Mi consulta puntualmente se debe a que tengo actualmente un rango de red interna que es el siguiente: 192.168.40.0/24
Y la realidad es que en el corto plazo voy a tener que ampliarlo, me están quedando 20 direcciones como mucho.
Se les ocurre alguna recomendación para no tener que modificar el rango .40 y continuar con el mismo, es decir, arrancar en 192.168.40.2 hasta 192.168.40.254 y continuar con 192.168.41.1 hasta 192.168.41.254.
Pensé en cambiar la máscara, pero la verdad que nunca experimenté ampliaciones de red y quisiera ver si estoy en lo correcto o si es necesaria alguna tarea adicional.
Respuesta
Si podes cambiar el rango, y, efectivamente tendrías que cambiar la mascara de subred a 255.255.254.0 y tendrias que hacerlo en todas las computadoras.
Solo toma en cuenta que quizá tendrías que modificar el anuncio de esas rutas (si lo estas haciendo) dentro de tu Gateway, caso contrario no se podrá alcanzar la subred 192.168.41.x
Otra Respuesta
Lo primero que tenes que entender es que quiere decir ampliar a una /23 para que sepas que va a pasar en tu red.
La mascara de una IP le indica que rango de IP es local y por lo tanto se puede comunicar con otro host en ese mismo rango en forma directa, osea que no tiene que ir al gateway para llegar hasta el otro host.
Osea que si tenes algunos host con mascara 24 y otros con mascara 23, vas a tener problemas. Porque los que tengan mascara /23 van tratar de comunicarse en forma directa con los que estan dentro del /24 y estos ultimos no van a poder porque piensan que estan en otra red. En conclusión, si la opción es pasar a /23, vas a tener que cambiar todos juntos. Excepto que entiendas muy bien el tipo de trafico que tenes dentro de tu red y lo hagas por partes.
No se si estas usando vlans, pero es una buena opción si tu red esta creciendo porque te permite dividir tu red y tener un mejor control del trafico. Ahi podes tener rangos diferentes por vlan y todos se comunican por el gateway que es el que hace el ruteo entre vlans
La mascara de una IP le indica que rango de IP es local y por lo tanto se puede comunicar con otro host en ese mismo rango en forma directa, osea que no tiene que ir al gateway para llegar hasta el otro host.
Osea que si tenes algunos host con mascara 24 y otros con mascara 23, vas a tener problemas. Porque los que tengan mascara /23 van tratar de comunicarse en forma directa con los que estan dentro del /24 y estos ultimos no van a poder porque piensan que estan en otra red. En conclusión, si la opción es pasar a /23, vas a tener que cambiar todos juntos. Excepto que entiendas muy bien el tipo de trafico que tenes dentro de tu red y lo hagas por partes.
No se si estas usando vlans, pero es una buena opción si tu red esta creciendo porque te permite dividir tu red y tener un mejor control del trafico. Ahi podes tener rangos diferentes por vlan y todos se comunican por el gateway que es el que hace el ruteo entre vlans
Aclaración a la pregunta
A raíz de las respuestas que fuí recibiendo por parte de todos, lo cual agradezco realmente, me parece mejor poder detallarles en concreto el esquema que tengo para que puedan entender todo el tema en su totalidad:
Firewall: Juniper SSG 520
Interfaces declaradas (los datos de los ISPs son ficticios)
Proveedor de Internet "1"
Firewall: Juniper SSG 520
Interfaces declaradas (los datos de los ISPs son ficticios)
Proveedor de Internet "1"
- Gateway del ISP: 200.5.155.35
- IP Públicas Fijas que me brindan:
- Principal: 200.5.155.40
Observación: esta IP es la que está definida como default para la salida a Internet. - Restantes: 200.5.155.41, 200.5.155.42, 200.5.155.43, 200.5.155.44, 200.5.155.45, 200.5.155.46, 200.5.155.47, 200.5.155.48, 200.5.155.49, 200.5.155.50
Observación: estas IPs las tengo para hacer mapeos internos a diferentes servidores de la LAN para poder acceder desde el exterior.
- Gateway del ISP: 190.210.84.95
- IP Públicas Fijas que me brindan:
- Principal: 190.210.84.100
Observación: esta IP es la que está definida como default para la salida a Internet. - Restantes: 190.210.84.101, 190.210.84.102, 190.210.84.103, 190.210.84.104, 190.210.84.105, 190.210.84.106, 190.210.84.107, 190.210.84.108, 190.210.84.109, 190.210.84.110
Observación: en este caso estas IPs las tengo para declarárselas a usuarios de la LAN cuando salen a Internet a conectarse a una VPN client to site, dado que una de las Empresas con la cual tenemos conexiones VPN client to site, nos permiten una sola conexión por IP Pública, y como son varios los usuarios que necesitan conectarse, debemos usar algunas de nuestras IPs Públicas para este fín.
DMZ: 192.168.1.0/24
El segmento 192.168.1.0/24 que es para la DMZ, tengo conectado unicamente un Front-End Exchange Server 2003. El Back-End Exchange Server 2003 lo tengo conectado en la LAN. Con esto quiero decir que con este segmento de DMZ no tengo inconvenientes a nivel de cantidad de IPs.
En cuanto al tráfico que se genera desde el segmento de la LAN 192.168.40.0/24 es el siguiente: protocolos HTTPs, HTTP, SMTP, POP3, FTP, SAP, VNC, RDP. Respecto al tráfico restante que se genera desde la LAN, es propio de los Túneles IPSEC Site to Site que tenemos apuntados contra los Firewalls de las diferentes Empresas a los cuales permanecemos conectados de esta manera.
Por otro lado, tenemos dos Proveedores de Internet, y los accesos están definidos de la siguiente forma:
Tenemos permitido que salga desde la LAN por el Proveedor de Internet "1"
- Todos los protocolos mencionados anteriormente y VPNs Client to Site (siendo nosotros el Client), es decir, el acceso desde la LAN hacia la IP Pública de la Empresa a la que nos conectemos.
- Todo el tráfico que se genera desde la LAN y que es para poder establecer la comunicación entre las subredes remotas de la Empresa a la cual nos conectamos por VPNs site to site.
Destino: 0.0.0.0/32 (es decir, Any) ----> sale por el Gateway del proveedor de internet número 1.
Después tengo diferentes IPs Públicas del exterior que están declaradas a mano para decirle que salgan por el Gateway del proveedor de internet número 2, que son justamente, todas las IPs Públicas de las Empresas con las cuales tenemos túneles IPSEC punto a punto.
De esta manera, tenemos el tráfico dividido en los dos ISPs que poseemos. Logicamente, cuando se cae el proveedor número 1, lo que no tenemos es Fail Over, dado que, cuando eso sucede, lo único que podemos hacer desde la LAN es acceder a las VPNs que salen por el proveedor de internet número 2.
Las dos problemáticas que tengo, pasando en limpio, son las siguientes:
- Me estoy quedando chico con la cantidad de IPs disponibles.
- Tengo dos ISPs, pero no puedo hacer uso de Fail Over. No pretendo que pueda tener todas las VPN funcionando dado que esas están en el ISP2 y para eso habría que tramitar nuevos túneles IPSEC para que pueda salir por el ISP1, pero al menos si se cae el ISP1 que es por el que toda la LAN sale a internet, pueda hacerlos salir por el ISP2. Con que eso funcionara, me serviría.
Respuesta a la aclaración de la pregunta
Respecto a las IP privadas, no me parece que afecte para nada, puedes ampliar el rango cambiando la máscara a 255.255.254.0; eso sí, como te comentaron, la máscara tiene que cambiarse en todos los dispositivos de la LAN.
Respecto al tema de usar el 2º ISP como reserva, podrías definir 2 rutas por defecto (0.0.0.0) con distinta métrica y condicionadas a que funcionen los respectivos enlaces; esto se hace de distinta manera según el fabricante del equipo, por ejemplo con dispositivos 3COM se hace vinculando las rutas con un "detect-group", en el caso de Cisco con sla y tracks, como puedes ver en este enlace:
http://adf.ly/1mGbLf
Segunda aclaracion a la pregunta
En cuanto a lo que me comentás de las rutas, en el caso de que yo agregue otra similar con una métrica mayor, tendría que agregar en las PCs una métrica tambien mayor que apunte al mismo Firewall?
Esto te lo consulto porque es el mismo Gateway que tiene dos salidas, entonces, la PC del usuario final debería tener declarada otra métrica con el mismo Gateway para que se relacione con la métrica creada en el Firewall?
Esto te lo consulto porque es el mismo Gateway que tiene dos salidas, entonces, la PC del usuario final debería tener declarada otra métrica con el mismo Gateway para que se relacione con la métrica creada en el Firewall?
Respuesta a la segunda aclaración de la pregunta
Creo que no; si he entendido bien cómo tienes la red, los PC's sólo necesitan tener la dirección del gateway, que es el que luego se encarga de realizar los encaminamientos a uno u otro router.
De todas maneras, como ya te comenté, no soy ni mucho menos un experto en estos temas, lo mejor es que intentes confirmar lo que te comento y busques información adicional como la del enlace que te adjunté.
