.2.0/22
dmz 10.0.3.0/22
dessa borde ju då ligga innom samma nätmask å då kan man komma åt alla i detta nätet utan att gå via routern?
Men om man vill isolera dmz från lan å wlan hur gör man då?
Med vlan har jag förstått det som att man behöver switch som klarar detta men det underlättar egentligen bara kablaget. Att man kan ha flera nät på samma switch. När man kör virtuellt så spelar de ju ingen roll om man har vlan eller flera separata lan med NAT regler emellan. Eller har jag missat nägot? Jag har inte direkt stenkoll
Skickades från m.sweclockers.com

Om man ändå ska separera upp nätverken så får man ha olika subnets/routrar om man ska ha olika VLAN, finns ingen mening med att köra flera VLAN om man ska ha samma subnet på alla näten.
Så ska man isolera ex WLAN från LAN så kör man ex 1 st /24 subnet för WLAN, och 1 st /24 subnet för LAN, dessa går då via en switch till en router och där kan man styra hur trafiken ska flöda mellan de olika VLAN:en och de olika nätverken.
Ja, man kan köra flera subnet´s på en switch, om man skiljer dem åt med olika VLAN, vilket även krävs för att köra olika subnets virtuellt i ex en vmhost (även om man "kan" köra flera subnets på samma VLAN om man använder statiska IP-adresser, men då faller ju hela poängen med olika subnets i grunden).

Visa signatur

System: Corsair Obsidian 550D Midi Tower Svart || Corsair AX 850W PSU || Intel® Core i7-3770K Processor || ASUS P8P67-M || 2 x Intel® SSD 520 Series 180GB || Gigabyte GeForce GTX 670 2GB PhysX CUDA ||

Permalänk
Medlem
Skrivet av PowerNet:

Om man ändå ska separera upp nätverken så får man ha olika subnets/routrar om man ska ha olika VLAN, finns ingen mening med att köra flera VLAN om man ska ha samma subnet på alla näten.
Så ska man isolera ex WLAN från LAN så kör man ex 1 st /24 subnet för WLAN, och 1 st /24 subnet för LAN, dessa går då via en switch till en router och där kan man styra hur trafiken ska flöda mellan de olika VLAN:en och de olika nätverken.
Ja, man kan köra flera subnet´s på en switch, om man skiljer dem åt med olika VLAN, vilket även krävs för att köra olika subnets virtuellt i ex en vmhost (även om man "kan" köra flera subnets på samma VLAN om man använder statiska IP-adresser, men då faller ju hela poängen med olika subnets i grunden).

Så vill man separera så kan man helt enkelt ha olika subnät och låta pfsense fixa trafiken emellan. Det är nog precis vad jag gjort hemma hos mig med lan wlan och dmz, inte för att jag behöver utan för att jag tycker det är kul att testa hur de funkar.
Är inte vlan en nivå till av komplexitet? Att kunna köra dem i samma fysiska nät är ju en fördel men för mig spelar de ingen roll eftersom wlan har en egen fysisk port ur servern och dmz bara ligger virtuellt och då på en egen vswitch. Känns som att vi pratar om samma saker eller så fattar jag inte riktigt vad du menar

Skickades från m.sweclockers.com

Visa signatur

Gaming: Asus P8P67, Intel i5-2500k, Asus 7970 DCII, 8gb ram, 300gb velociraptor
Server: Asus Rampage II, Intel i7-980x, 6970 ref, 30gb ram, SASUC8I + 8st 2tb diskar + 1st 128gb SSD

Permalänk
Avstängd
Skrivet av kufra:

Så vill man separera så kan man helt enkelt ha olika subnät och låta pfsense fixa trafiken emellan. Det är nog precis vad jag gjort hemma hos mig med lan wlan och dmz, inte för att jag behöver utan för att jag tycker det är kul att testa hur de funkar.
Är inte vlan en nivå till av komplexitet? Att kunna köra dem i samma fysiska nät är ju en fördel men för mig spelar de ingen roll eftersom wlan har en egen fysisk port ur servern och dmz bara ligger virtuellt och då på en egen vswitch. Känns som att vi pratar om samma saker eller så fattar jag inte riktigt vad du menar

Skickades från m.sweclockers.com

Hej!

Ja, enkelt sagt så är grunden att ha olika subnät, sedan kan man separera de (om de går på samma fysiska switch) med VLAN, som i sin tur binds till en vSwitch/Virtual Machine Port Group (i vSphere) eller annat virtualiseringssystem´s virtuella switch, och sedan till en virtuell brandvägg.
Men principen är densamma oavsett om det är en fysisk eller virtuell switch, så används VLAN om man ska ha mer än ett nätverk.

Så istället för en vSwitch till kunde du bara lagt till Virtual Machine Port Group i vSphere, för dina virtuella maskiner, då taggar du dessa med ett eget VLAN och kan även således tagga ut detta VLAN på serverns fysiska port mot en switch för att komma åt det från annan dator, eller om du ska ha fler servrar och ha samma VLAN på flera.

Visa signatur

System: Corsair Obsidian 550D Midi Tower Svart || Corsair AX 850W PSU || Intel® Core i7-3770K Processor || ASUS P8P67-M || 2 x Intel® SSD 520 Series 180GB || Gigabyte GeForce GTX 670 2GB PhysX CUDA ||

Permalänk
Hedersmedlem

*Tråd flyttad*
/moderator

Visa signatur

Danskjävel så krattar som en skrivare...

Permalänk
Medlem

Jag kan inte förstå riktigt varför man vill ha det trådlösa på ett annat VLAN än LAN. Det behövs ju bara någon fjärrkontroll-app på telefonen för att det ska bli krångligare för att inte tala om DNLA.
Däremot har jag satt upp två olika trådlösa nät. Dels det interna som ligger på LAN och dels ett gästnätverk som är på ett annat VLAN.

Permalänk
Medlem

Varför ens köra olika subnät? Det enda du egentligen gör är att separera broadcast trafik, vilket betyder t.ex att de skilda näten ej syns i en dator när du kollar nätverket/lan, men du kommer endå komma åt det via IP mellan de olika näten. Om du vill separera åtkomst måste du fortfarande sätta upp någon form av access lista eller brandväggs regler när trafik kommer från ett annat nät, vilket givetvis blir lättare om du kör DHCP och olika subnät.

Sedan så är även DMZ oviktigt eftersom du kommer sitta bakom en router med en brandvägg troligtvis, det kommer inte heller ha direkt publika addresser ut mot nätet.

Självklart så kan man sätta upp det så, lära sig hur det fungerar eller bara för skojs skull, den riktiga frågan dock är vad man vill egentligen åstadkomma med detta.

Och till sist, enligt pSense forum så kommer det ske belasting på din cpu och du kör vlan med inter-vlan routing, fast det beror givetvis på hur många datorer du kör och hur mycket trafik som kommer skickas.