У сайта клиента нет IP-адресов, он хочет перейти от / 24 до / 12 сетевой маски… Плохая идея?

22

Один из моих клиентских сайтов позвонил, чтобы попросить меня изменить маски подсетей серверов Linux, которыми я там управляю, в то время как они переопределяют IP / меняют сетевую маску своей сети на основе схемы 10.0.0.x.

«Можете ли вы изменить сетевые маски сервера Linux с 255.255.255.0 на 255.240.0.0?»

Вы имеете в виду 255.255.240.0?

«Нет, 255.240.0.0.»

Вы уверены, что вам нужно столько IP-адресов?

«Да, мы никогда не хотим исчерпать IP-адреса».

Быстрая проверка по Шпаргалке Подсети показывает:

  • 255.255.255.0 маска подсети, а / 24 обеспечивает 256 хостов. Понятно, что организация может исчерпать это количество IP-адресов.
  • 255.240.0.0 маска подсети, а / 12 обеспечивает 1048576 хозяев. Это небольшой сайт <200 пользователей. Я сомневаюсь, что они будут выделять более 400 IP-адресов, когда-либо ... Может быть, 500, но на этом этапе необходимо создать больше подсетей / VLAN.

Я предложил что-то, что предоставляет меньше хостов, например / 22 или / 21 (1024 и 2048 хостов соответственно), но не смог дать конкретную причину против использования подсети / 12.

Есть ли что-то, о чем этот клиент должен беспокоиться? Есть ли какие-то конкретные причины, по которым им не следует использовать такую ​​невероятно большую маску в своей среде?

ewwhite
источник
Аргумент должен фокусироваться больше на том, должны ли они иметь или могут иметь все будущие адреса в одной подсети, или им может понадобиться разделить подсети. Затем поднимите вопрос масштабирования ARP.
Skaperen
3
Вы определенно не хотите этого делать. Есть приложения, которые будут ARP для каждого действительного IP в подсети. Вы действительно хотите, чтобы это было ограничено. Кроме того, потребляя больше IP-адресов в одной подсети, вы фактически увеличиваете вероятность того, что у вас закончатся IP-адреса. (Хотя в обоих случаях он все еще близок к нулю.) Возможно, сейчас самое время подумать, не переросли ли они уже одну подсеть.
Дэвид Шварц
2
Они должны перейти на IPv6. ;-),
Восстановить Монику - М. Шредер
Кража IP-адреса шлюза может отключить эту сеть от других сетей (и Интернета). У меня были такие проблемы в моих сетях, и это одна из причин, по которой я помещаю пользователей, гостей, сервер и т. Д. В отдельные VLAN. Другие причины (безопасность, ARP и т. Д.) Упоминаются в других комментариях.
0xFF

Ответы:

25
  • Как указано в других ответах, слишком большое количество хостов в широковещательном домене действительно может привести к тому, что трансляции станут беспорядочными.

    Им потребуется большое расширение в подсети, прежде чем это станет потенциальной проблемой.

  • Планирование будущего роста становится беспорядком.

    Добавление дополнительных сайтов с собственным IP-пространством становится сложным, когда вы уже заняли ненужную огромную площадь в доступном пространстве.

  • Внутренние границы безопасности сети становятся невозможными.

    Назначение разных подсетей различным группам пользователей и разделение серверов с низким уровнем безопасности / серверов с высоким уровнем безопасности / ограниченных интерфейсов управления серверами / устройствами хранения / сетевыми устройствами выходит из окна.

    Любой ноутбук пользователя, который подхватил вирус дома, может ARP отравить сеть и сломать серверы или стать посредником. У вас нет возможности держать скомпрометированное устройство вдали от чувствительных сетевых расположений, таких как интерфейсы внеполосного управления серверами. Опечатка в невинной перенастройке настроек сети может потенциально конфликтовать с IP с любым другим устройством в сети.

Если они не планируют наращивать каким-либо образом, который когда-либо потребует большего количества подсетей, и не планируют когда-либо добавлять какую-либо сложность или безопасность в свою сеть, то это нормально, поскольку это фактически идентично их текущей конфигурации сети - но если они Вы просите об этом, они, очевидно, планируют расширение.

Ненужная в лучшем случае и серьезно плохая идея в худшем.

Шейн Мэдден
источник
Отличное объяснение!
ewwhite
7

Нет, нет ничего плохого в использовании большей маски, если количество хостов внутри остается неизменным.

Единственная проблема заключается в том, что при этом сетевые администраторы становятся ленивыми и не выполняют надлежащей подсети, что приводит к тому, что большое количество хостов находится в одном широковещательном домене. Например, каждый запрос ARP является широковещательным, и все машины (в одном и том же широковещательном домене) должны его обработать (хотя обычно один из них отвечает). То же самое касается других протоколов, использующих широковещательную рассылку.

Другой проблемой может быть адресное пространство, так как 10/8 имеет место только для 16/12 сетей, и если они продолжают свои / 12 запросов, они могут уместиться только на 15.

Некоторое программное обеспечение безопасности, которое делает порт / pingscans, чтобы обнаружить живые хосты, займет намного больше времени, чем сейчас (если они есть).

В противном случае это не имеет значения. Если у вас только два хоста, производительность будет одинаковой с / 30 или / 8 - размер сети не вызывает проблем с производительностью.

mulaz
источник
Я предложил то же самое, и за это проголосовали. Вы МОЖЕТЕ контролировать проблему трансляции, используя функциональность VLAN.
MDPC
Это единственное место, поэтому я не думаю, что были запланированы дополнительные / 12. Программное обеспечение для безопасности и IP-камеры находится в смеси.
Ewwhite
3
@mdpc Вы не можете контролировать широковещательные рассылки с VLAN, если все хосты находятся в одной подсети ... в одной VLAN ...
HostBits
Разные VLAN в одной подсети - просто плохая архитектура, и на самом деле они создают проблемы, когда хосты пытаются общаться друг с другом.
Сокол Момот
6

Я могу видеть аргументы против этого: у вас больше широковещательный домен, и у них не было бы столько дополнительных подсетей, доступных из 10.XXX

Чтобы противостоять аргументу широковещания, если они только планируют будущий рост, влияние на текущую сеть должно быть незначительным. Вы также можете ограничить свои DHCP-серверы распределением лишь небольшой части полной подсети для контроля, пока действительно не потребуется больше IP-адресов.

Я бы лично до сих пор возражал против этого, так как в этом нет необходимости. Определите количество необходимых адресов хостов и проектируйте для будущего роста, а не просто создавайте огромную подсеть.

биты хоста
источник
4

У предыдущего работодателя было большое подразделение, решившее перестроить свою сеть отделов вокруг / 16. Несмотря на то, что в этом конкретном департаменте было несколько сайтов по каналам с относительно высокой задержкой (широкополосная связь в муниципальном районе) Это сработало для них, и это произошло десять лет назад, когда ссылки Gig были распространены только в центрах обработки данных и в каналах распространения.

Насколько я знал, у них никогда не было проблем с трансляцией. Как я уже сказал, это было около десяти лет назад с большим количеством более глупых устройств, обрабатывающих широковещательный трафик; современные устройства не должны даже думать об этом дважды. В этой конкретной сети было примерно вдвое больше узлов, чем у вас.


То есть, нет ничего плохого в такой большой подсети, если ваша сеть может справиться с этим .

sysadmin1138
источник