Il sito del cliente ha esaurito gli indirizzi IP, desidera passare da / 24 a / 12 netmask ... Cattiva idea?

22

Uno dei miei siti client mi ha chiamato per chiedermi di cambiare le subnet mask dei server Linux che gestisco lì mentre re-IP / cambiano la maschera di rete della loro rete in base a uno schema 10.0.0.x.

"Puoi cambiare le maschere di rete del server Linux da 255.255.255.0 a 255.240.0.0?"

Intendi 255.255.240.0?

"No, 255.240.0.0."

Sei sicuro di aver bisogno di tanti indirizzi IP?

"Sì, non vogliamo mai rimanere senza indirizzi IP."

Un rapido controllo sul cheat sheet della sottorete mostra:

  • una maschera di rete 255.255.255.0 , a / 24 fornisce 256 host. È chiaro che un'organizzazione può esaurire quel numero di indirizzi IP.
  • una maschera di rete 255.240.0.0 , a / 12 fornisce 1.048.576 host. Questo è un piccolo sito <200 utenti. Dubito che avrebbero assegnato più di 400 indirizzi IP, mai ... Forse 500, ma a quel punto, dovrebbero essere stabilite più sottoreti / VLAN.

Ho suggerito qualcosa che fornisce meno host, come a / 22 o / 21 (rispettivamente 1024 e 2048 host), ma non sono stato in grado di fornire un motivo specifico per non usare la sottorete / 12.

C'è qualcosa di cui questo cliente dovrebbe preoccuparsi? Ci sono ragioni specifiche per cui non dovrebbero usare una maschera così grande nel loro ambiente?

networking  subnet  ip-address  network-design 
ewwhite
fonte
L'argomento dovrebbe concentrarsi maggiormente sulla necessità o meno di avere tutti gli indirizzi futuri all'interno della stessa sottorete o se potrebbe essere necessario dividere le sottoreti. Quindi solleva il problema del ridimensionamento ARP.
Skaperen,
3
Non vorrai assolutamente farlo. Esistono applicazioni che eseguiranno l'ARP per ogni IP valido nella sottorete. Vuoi davvero che sia limitato. Inoltre, consumando più indirizzi IP con questa sottorete, aumenti effettivamente la possibilità di rimanere senza indirizzi IP. (Sebbene sia ancora vicino allo zero in entrambi i casi.) Potrebbe essere un buon momento per considerare se hanno già superato una singola sottorete.
David Schwartz,
2
Dovrebbero migrare verso IPv6. ;-).
Ripristina Monica - M. Schröder il
Il furto dell'indirizzo IP del gateway potrebbe disconnettere quella rete da altre reti (e Internet). Ho avuto tali problemi nelle mie reti e questo è uno dei motivi per cui inserisco utenti, guest, server, ecc. In VLAN separate. Altri motivi (sicurezza, ARP, ecc.) Sono menzionati in altri commenti.
0xFF,

Risposte:

25

  • Come affermato in altre risposte, avere troppi host nel dominio di trasmissione può davvero iniziare a creare confusione nelle trasmissioni.

    Avranno bisogno di molta espansione nella sottorete prima che diventi un potenziale problema.

  • La pianificazione della crescita futura diventa un disastro.

    L'aggiunta di siti extra con il proprio spazio IP diventa difficile quando hai già lasciato un'impronta inutilmente enorme nello spazio disponibile.

  • I limiti di sicurezza della rete interna diventano impossibili.

    L'assegnazione di diverse sottoreti a diversi gruppi di utenti e la suddivisione di server a bassa sicurezza / server ad alta sicurezza / interfacce di gestione ristrette di server / dispositivi di archiviazione / rete esce dalla finestra.

    Qualsiasi laptop dell'utente precedente che ha rilevato un virus a casa può ARP avvelenare la rete e distruggere i server o man-in-the-middle. Non hai modo di tenere un dispositivo compromesso lontano da posizioni di rete sensibili, come interfacce di gestione fuori banda dei server. Un errore di battitura in una riconfigurazione innocente delle impostazioni di rete può potenzialmente entrare in conflitto IP con qualsiasi altro dispositivo sulla rete.

Se non hanno intenzione di crescere in alcun modo che richiederebbe più sottoreti e di non aggiungere mai complessità o sicurezza alla propria rete, allora va bene, dal momento che è effettivamente identico alla loro attuale configurazione di rete, ma se Lo stai chiedendo, ovviamente stanno progettando di espandersi.

Inutile nel migliore dei casi e seriamente cattiva idea nel peggiore dei casi.

Shane Madden
fonte
Spiegazione eccellente!
ewwhite,
7

No, non c'è niente di sbagliato nell'usare una maschera più grande, se il numero di host all'interno rimane lo stesso.

L'unico problema è che ciò fa sì che gli amministratori di rete diventino pigri e non eseguano correttamente le subnet, causando un gran numero di host nello stesso dominio di trasmissione. Ad esempio, ogni richiesta ARP è una trasmissione e tutte le macchine (nello stesso dominio di trasmissione) devono elaborarla (anche se di solito una risponde). Lo stesso vale per altri protocolli che utilizzano la trasmissione.

Altro problema potrebbe essere lo spazio degli indirizzi, poiché 10/8 ha spazio solo per 16/12 reti e se continuano con le loro / 12 richieste, possono adattarsi solo a 15 in più.

Alcuni software di sicurezza, che eseguono il port / pingscan, per scoprire host dal vivo impiegheranno molto più tempo di adesso (se ce l'hanno).

Altrimenti, non importa. Se hai solo due host, le prestazioni saranno le stesse con un / 30 o un / 8 - le dimensioni della rete non causano alcun problema di prestazioni.

Mulaz
fonte
Ho suggerito lo stesso ed è stato votato in negativo per questo. È possibile controllare il problema di trasmissione utilizzando la funzionalità VLAN.
mdpc,
Questa è una singola posizione, quindi non credo che altri / 12 fossero pianificati. Il software di sicurezza e telecamera IP è nel mix.
ewwhite,
3
@mdpc Non puoi controllare le trasmissioni con VLAN se tutti gli host sono in una sottorete ... in una VLAN ...
HostBits
VLAN diverse sulla stessa sottorete sono semplicemente una cattiva architettura e in realtà creano problemi quando gli host tentano di comunicare tra loro.
Falcon Momot,
6

Gli argomenti contro di essa che vedo sono che hai quindi un dominio di trasmissione più grande e non avrebbero tante sottoreti aggiuntive disponibili da 10.XXX

Per contrastare l'argomento delle trasmissioni, se stanno solo pianificando una crescita futura, l'impatto sulla rete attuale dovrebbe essere trascurabile. Potresti anche limitare i tuoi server DHCP a distribuire solo una piccola parte della sottorete completa per controllare le cose fino a quando non saranno realmente necessari più IP.

Personalmente vorrei ancora discutere contro di farlo, in quanto non necessario. Identifica il numero di indirizzi host necessari e proietta per la crescita futura piuttosto che lanciare un'enorme sottorete.

bit di host
fonte
4

Un precedente datore di lavoro aveva un dipartimento di grandi dimensioni che aveva deciso di ridisegnare la propria rete dipartimentale intorno a / 16. Anche se questo particolare dipartimento aveva più siti attraverso collegamenti a latenza relativamente alta (banda larga dell'area municipale). Funzionava per loro, e questo accadeva un decennio fa quando i collegamenti Gig erano comuni solo nel datacenter e nei collegamenti di distribuzione.

Per quanto ne sapevo, non hanno mai avuto problemi con i problemi di trasmissione. Come ho detto, questo è stato circa un decennio fa con dispositivi molto più stupidi che gestiscono il traffico di trasmissione; i dispositivi moderni non dovrebbero nemmeno pensarci due volte. Questa particolare rete aveva circa il doppio dei nodi che avevi.

Vale a dire, non c'è niente di sbagliato in una sottorete così grande, a condizione che la rete sia in grado di gestirla .

sysadmin1138
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.