Broadcast blockieren

[speedi]

Hi,

ich habe hier ein Verbund von mehreren Computern, welche an einem größeren Firmennetz hängen. Diese Computer kommunizieren untereinander (leider) unter anderem mit Broadcasts und Multicasts.

Kennt jemand günstige Hardware (Layer 3-Switches oder Router) die sich so konfugurieren lassen (am besten via Web-Interface) dass sie verhindern, dass diese Broadcasts und Multicasts ins Firmennetz gelangen?

Unser Admin hat leider kein großes Verständnis für Mitarbeiter die 50 Mbit oder mehr per Broadcast im Netz verteilen.

tnx! Daniel

[FfFCMAD]

Haenge die drei Rechner einfach in ein eigenes Netz und diese dann an einen Switch. Zwar werden dann mit Sicherheit noch Broadcasts stattfinden, aber nicht mehr jeder Rechner im Firmennetz wird darauf antworten, da deine Rechner in einem eigenem Netz hocken. Gegen Who-is kannst du nur wenig machen

Einfach die Rechner in ein separates Netzwerk:

192.168.170.2

192.168.170.3

192.168.170.4

Standardgateway und DNS wie vorher.

Oder: Frage deinen Admin ob er die Rechner entsprechend ins Firmennetzwerk integriert. Anstatt eines Switches kannst du auch einen ausgedienten Router nehmen. Dann geht garnichts mehr raus, nur wenn erforderlich.

[speedi]

Ich möchte die Rechner eben nicht in ein eigenes Netz packen, damit vom Testnetz aus ganz normale Sachen wie E-Mail abrufen und Remote auf den eigenen Arbeitsplatzrechner im Firmennetz möglich sind.´

Wenn ich einen Router dazwischen klemm und die IP-Adressbereiche gleich lass geht doch Broadcast immer noch drüber oder nicht?

Im übrigen gehen die Broadcasts auf 255.255.255.255 also an absolut alle.

Gibts für 300 Öcken nicht irgendwas wo man solche Sachen konfigurieren kann um es einfach dazwischen zu hängen ohne endlos viel um Bestand umzubauen?

[FfFCMAD]

Wie waere es mit einer zweiten Netzwerkkarte > Switch > Rechner 2 + Rechner 3 ?

Bei der 2.ten Netzwerkkarte dann nur IP und Subnetmaske vergeben. Fuer die Rechner 2 und 3 gilt das Selbe.

Fuer meine Zwecke habe ich auch eine extra Netzwerkarte, damit die von mir Installierten Firewalls keinen Kontakt mit dem Firmennetzwerk haben und dort fleissig den zweiten DHCP-Server machen

Bearbeitet 23. März 2010 von FfFCMAD

[lupo49]

Wenn ich einen Router dazwischen klemm und die IP-Adressbereiche gleich lass geht doch Broadcast immer noch drüber oder nicht?

Wie willst du denn dann die Rechner aus dem entfernten Netz erreichen, wenn dein PC annimmt, dass diese im lokalen Netz sind?

Das günstigste wäre ein Linux-System als Router mit entsprechenden iptables-Regeln. Würde aber eine Anpassung des Netzbereichs mit sich ziehen. Was an sich nicht schlimm ist, da die Netzwerkfunktionalität zu dem Hauptnetz dabei bestehen bleibt.

[w40kcadia]

Was spricht den gegen nen gut konfigurierten router?

Wegen email und ähnlcues diese kannst du ja weiterleiten/routen.

Damit kansst du ganz normalen zugriff auf Netzwerkfreigaben und alles einrichten.

Aber deine Boradcast, Multicasts werden nicht weiter geroutet und belasten so dein Firmennetzt nicht

[Gnork]

Wenn ich einen Router dazwischen klemm und die IP-Adressbereiche gleich lass geht doch Broadcast immer noch drüber oder nicht?

Nein, ein Router trennt Broadcast Domains.

Gibts für 300 Öcken nicht irgendwas wo man solche Sachen konfigurieren kann um es einfach dazwischen zu hängen ohne endlos viel um Bestand umzubauen?

Naja würde nen einfachen Cisco 1841er empfehlen, da lässt sich in dieser Hinsicht so ziemlich alles konfigurieren, wenn man weiß wie's geht. Hat aber halt kein Webinterface (zumindest nicht für solche Konfigurationen), sondern ist Kommandozeilen basiert.

[awollenh]

Sign @ Gnork.

Dazu: Broadcasts werden generell nicht geroutet (außer mit speziellen Skripten). Daher tut es mMn jeder handelsübliche Router (L3 Switches sind Router)

[_n4p_]

Ich möchte die Rechner eben nicht in ein eigenes Netz packen, damit vom Testnetz aus ganz normale Sachen wie E-Mail abrufen und Remote auf den eigenen Arbeitsplatzrechner im Firmennetz möglich sind.´

warum sollte das mit router und eigenem netz nicht funktionieren?

internet-server sind ja auch nicht im gleichen netz wie mein PC.

was machst du um jetzt irgendeinen dienst im firmennetz zu erreichen?

du musst ip oder dns-namen angeben. steht das gerät nicht im gleichen netzwerk wie das ziel, gehen die pakete automatisch an den standard gateway, und da gibst du die ip adresse des routers an. wo also soll hier das problem sein? ich meine DAS ist die aufgabe eines routers. deine rechner können sich weiterhin auch per BC unterhalten und der router verwirft sowieso alle BCs. ich wüsste auch nicht was man hier groß konfigurieren sollte.

Im übrigen gehen die Broadcasts auf 255.255.255.255 also an absolut alle.

an alle im gleichen subnetz, nicht an alle -.-

[speedi]

Also die Variante mit dem Router fällt weg. Die Kommunikation von Testnetz ins Frmennetz wäre zwar so möglich aber anders rum schauts nicht so toll aus (vom Firmennetz ins Testnetz). natürlich lässt sich das alles Konfigurieren, aber da wir unser testnetz häufiger mal verlegen und damit auch wieder sämtliche Netzwerkkonfigurationen umbauen ist das viel zusätziche Arbeit. Ein Fass ohne Boden. Was wäre z.B. wenn ich vom Hausnetz Remote an die Rechner im testnetz will? Das geht dann nichtmal wirklich mit Portforwarding, weil ich natürlich jeden Port nur an einen Rechner weiterleiten kann.

Der Tipp mit dem Cisco Routerwar gar nicht so abwegig. Ich hab nochmal fleißig Handbücher von besseren Switches geladen und geselen. Hab jetzt einen entdeckt, der so ne Art Multicast/Broadcast Limiter drinnen hat (in %, Bits/s oder Packets/s). Ich denk der wirds jetzt werden. Dann kann ich auch mal wenns not tut ein klein wenig ins Firmennetz Broadcasten, um was zu testen - Hauptsache ich blas nicht wieder 100 MBit da rein.

Was den PC mit zwei Netzwerkkarten angeht: Das hatte ich mal mit Windows XP versucht => Das Firmennetz hat uns automatisch vom Netz genommen weils irgendwie nen Ring gab - unser Netz war aber definitv nur mit über den PC mit zwei NICs mit dem Hausnetz verbunden.

[Gunny666]

Kauf dir einen VLAN fähigen Switch und benutze VLANs.

Damit kannst du dir auch Broadcast Domains zimmern. Jedoch können

die Rechner aus VLAN 1 nicht mehr ohne weiteres mit Rechnern aus VLAN 2 kommunizieren.

Edith sagt: Damit musst du an deiner IP Struktur nicht rumfummeln.

Bearbeitet 25. März 2010 von Gunny666

[speedi]

Jedoch können

die Rechner aus VLAN 1 nicht mehr ohne weiteres mit Rechnern aus VLAN 2 kommunizieren.

Toll... und was nützt mir das dann für meinen konkreten Problemfall? Wie ich oben schon geschrieben habe, wird die Lösung jetzt ein 3Com-Switch werden der entsprechende Funktionen zum Limitieren/Blockieren des Broadcast/Multicast-Traffics drinnen hat. Ich denk die Lösung ist halbwegs kostengünstig und vor allem gibts bei umbauten am Netz keinerlei zusätzlichen Aufwand wenn das Teil einmal konfiguriert ist.

[RipperFox]

Also die Variante mit dem Router fällt weg. Die Kommunikation von Testnetz ins Frmennetz wäre zwar so möglich aber anders rum schauts nicht so toll aus (vom Firmennetz ins Testnetz).

Bla Lolwut?

Der Unterschied zwischen NAT und Routing ist Dir bekannt?

Ne Route ins Testnetz von eurem bisherigen Standardgateway über den Testnetzrouter setzen und fertig.

Wenn Ihr IGP-Protokolle einsetzt isses nicht schwerer.

Das ist um den Faktor 10 einfacher als irgendwelches Ratelimiting, usw.

Grüße

Ripper