Witryna klienta nie ma adresów IP, chce przejść z maski sieci / 24 na / 12… Zły pomysł?

22

Jedna z moich stron klienckich zadzwoniła, aby poprosić mnie o zmianę masek podsieci serwerów Linux, którymi tam zarządzam, podczas gdy zmieniają adres IP / zmieniają maskę swojej sieci w oparciu o schemat 10.0.0.x.

„Czy możesz zmienić maski sieciowe serwera Linux z 255.255.255.0 na 255.240.0.0?”

Masz na myśli 255.255.240.0?

„Nie, 255.240.0.0.”

Czy na pewno potrzebujesz tylu adresów IP?

„Tak, nigdy nie chcemy zabraknąć adresów IP”.

Szybkie sprawdzenie w celu sprawdzenia ściągawki podsieci pokazuje:

  • 255.255.255.0 maska: A / 24 zapewnia 256 gospodarzy. Widać wyraźnie, że organizacja może wyczerpać taką liczbę adresów IP.
  • 255.240.0.0 maska: A / 12 zapewnia 1,048,576 gospodarzy. To jest mała strona <200 użytkowników. Wątpię, czy przydzielą więcej niż 400 adresów IP, kiedykolwiek ... Może 500, ale w tym momencie należy ustanowić więcej podsieci / sieci VLAN.

Zasugerowałem coś, co zapewnia mniej hostów, np. / 22 lub / 21 (odpowiednio 1024 i 2048 hostów), ale nie byłem w stanie podać konkretnego powodu, aby nie używać podsieci / 12.

Czy jest coś, o co powinien się martwić ten klient? Czy są jakieś konkretne powody, dla których nie powinni używać tak niesamowicie dużej maski w swoim środowisku?

networking subnet ip-address network-design ewwhite
źródło
Argument powinien koncentrować się bardziej na tym, czy powinny one mieć lub mogą mieć wszystkie przyszłe adresy w tej samej podsieci, czy też mogą wymagać podziału podsieci. Następnie przywołaj problem ze skalowaniem ARP.
Skaperen
3
Zdecydowanie nie chcesz tego robić. Istnieją aplikacje, które będą ARP dla każdego prawidłowego adresu IP w podsieci. Naprawdę chcesz, żeby to było ograniczone. Ponadto, zużywając więcej adresów IP w tej jednej podsieci, faktycznie zwiększasz szansę na wyczerpanie adresów IP. (Mimo że w obu przypadkach jest wciąż bliski zeru.) To może być dobry moment, aby zastanowić się, czy wyrosły już z jednej podsieci.
David Schwartz,
2
Powinny migrować do IPv6. ;-).
Przywróć Monikę - M. Schröder,
Kradzież adresu IP bramy może odłączyć tę sieć od innych sieci (i Internetu). Miałem takie problemy w moich sieciach i to jest jeden z powodów, dla których umieszczam użytkowników, gości, serwer itp. W osobnych sieciach VLAN. Inne powody (bezpieczeństwo, ARP itp.) Są wymienione w innych komentarzach.
0xFF

Odpowiedzi:

25

  • Jak stwierdzono w innych odpowiedziach, posiadanie zbyt wielu hostów w domenie rozgłoszeniowej może naprawdę sprawić, że transmisje będą bałaganem.

    Będą potrzebowali dużej rozbudowy w podsieci, zanim stanie się potencjalnym problemem.

  • Planowanie przyszłego wzrostu staje się bałaganem.

    Dodanie dodatkowych witryn z własną przestrzenią IP staje się trudne, jeśli już umieściłeś niepotrzebnie duży ślad w dostępnej przestrzeni.

  • Granice bezpieczeństwa sieci wewnętrznej stają się niemożliwe.

    Przypisywanie różnych podsieci do różnych grup użytkowników i dzielenie serwerów o niskim poziomie bezpieczeństwa / serwerów o wysokim poziomie bezpieczeństwa / ograniczonych interfejsów zarządzania serwerami / pamięcią masową / urządzeniami sieciowymi wychodzi poza okno.

    Każdy laptop użytkownika, który wykrył wirusa w domu, może ARP zatruć sieć i zdjąć serwery lub zabezpieczyć je w środku. Nie ma sposobu, aby trzymać zagrożone urządzenie z dala od wrażliwych lokalizacji sieciowych, takich jak pozapasmowe interfejsy zarządzania serwerami. Literówka w niewinnej rekonfiguracji ustawień sieciowych może potencjalnie powodować konflikt adresów IP z dowolnym innym urządzeniem w sieci.

Jeśli nie planują rozbudowywać się w żaden sposób, który wymagałby więcej podsieci, i nie planują dodawania żadnej złożoności ani bezpieczeństwa do swojej sieci, to jest w porządku, ponieważ jest faktycznie identyczna z ich obecną konfiguracją sieci - ale jeśli pytają o to, oczywiście planują rozszerzenie.

W najlepszym wypadku niepotrzebne, aw najgorszym poważnie zły pomysł.

Shane Madden
źródło
Doskonałe wyjaśnienie!
ewwhite
7

Nie, nie ma nic złego w używaniu większej maski, jeśli liczba hostów w środku pozostaje taka sama.

Jedynym problemem jest to, że powoduje to, że administratorzy sieci stają się leniwi i nie wykonują właściwego podsieci, co powoduje, że duża liczba hostów znajduje się w tej samej domenie rozgłoszeniowej. Na przykład każde żądanie ARP jest rozgłoszeniem, a wszystkie maszyny (w tej samej domenie rozgłoszeniowej) muszą je przetworzyć (mimo że zwykle jedno z nich odpowiada). To samo dotyczy innych protokołów wykorzystujących rozgłaszanie.

Innym problemem może być przestrzeń adresowa, ponieważ 10/8 ma miejsce tylko dla 16/12 sieci, a jeśli kontynuują swoje / 12 żądań, mogą zmieścić tylko 15 więcej.

Niektóre programy zabezpieczające, które wykonują skanowanie portów / pingów, w celu wykrycia żywych hostów zajmą dużo więcej czasu niż teraz (jeśli je mają).

W przeciwnym razie nie ma to znaczenia. Jeśli masz tylko dwa hosty, wydajność będzie taka sama w przypadku a / 30 lub a / 8 - rozmiar sieci nie powoduje żadnych problemów z wydajnością.

mulaz
źródło
Zasugerowałem to samo i zostałem za to głosowany. Możesz kontrolować problem z transmisją za pomocą funkcji VLAN.
mdpc,
To jest pojedyncza lokalizacja, więc nie sądzę, żeby planowano dodatkowe / 12. Oprogramowanie zabezpieczające i kamery IP JEST mieszane.
ewwhite
3
@mdpc Nie można kontrolować transmisji za pomocą sieci VLAN, jeśli wszystkie hosty znajdują się w jednej podsieci ... w jednej sieci VLAN ...
HostBits
Różne sieci VLAN w tej samej podsieci są po prostu złą architekturą i faktycznie powodują problemy, gdy hosty próbują ze sobą rozmawiać.
Falcon Momot,
6

Argumenty przemawiające przeciwko niemu to, że masz większą domenę rozgłoszeniową i nie mieliby oni tylu dodatkowych podsieci dostępnych od 10.XXX

Aby odeprzeć argument dotyczący transmisji, jeśli planują jedynie przyszły wzrost, wpływ na obecną sieć powinien być znikomy. Możesz także ograniczyć serwery DHCP, aby dystrybuowały tylko niewielką część pełnej podsieci, aby kontrolować rzeczy, dopóki naprawdę nie będzie potrzebnych więcej adresów IP.

Osobiście nadal będę się temu sprzeciwiać, ponieważ jest to zbędne. Zidentyfikuj liczbę potrzebnych adresów hostów i projektuj dla przyszłego rozwoju, a nie tylko wyrzuć tam ogromną podsieć.

HostBits
źródło
4

Poprzedni pracodawca miał duży dział, który postanowił przeprojektować swoją sieć wydziałów wokół / 16. Pomimo tego, że ten konkretny dział miał wiele lokalizacji za pośrednictwem łączy o stosunkowo dużych opóźnieniach (łącza szerokopasmowe na terenie gminy). To działało dla nich, a stało się to dziesięć lat temu, gdy łącza Gig były powszechne tylko w centrum danych i w łączach dystrybucyjnych.

O ile mi wiadomo, nigdy nie mieli problemów z transmisją. Jak powiedziałem, było to około dekadę temu, gdy wiele głupszych urządzeń obsługiwało transmisję; nowoczesne urządzenia nawet nie powinny się nad tym zastanawiać. Ta konkretna sieć miała około dwa razy więcej węzłów niż Ty.

To znaczy, nie ma nic złego w tak dużej podsieci, o ile Twoja sieć może to obsłużyć .

sysadmin1138
źródło