Impostare due Vlan su router - dhcp su seconda sottorete e statico su prima

[prayer84]

Salve ho un dispositivo srx5308 (Firewall di rete) impostato nel seguente modo: 2 connessioni wan1 e wan2 in balancing mode - round robin; 1 vlan di default: 192.168.2.X senza dhcp sulla porta member 1. Vorrei creare una seconda vlan sempre sulla porta 1 in modo tale che tutti i dispositivi con ip statico abbiano ip su sottorete (vlan1) 192.1.68.2.x e tutti gli altri dispositivi con dhcp attivo abbiano ip su sottorete (vlan2) 192.168.7.X. Si può realizzare una configurazione di questo tipo? Grazie

[frakka]

Salve ho un dispositivo srx5308 (Firewall di rete) impostato nel seguente modo: 2 connessioni wan1 e wan2 in balancing mode - round robin; 1 vlan di default: 192.168.2.X senza dhcp sulla porta member 1. Vorrei creare una seconda vlan sempre sulla porta 1 in modo tale che tutti i dispositivi con ip statico abbiano ip su sottorete (vlan1) 192.1.68.2.x e tutti gli altri dispositivi con dhcp attivo abbiano ip su sottorete (vlan2) 192.168.7.X. Si può realizzare una configurazione di questo tipo? Grazie

Di massima sì, dipende dal tuo dispositivo.
Ci guardo meglio stasera o nel weekend.

[prayer84]

Stavo pensando anche ad un'altra soluzione. Invece di usare due vlan uso solo quella di default, ad esempio 192.168.2.x con subnet 255.255.254.0, ampliando cosi il numero di host possibili. Abilitando poi il dhcp con range da 192.168.3.1 a 192.168.3.254. in questo modo tutti gli host con dhcp avranno ip su 192.168.3.x e tutti gli host con ip statico impostati su 192.168.2.x. Naturalemente per ogni host con ip statico dovrà essere modificata anche la subnet.

[frakka]

Sono due soluzioni diverse, dipende da cosa vuoi/devi ottenere.
In entrambi i casi ci sono pro e contro.

[Matty90]

Se il tuo obiettivo è avere due reti separate, la seconda soluzione non va bene. Se invece hai bisogno solo di "dividere" la rete tra dhcp e statico, ti basterebbe il secondo modo con le apposite reservation.

[prayer84]

Se il tuo obiettivo è avere due reti separate, la seconda soluzione non va bene. Se invece hai bisogno solo di "dividere" la rete tra dhcp e statico, ti basterebbe il secondo modo con le apposite reservation.

visto che ho tutti i dispositivi statici sulla sulla sottorete 192.168.2.x ed è quasi piena vorrei che i dispositivi wifi utilizzassero esclusivamente il dhcp, magari sulla sottorete 192.168.3.x. Per apposite reservation a cosa ti riferisci?

[frakka]

Allora, in base alle tue indicazioni le possibilità che mi vengono in mente sono queste:

1. Creazione di una seconda subnet in cui spostare i client DHCP:
   
   
   Pro:
   

   • I client statici (tipicamente server o workstation) ed i client dinamici (tipicamente smarphone, dispositivi wi-fi e/o comunque transitori) risiedono su due reti diverse, condizione in cui è più agevole applicare delle regole e dei filtri per il controllo del traffico e la protezione dei dispositivi "statici";
   • Nessuna modifica richiesta ai client statici, che mantengono la loro configurazione attuale senza la necessità di modificare la subnet su tutte le postazioni. Sarà però necessario adeguare eventuali firewall per metterli a conoscenza della nuova rete;

   
   Contro:
   

   • Tipicamente, trattandosi di due subnet diverse, le funzioni di discovery che sfruttano il broadcast smettono di funzionare come atteso (Es: La rilevazione automatica di stampanti wi-fi, nas e altri computer della rete);
   • Potrebbe essere necessario un po' di lavoro se non hai un DNS per la risoluzione dei nomi e sfruttavi la scoperta degli host in rete per permettere agli utenti di accedere alle risorse (es: Stampanti!);
   
   
2. Estensione della subnet attuale per aumentare il numero di host:
   
   
   Pro:
   

   • Gli host rimangono tutti nella stessa rete quindi i meccanismi di scoperta che si basano sul broadcast continuano a funzionare;
   • Il traffico tra gli host rimane tutto su L2 e non aumenta il carico di lavoro sul router tra le due reti.

   
   Contro:
   

   • Non è comodo impostare regole per la segregazione del traffico, gli host sono tutti nello stesso calderone;
   • E' necessario intervenire su tutti gli host, anche quelli configurati con l'IP statico, per impostare la nuova subnet mask;
   • In caso si renda necessaria una futura espansione o modifica della rete, devi rimettere mano a tutti gli host.

[frakka]

Stavo pensando anche ad un'altra soluzione.
Invece di usare due vlan uso solo quella di default, ad esempio 192.168.2.x con subnet 255.255.254.0, ampliando cosi il numero di host possibili.
Abilitando poi il dhcp con range da 192.168.3.1 a 192.168.3.254. in questo modo tutti gli host con dhcp avranno ip su 192.168.3.x e tutti gli host con ip statico impostati su 192.168.2.x. Naturalemente per ogni host con ip statico dovrà essere modificata anche la subnet.

Se il tuo obiettivo è mantenere una sola rete, anche così dovrebbe funzionare senza grossi problemi.
Impostare uno scope ridotto del DHCP rispetto la numero massimo di host è una cosa normale e non dovrebbe crearti particolari problemi.


Inoltre questo ti permette di non dover usare le VLAN che avrebbero portato ad una complicazione notevole: Se tutto il traffico deve transitare dalla stessa porta Ethernet allora è necessario impostare la porta per gestire traffico "tagged".
Questo significa che devi accedere ad ogni host (a logica, è meglio farlo sui client statici) per impostare il VLANID da usare per la rete taggata mentre puoi usare il default VID della porta per far finire il traffico non taggato sulla VLAN DHCP.

[prayer84]

Se il tuo obiettivo è mantenere una sola rete, anche così dovrebbe funzionare senza grossi problemi.
Impostare uno scope ridotto del DHCP rispetto la numero massimo di host è una cosa normale e non dovrebbe crearti particolari problemi.


Inoltre questo ti permette di non dover usare le VLAN che avrebbero portato ad una complicazione notevole: Se tutto il traffico deve transitare dalla stessa porta Ethernet allora è necessario impostare la porta per gestire traffico "tagged".
Questo significa che devi accedere ad ogni host (a logica, è meglio farlo sui client statici) per impostare il VLANID da usare per la rete taggata mentre puoi usare il default VID della porta per far finire il traffico non taggato sulla VLAN DHCP.

Grazie mille per avermi fornito queste spiegazioni. Valuterò bene cosi farò la mia scelta.