Müşteri sitesi IP adresleri dışında, / 24'ten / 12 ağ maskesine gitmek istiyorlar. Kötü fikir?

22

Müşteri sitelerimden biri, orada yönettiğim Linux sunucularının alt ağ maskelerini değiştirmemi istedi ve 10.0.0.x şemasını temel alarak ağlarının ağ maskesini yeniden IP'ye değiştirdi.

"Linux sunucu ağ maskelerini 255.255.255.0'dan 255.240.0.0'a değiştirebilir misiniz?"

255.255.240.0 mı demek istiyorsun?

"No, 255.240.0.0."

Bu kadar IP adresine ihtiyaç duyduğunuzdan emin misiniz?

“Evet, hiçbir zaman IP adreslerinin tükenmesini istemeyiz.”

Alt Ağ Hile Sayfasına karşı hızlı bir kontrol şunları gösterir:

  • Bir 255.255.255.0 maskesi, bir / 24 256 ana içerir. Bir kuruluşun bu kadar IP adresini tüketebileceğini görmek açıktır.
  • Bir 255.240.0.0 maskesi, bir / 12 1.048.576 ana içerir. Bu küçük bir <200 kullanıcılı sitedir. Şimdiye kadar 400'den fazla IP adresi tahsis edeceklerinden şüpheliyim ... Belki 500, ama bu noktada, daha fazla alt ağ / VLAN kurulmalıdır.

A / 22 veya / 21 gibi daha az sayıda ana bilgisayar sağlayan bir şey önerdim (sırasıyla 1024 ve 2048 ana bilgisayar), ancak / 12 alt ağını kullanmaya karşı belirli bir neden veremedim .

Bu müşterinin ilgilenmesi gereken bir şey var mı? Ortamlarında inanılmaz derecede büyük bir maske kullanmamaları için belirli sebepler var mı?

networking  subnet  ip-address  network-design 
ewwhite
kaynak
Argüman, gelecek alt adreslerin hepsinin aynı alt ağ içinde olup olmaması ya da olmamasına ya da alt ağları bölmeleri gerekip gerekmediğine odaklanmalıdır. Ardından ARP ölçeklendirme sorununu gündeme getirin.
Skaperen
3
Bunu kesinlikle yapmak istemiyorsun. Alt ağdaki her geçerli IP için ARP uygulayacak uygulamalar vardır. Bunun sınırlandırılmasını gerçekten istiyorsun. Ayrıca, bu bir alt ağla daha fazla IP adresi tüketerek, aslında IP adreslerinin tükenme olasılığını artırırsınız . (Her iki durumda da hala sıfıra yakın olmasına rağmen.) Bu, zaten tek bir alt ağ oluşturduklarını düşünmek için iyi bir zaman olabilir.
David Schwartz
2
IPv6'ya geçmelidirler. ;-).
Monica'yı eski durumuna getirin - M. Schröder
Ağ geçidinin IP adresini çalmak, bu ağın diğer ağlardan (ve İnternetten) bağlantısını kesebilir. Ağlarımda bu tür sorunlar yaşadım ve kullanıcıları, misafirleri, sunucuları vb. Ayrı VLAN'lara yerleştirmemin nedenlerinden biri de bu. Diğer açıklamalarda diğer nedenlerden (güvenlik, ARP, vb.) Bahsedilmiştir.
0xFF,

Yanıtlar:

25

  • Diğer cevaplarda belirtildiği gibi, yayın alanında çok fazla sayıda ana bilgisayara sahip olmak yayınları gerçekten karışıklık çıkarmaya başlayabilir.

    Potansiyel bir problem haline gelmeden önce alt ağda çok genişlemeye ihtiyaçları olacak.

  • Gelecekteki büyüme planlaması bir karmaşaya dönüşür.

    Kullanılabilir alanda zaten gereksiz yere devasa bir ayak izi bıraktığınızda, kendi IP alanlarına ek siteler eklemek zorlaşır.

  • Dahili ağ güvenliği sınırları imkansız hale gelir.

    Farklı kullanıcı gruplarına farklı alt ağlar atamak ve düşük güvenlikli sunucular / yüksek güvenlikli sunucular / sunucuların / depolama / ağ cihazlarının kısıtlı yönetim arayüzlerini bölmek pencereden dışarı çıkar.

    Herhangi bir kullanıcının evinde virüs alan dizüstü bilgisayarı ARP, ağı zehirleyebilir ve sunucuları aşağı veya ortadaki adamlara götürebilir. Tehdit altındaki bir cihazı, sunucuların bant dışı yönetim arabirimleri gibi hassas ağ konumlarından uzak tutmanın hiçbir yolu yoktur. Ağ ayarlarının masum bir yeniden yapılandırmasındaki bir yazım hatası, potansiyel olarak ağdaki diğer herhangi bir aygıtla IP çakışmasına neden olabilir.

Eğer daha fazla alt ağ gerektirecek herhangi bir şekilde büyümeyi planlamıyorlar ve ağlarına herhangi bir karmaşıklık veya güvenlik eklemeyi planlamıyorlarsa, sorun değil, çünkü mevcut ağ konfigürasyonları ile etkin bir özdeştir. Bunu istiyorlar, açıkça genişletmeyi planlıyorlar.

En iyisine gerek yok, en kötüsü de cidden kötü bir fikir.

Shane Madden
kaynak
Mükemmel açıklama!
saat
7

Hayır, içindeki ana bilgisayar sayısı aynı kalıyorsa, daha büyük bir maske kullanmakta yanlış bir şey yoktur.

Tek sorun, bunun yapılması ağ yöneticilerinin tembelleşmesine ve uygun alt ağ yapmamasına neden olması ve aynı yayın alanında çok sayıda ana bilgisayarın bulunmasıdır. Örneğin, her bir ARP isteği bir yayındır ve tüm makineler (aynı yayın alanındaki) bunu işlemelidir (genellikle biri yanıt verse bile). Aynı yayın kullanarak diğer protokoller için de geçerli.

Diğer sorun, adres alanı olabilir, çünkü 10/8 yalnızca 16/12 ağlar için alan var ve / 12 isteklerine devam ederse, yalnızca 15 kişiye daha uyabilir.

Canlı hostları keşfetmek için port / pingcans yapan bazı güvenlik yazılımları, şimdi olduğundan çok daha fazla zaman alacaktır (eğer varsa).

Aksi takdirde, önemli değil. Yalnızca iki ana makineniz varsa, performans a / 30 veya a / 8 ile aynı olacaktır - ağın boyutu herhangi bir performans sorununa neden olmaz.

mulaz
kaynak
Ben de aynısını önerdim ve bunun için oy kullandım. VLAN işlevini kullanarak yayın sorununu kontrol edebilirsiniz.
mdpc
Bu tek bir konumdur, bu yüzden ilave / 12'nin planlandığını sanmıyorum. Güvenlik ve IP kamera yazılımı karışımı IS.
ewwhite
3
@mdpc Tüm ana bilgisayarlar tek bir alt ağdaysa, VLAN'larla yayınları kontrol edemezsiniz ... bir
VLAN'da
Aynı alt ağdaki farklı VLAN'lar basit bir mimari değildir ve ana bilgisayarlar birbirleriyle konuşmaya çalışırken aslında sorunlar yaratır.
Falcon Momot
6

Buna karşı karşılaştığım argümanlar, daha sonra daha büyük bir yayın etki alanına sahip olduğunuz ve 10.XXX’ten daha fazla ek alt ağa sahip olmadıkları anlamına geliyor.

Yayınlar argümanına karşı koymak için, eğer sadece gelecekteki büyümeyi planlıyorlarsa, mevcut ağ üzerindeki etki ihmal edilebilir olmalıdır. DHCP sunucularınızı, daha fazla IP gerçekten gerekene kadar işleri kontrol etmek için tam alt ağın sadece küçük bir kısmını dağıtacak şekilde sınırlayabilirsiniz.

Gereksiz olduğu gibi şahsen hala buna karşı çıkacağımı iddia ediyorum. İhtiyaç duyulan ana bilgisayar adreslerinin sayısını belirleyin ve yalnızca büyük bir alt ağ oluşturmak yerine, gelecekteki büyüme projelerini belirleyin.

HostBits
kaynak
4

Daha önceki bir işveren, büyük bir departman, departman ağlarını 16/16 civarında yeniden tasarlamaya karar vermişti. Her ne kadar bu özel departman nispeten yüksek gecikmeli bağlantılarda birden fazla alana sahip olsa da (belediye alanı geniş bantlı). Onlar için işe yaradı ve bu on yıl önce Gig bağlantılarının sadece veri merkezinde ve dağıtım bağlantılarında yaygın olduğu bir dönem oldu.

Farkında olduğum sürece, yayınla ilgili hiçbir problem yaşamadılar. Dediğim gibi, bu yayın yaklaşık on yıl önce yayın trafiğini işleyen daha aptal cihazlarla gerçekleşti; modern cihazlar bunun hakkında iki kez düşünmemeliler bile. Bu özel ağda sahip olduğunuz düğümlerin yaklaşık iki katı vardı.

Söylemek istediğim, bu kadar büyük bir alt ağda yanlış bir şey yok , ağınız bunu kaldırabildiği sürece .

sysadmin1138
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.