» DHCP и подсети

Добрый день всем!

Вопрос в следующем.
Имеется сетка порядка 1000 компов. Все компы в одном сегменте сети тоесть все имеют статические адреса вида 192.168.x.x/16.
Домен контроллер крутится на 2003 сервере.

Есть неприадалимое желание разбить все на подсети, т.е. чтобы адреса получали с DHCP сервера, но на каждый отдел своя подсеть, пример отдел № 50 будет иметь адрес 172.16.50.х/24. В AD отделы разбиты на подразделения. Но в DHCP нельзя привязаться к подразделению или вообще к чему либо в AD для выдачи адреса из определенной подсети, есть идея в DHCP сделать выдачу адреса по MAC адресу. Можно ли с помощью Групповых политик сменить MAC адреса на всех машинах в домене на адреса вида 00-(номер отдела)-00-(номер машины)-(номер машины).
В 2008 R2 есть фильтры, но они применяются только на весь DHCP сервер а не на определенную зону.

Заранее благодарен за все идеии и критику!!!

Спасибо за статью. Но тут немного не то. Такое я могу реализовать и в Windows, зарезервировав для каждой машины определенный адрес.

nisolmer Ну побьешь на подсети, как быть с доменконтроллерами в другой подсети? Станциям он не будет доступен, а должен! DHCP предназначен уменьшать объем работы и усилий админа, ты же хочешь всё наоборот, выявлять мак адреса сетевух, вести эти таблицы и прописывать их в DHCP. Затея не фонтан.

А как будет маршрутизироваться трафик между подсетями?

А вообще реализуется все классическим способом через VLAN-ы.
В центре стоит железка L3, которая занимается маршрутизацией трафика между подсетями и занимается пересылкой DHCP запросов из подсетей к серверу (dhcp-relay). А на портах клиентских свичей прописаны соответствующие VLAN-ы отделов, соответственно каждому VLAN-у соответствует своя подсеть.

nisolmer
Начни с начала:

Для чего это реализуешь? Что хочешь получить? Что готов потратить\купить\сделать?

Все с начала. Т.к. сеть достаточно большая 1000+ машин со статическими адресами и она не поделена на подсети (сеть типа 192.168.0.0/16) это требует использования активного сетевого оборудования промышленного класса, каторое начальство оплачивать не хочет. Сетевое оборудование каторое стоит на данный момент с объемом трафика в такой сети не справляется.Появилась мысль разбить все на подсети класса B, тоесть с маской 24, но не просто кто куда попал пусть там и будет, а именно забить номер отдела в 3 октет IP адреса, для порядка. Возможности Windows DHCP сервера не позволяют указать какой конктретно машине из какого диапазона выдавать адреса. Вот и ломаю голову как сделать так чтобы все это реализовать.

nisolmer
Ну так делить то на каком уровне(ях) OSI планируешь ? А оборудование как ни крути придется брать.

Для того чтобы внедрить VLAN-ы нужно сначала навести порядок с IP адресами.

nisolmer
Как вариант между отделами физически (географически) ставить маршрутизаторы со своими DHCP и делать человеческую многоуровневую звезду + OSPF\BGP (или без OSPF\BGP).

nisolmer

Цитата:

Сетевое оборудование каторое стоит на данный момент с объемом трафика в такой сети не справляется.

если все компьютеры и сетевое железо останутся на своих же местах то трафик никуда не денется...
немножко упадут бродкасты, да. но не зная сколько их сейчас как понять сколько их станет потом и сколько должно быть?
если поделить на подсети не по территориальному принципу, а по "отделам" то в результате (предположим два компьютера одного отдела находятся на разных концах сети) теже бродкасты будут лететь через всю сеть.

а что за сетевое железо сейчас стоит?

Делить на сетевом уровне.

Добавлено:
Свичи 3Com точно модель скажу завтра.

Цитата:

Делить на сетевом уровне.

Покупайте маршрутизаторы Cisco если знаете IOS, или D-link если не знаете =)

Я бы с удовольствием перtшел на Cisco)

Цитата:

сеть достаточно большая 1000+ машин

даже при 100 мегабитной сети маршрутизатор такое не вытянет, нужен L3 свич (и лучше два) плюс свичи доступа с поддержкой VLAN

Цитата:

даже при 100 мегабитной сети маршрутизатор такое не вытянет, нужен L3 свич (и лучше два) плюс свичи доступа с поддержкой VLAN

Согласен, просто подумалось, что надо бы на сегменты порубить весь з00парк.

attaattaatta
Мир ведь строится не только на БуеЛинках и Кисках! Есть ещё микротик!

люди, столкнувшись с проблемами на l2, почему-то думают, что если подняться на l3 - проблемы l2 рассосутся сами собой. не будет этого

В любом случае держать такое количество хостов в одном широковещательном домене (причем виндовых хостов) - недопустимо

Может просто взять и в днс нарезать домены под каждый отдел и для них уже в dhcp раздавать подсети?

nisolmer
Товарищ, одумайся! тебе говорят что ничто не спасёт от перегруза оборудования, максимум чего ты добьёшься такими манипуляциями = снижение широковещаловки, но это не выход если у тебя сеть загибается от реально "продакшн" данных. Добовлять оборудование или увеличивать мощность имеющегося или кардинально менять распределение точек приложения трафика (перенести к конечникам поближе серверные мощности, которые они используют активнее) = вот выход. А пилить на домены, скопы, вланы, сайты - толку то? Трафик никуда не денется, только разруливать потом это заколебёшься.

моя сетка +2к ПК + более 10 площадок.

nisolmer

Цитата:

Может просто взять и в днс нарезать домены под каждый отдел и для них уже в dhcp раздавать подсети?

разделение на подсети (широковещательные домены l3) без разделения на широковещательные домены l2 не даст никакого выигрыша по широковещательному трафику.

как там с моделями 3комов-то?

Цитата:

Свичи 3Com точно модель скажу завтра

раз так то подойдет например гигабитный L3 switch 3COM 5500G-EI

А можно ли широковещательные запросы чем либо заблокировать?

Цитата:

А можно ли широковещательные запросы чем либо заблокировать?

управляемыми коммутаторами.
только совсем блокировать их имеет смысл в очень редких случаях.
обычно ставится на порту предел широковещательного трафика.

Как вы смотрите на такой выход.
На сервак поставить Intel Pro сетевуху с возможнастью создания VLANов, создать отдельный VLAN для каждой подсети, соответственно в DHCP создать зоны под каждую подсеть.

Вопрос в следующем как это потом связать, зону DHCP и конкретно под нее созданный VLAN?

Цитата:

На сервак поставить Intel Pro сетевуху с возможнастью создания VLANов, создать отдельный VLAN для каждой подсети

создание VLANов на этой плате подразумевает появление интерфейсов под каждый VLAN со своим IP адресом для каждой посети, а будет адрес - "своя" зона автоматом к нему привяжется

Решил поднять тему.
Нужен совет в решении проблемы.
Имеем подсеть 192.168.90.0/24 где уже заканчиваются IP адреса.
Как безболезненно расширить подсеть? Использовать другую маску не получится, так как 192.168.91.0/24 уже занята.
Я подумывал об использовании VLAN, так как у нас на предприятии используются Zyxel USG.

Как более грамотно расширить/объединить подсеть?

k3NGuru
Цитата:

Использовать другую маску не получится, так как 192.168.91.0/24 уже занята.

Переходи на маску 255.255.0.0 и ни в чем себе не отказывай.

Цитата:

Как более грамотно расширить/объединить подсеть?

маску в обоих подсетях /23, вот и обьедените сети.
Если стороить VLAN, то все равно придется делать маршрутизацию между VLANами, и тогда маской вы не расширите подсети.