Hoofdindex » Servers » TechTalk » Een tweede subnet
Webservers en meer
TechTalk
Een tweede subnet
Veronderstel dat je een hotel of pension hebt met internet-toegang op de kamers. Maar je hebt zelf meerdere computers die een lokaal netwerk vormen en allemaal toegang tot het internet hebben. De computers van het bedrijfsnetwerk moeten bestanden kunnen uitwisselen en gemeenschappelijke printers kunnen gebruiken, maar je wilt niet dat de gasten je bestanden kunnen lezen of je printers gebruiken.

De meest logische oplossing is twee internet-aansluitingen aanvragen, één voor het bedrijfsnetwerk en één voor de hotelgasten. Maar het kan veel eenvoudiger, waarbij de computers zelfs niet moeten geconfigureerd worden.

-

-

Situatie vroeger: enkel een bedrijfsnetwerk


Situatie met één router

De vroegere situatie is de klassieke configuratie: een internet-modem (kabel of ADSL), een router en een aantal werkposten.
De router krijgt zijn publiek adres door DHCP via de modem, en de lokale computers krijgen hun adres eveneens via DHCP, maar nu via de router. De router deelt lokale adressen uit in de range 192.168.1.2 tot 192.168.1.254. Iedere computer is automatisch geconfigureerd door de router: ip address (verschillend voor ieder computer), netmask (255.255.255.0) en gateway (192.168.1.1).

Situatie met bedrijfsnetwerk en gastnetwerk

Situatie met twee routers

Op het lokaal netwerk van het bedrijf (lichtblauw) hebben we een tweede router aangesloten. Deze router krijgt zoals de eerste een variabel IP adres, maar nu van de eerste router, en niet meer van de provider.

De computers die op de tweede router aangesloten worden (de computers van de hotelgasten) krijgen hun DHCP-gegevens van de tweede router: Range: 192.168.2.2 tot 192.168.2.254, netmask (identiek) en gateway (192.168.2.1). Deze computers vormen een tweede subnet (lichtpaars) dat los staat van het eerste.

Hier heb je dus 3 subnetten (ieder gescheiden door een router): het internet, het bedrijfsnetwerk (lichtblauw) en het gastnetwerk (licht paars).

Routerconfiguratie

De eerste router (in verbinding met het internet) moet niet opnieuw geconfigureerd worden. De tweede waarschijnlijk ook niet als hij slim genoeg is om in te zien dat zijn "internet-kant" reeds een LAN is. De tweede router mag namelijk geen adressen uit het bedrijfsnetwerk gebruiken voor de gastcomputers (een kenmerk van subnetten is dat ze een apart IP-bereik moeten hebben als ze aan elkaar gekoppeld worden).

In het ergste geval zal je de tweede router moeten instellen om adressen uit een andere range uit te delen aan de gastcomputers. Dit is een éénmalige operatie. Bij de aankoop van de tweede router kan je ook specifiek uitkijken voor een router die standaard een andere lokale range gebruikt dan de eerste (dit staat in de handleiding, kijk ergens in het onderdeel "eerste verbinding met de router via internet explorer").

Lease-tijd

De lokale IP adressen worden uitgereikt en blijven een tijd geldig (meestal een paar dagen). Dit wordt gedaan zodat dezelfde computer altijd eenzelfde adres blijft gebruiken (de computer zal het adres blijven gebruiken totdat de lease verstreken is). Iedere keer da een nieuw computer zich op het netwerk aansluit, zal hij een IP adres krijgen van de router, uit de nog beschikbare adressen. Als er veel verschillende bezoekers zijn, dan kan het gebeuren dat er geen adressen meer beschikbaar zijn. Misschien wordt de helft van de gereserveerde adressen niet meer gebruikt (de gasten zijn vertrokken), maar de adressen zijn nog niet vrijgegeven. In deze situatie kan je de lease-tijd verlagen tot 24 uur. Voor het bedrijfsnetwerk is dit niet nodig, want het computerpark wordt niet dagelijks vernieuwd.

Super-veilige configuratie

De configuratie boven is snel opgestart zonder wijzigingen aan het bestaande bedrijfsnetwerk (dus zonder onderbreking). Maar het kan beter.

Superveilige configuratie

Als je de configuratie zo veilig mogelijk wilt maken voor het bedrijfsnetwerk, dan plaats je een extra router tussen de modem en de originele router (bedrijfsrouter). Op de LAN-aansluitingen van deze extra router schakel je de hotelgasten en de originele bedrijfsrouter. Hier moet de tweede router eveneens geconfigureerd worden zodat niet hetzelfde subnet gebruikt wordt. De bedrijfsrouter ziet het gastnetwerk (het paarse deel) aan als het gevaarlijke internet.

Opmerkingen

Opgelet, mis niet met de aansluitingen op de router. Een router heeft een "publieke kant" (internet-kant) en een LAN-kant. Als je twee routers achter elkaar plaatst moeten ze in dezelfde richting aangesloten worden (een beetje zoals je twee batterijen in serie zou aansluiten). Op de figuur is de L-kant de lokale kant van de router. Meestal zijn er 4 LAN aansluitingen.

Indien je niet toekomt met het aantal LAN aansluitingen, gewoon een of meerdere switches plaatsen (tussen router en computers). Bij een switch speelt het geen rol in welke aansluiting je de netwerkkabel plugt, een switch is gewoon een schakelkast dat het data-verkeer naar de juiste poort stuurt. De switch weet welke apparaat op het einde van de netwerkkabel aangesloten is en zal iedere data-pakket naar de juiste poort sturen. Het is een gewoonte dat de "uplink" (de verbinding met de router) op de laatste poort aangesloten wordt. Als je echt veel lokale gebruikers hebt (dus veel hotelkamers), dan gebruik je meerdere switches, die je allemaal met de router verbindt. Switches kunnen tot 24 poorten hebben, dus in totaal kan je 96 computeraansluitingen voorzien.

Zeer oude switches zijn niet "auto sensing" (waarbij ze het verschil tussen router en computer detecteren): dan moet je een crossed cable gebruiken tussen router en switch. Doorgaans zijn dat geen switches, maar hubs, en die gebruik je best niet meer (verschil hub-switch-router zie computerperiferie). Terwijl een switch een automatische schakelaar of wissel is, is een hub een gewone koppelstuk. Inkomende data op een poort wordt gewoon naar alle andere poorten uitgestuurd. Van zodra er wat data-verkeer is kan dit leiden tot congestie. 20 jaar geleden speelde dit effekt geen rol (dos tijdperk, kleine bestanden van een paar kilobytes, PCL-printers), tegenwoordig kan dit niet meer (vista dat continu packets uitstuurt, bestanden van minstens een paar gigabytes, streaming toepassingen en GDI-printers).

Publicités - Reklame

-