melhor maneira dividir um rede de 60 computadores em 2?

[vioflas]

Prezados amigos estou com uma missão na mão, dividir uma rede de 60 computadores em 2, por meio de um firewall, agora pergunto o seguinte? Existe alguma maneira de configurar no DHCP uma forma automatizada, sem ter que cadastrar mac adress na mão, ou ips fixos na estações?

desde já agradeço.

[zenun]

Olha amigo... se você tem na sua estrutura de rede switches que sejam capazes de fazer VLANs ai você não vai ter problema!

Só agrupar os computadores em duas VLANs distintas e habilitar o DHCP nelas sem precisar ficar cadastrando computador por computador no seu arquivo de configuração do DHCP! Dessa maneira você também isola o broadcast das duas redes!

[vioflas]

Infelizmente os switches serão switches normais 3Com não gerenciáveis, que provavelmente não fará Vlan, agora estava pensando no seguinte, criar 2 scopos DHCPS, um com range de 30 computadores em uma classe e outro com range de 30 em outra classe quando um range acabar entra o outro até completar os 60, o que vc acha?

[mistymst]

Eu acho que nao vai dar certo, e de um ponto de vista de segurança, a sua segurança com isso é zero.

Explique exatamente o porque voce quer "dividir" essas duas redes, qual o proposito, o que nao pode haver comunicacao entre elas? respondendo a estas perguntas fica muito mais facil de ter uma noção, do que é o desenho de sua rede, e como fazer isso de maneira... digamos assim... segura.

[zenun]

Infelizmente os switches serão switches normais 3Com não gerenciáveis, que provavelmente não fará Vlan, agora estava pensando no seguinte, criar 2 scopos DHCPS, um com range de 30 computadores em uma classe e outro com range de 30 em outra classe quando um range acabar entra o outro até completar os 60, o que vc acha?

Então amigo... fazer dessa forma que você esta pensando as suas máquinas terão IPs diferentes em uma mesma rede! O que você vai ter que fazer é criar declarações estaticas no seu DHCP para que cada host esteja dentro da rede IP que você quer!

O que o mistymst esta dizendo é que com isso você nao vai conseguir evitar que alguém que esta em uma outra rede configure manualmente um IP que esta na outra rede! Se você tivesse a possibilidade de criar VLANs isso iria te dar uma segurança muito maior! Um exemplo do dhcp que você tem que ter:

Código :

        subnet 192.168.1.0 netmask 255.255.255.0 {
                ddns-updates off;
                default-lease-time 36000;
                max-lease-time 36000;
                option subnet-mask 255.255.255.0;
                option broadcast-address 192.168.1.255;
                option routers 192.168.1.1;
                deny unknown-clients;
                deny bootp;
        }
 
host 192.168.1.15 {
        hardware ethernet 00:00:0C:0D:00:08;
        fixed-address 192.168.1.15;
}

Isso seria para um scopo! Teria que criar mais um desses!
Importante nao esquecer da parte "deny" da configuração!

Imaginando aqui o seu problema pensei na possibilidade que se todos os seus computadores são windows XP você poderia colocar seus usuários todos com contas limitadas, com isso ninguem poderia mudar as configurações de rede. É uma possibilidade de amenizar o que falei sobre os usuários trocarem seus endereços IP.

[vioflas]

O meu objetivo nisso é não congestionar o tráfego dessa rede, evitar que a rede "sente", sempre ouvi falar que quando se tem uma rede relativamente grande ou média é sempre bom dividi-la em 2 ou mais dependendo do número de computadores, o que quero fazer é o seguinte: a empresa tem 2 andares em um andar quero um range e no outro quero outro range dividindo o broadcast, fazendo isto tráfego fica divido né, mas será um fileserver para duas redes a internet sairá pelo mesmo firewall, entendeu pessoal eu quero fazer um negócio bem feito sei que posso apenas chegar lá crio um scopo de DHCP vai, mas quero um negócio legal se alguém em cima do que falei puder me dar alguma sugestão ficarei muito agradecido.

abraços

[mistymst]

Eu entendi o que voce quis dizer agora... vamos lá, primeira voce tem que ter noção de rede de medio porte.

Eu trabalho em uma rede com 3000 computadores, esta é uma rede de medio porte, a sua rede é de pequinissimo porte. (Pequeno porte vai em media até 100-200 computadores).

Em relação a dividir a rede para diminuir o broadcast, também nao vai fazer diferente, porque voce nao esta segmentando devidamente esta rede, o broadcast continuará ocupando o buffer dos seus switches nao inteligentes (nao gerenciaveis que fica mais educado rsrs).

Eu ja tive o desprazer de trabalhar em uma rede com 1200 computadores em um mesmo segmento (dominio de broadcast) e a rede nao travava.. realmente era um pouquinho lenta as vezes e era muito facil de derrubar.

No seu caso que voce tem 60 computadores, nem vale a pena voce fazer essa "pseudo" segmentação, porque:

1) Vai lhe dar mais dor de cabeça do que vantagens.
2) O ganho de perfomance vai ser minimo
3) Voce nao esta procurando segurança com essa medida.

Caso voce queira ganhar segurança dividindo em duas redes (como ela é pequena), voce pode por 1 firewall entre elas duas, e ligar cada uma com uma placa de rede, separando os switches fisicamente... ai a gente começa a ter alguma coisa.

Pensa nisso, qualquer duvida post aí.