Esistono troppi indirizzi IP?


8

Abbiamo avviato un piccolo dibattito in ufficio e ho raggiunto il punto in cui non ho più le conoscenze tecniche per continuare.

C'è qualcosa come avere troppi indirizzi IP? Non sto suggerendo di usare l'intero privato 10. * Classe A, ma non vedo perché non potremmo farlo anche se lo volessimo.

Onestamente penso che la "frammentazione della sottorete" sia un modo di pensare obsoleto, ma voglio continuare la discussione tecnica.

Attualmente, la nostra subnet mask primaria è configurata per utilizzare 4 classi B, il che è eccessivo in termini di numero assoluto di indirizzi IP disponibili, per la nostra piccola impresa.

Ma la domanda è: quali problemi (se presenti) crea un ampio spazio IP privato?


1
La classe A / B / C / D non è stata utilizzata in 10 anni? Ecco le tue prime munizioni :)
Mark Henderson, il

Non ho capito bene. Pensavo che il CIDR fosse del tutto prevalente, tanto più negli ultimi 10 anni. Forse dovrei smettere di dire Classe A / B / C / D e iniziare a dire / 8, / 16, / 24, / 32? (Ho pensato che fossero la stessa cosa, ma forse è stato un errore mio.)
VxJasonxV

1
Classe D = / = / 32. Sto solo dicendo :) La maggior parte delle persone sa cosa intendi quando dici "classe A", ma tecnicamente si riferisce a un IP che inizia con 00 binario, non a una rete di una determinata dimensione. "Slash 8" è normalmente quello che dico invece.
Bill Weiss,

Risposte:


5

La conformità a vari standard diventerà impossibile, la protezione delle reti diventa più difficile, un virus si diffonderà più facilmente, la qualità del servizio diventa più difficile, le tabelle MAC / CAM diventano piene.

Ci sono ancora tutti i tipi di problemi con il raggruppare tutto in un secchio.

Inoltre, non dimenticare che la velocità delle LAN aumenta, così come gli usi. Soprattutto quando si tratta del data center. Molti posti corrono con un utilizzo del 50% in più sui loro bauli. Ne ho visti alcuni che superano costantemente il 65% su tronchi da 10 gig. Di 'a quelle persone di aggiungere traffico non necessario.

L'uso di sottoreti di grandi dimensioni per nessun motivo diverso da "impossibile" va bene quando sei un posto minuscolo che in realtà non ha bisogno di più di 2 VLAN. Una volta che lasci il mondo delle piccole imprese, le cose aumentano un po 'di complessità.

L'altra ragione ovvia sarebbe quella di impedire il riempimento delle tabelle CAM, che può essere causa di interruzioni a seconda dell'implementazione nel firmware per come vengono gestite le cose con i riempimenti della tabella degli switch.


9

L'unico problema è rappresentato dai possibili conflitti durante la connessione alle reti dei partner o durante fusioni / acquisizioni. Alcuni di questi problemi possono essere mitigati utilizzando NAT di origine e destinazione su dispositivi periferici. Inoltre, solo perché usi 10.1.0.0/24 non significa che non incontrerai esattamente gli stessi problemi.


1
È anche molto bello avere per motivi di sicurezza. Per non parlare del fatto che finirai per avere troppe trasmissioni in corso. Con l'aumentare della velocità degli interruttori e la "necessità scompare", diamo anche sempre più importanza al fatto che la LAN rimanga sempre attiva.
Sclarson,

5

Non proprio - fintanto che limiterai la quantità di dispositivi effettivi a qualcosa che la rete gestirà ... ma, di nuovo, perché avere una quantità così grande di nodi possibili in quella rete se non li utilizzerai tutti?

Le reti di segmentazione sono utili per molte cose, tra cui fornire una struttura logica e una panoramica, rafforzare la sicurezza suddividendo ruoli e / o posizioni in reti diverse e quindi quarta.

Una cosa a cui la gente di solito non pensa è quella di dividere stampanti e altri dispositivi di rete altamente vulnerabili e non protetti nella propria rete - con accesso solo per dire un server di stampa specifico. E poi ci sono tutti i soliti a seconda delle esigenze di sicurezza delle informazioni della tua organizzazione.

La sicurezza viene fornita con livelli, la segmentazione della rete è una delle tante per rendere le cose meno vulnerabili ai problemi di sicurezza (= accesso, integrità e disponibilità).


2
Sono generalmente d'accordo. Non sono a bordo con l'organizzazione "logica" dei dispositivi per sottorete, a meno che non ci sia un problema di traffico o la necessità di filtrare il traffico. Interessante che tu abbia menzionato mettere le stampanti in un livello isolato 2 con accesso limitato. Ho cercato di farlo conoscere alle persone per anni con diversi gradi di successo. Alcune persone (in genere non IT) in posizioni di autorità si affidano implicitamente alla stampa. Pertanto, un possibile hack "di ingegneria sociale" implicherebbe la modifica / falsificazione dell'output stampato. Hai mai sentito parlare di detenuti rilasciati dal carcere sulla base di fax falsi? Succede!
Evan Anderson,

Non ho mai nemmeno sentito parlare di un detenuto liberato sulla base di un fax. Deve essere un problema locale. ;)
John Gardeniers,

Ebbene, questi due sono dalla Florida e Kentucky, rispettivamente, quindi sono sicuro che ci fosse una qualche influenza locale ... eh eh ... heraldtribune.com/article/20090716/ARTICLE/... e freerepublic.com/focus/f-news / 1821482 / posts
Evan Anderson,

1
C'è una ragione per cui Fark ha una categoria "Florida" dedicata, FWIW.
VxJasonxV,

Oh sì, eh. Nessun commento sul commento del Kentucky; D.
VxJasonxV,

2

Il problema che vedo con molti IP non sta limitando il dominio di trasmissione. D'altra parte con gli switch da 1 Gb, non posso davvero dire che contano più tonnellate, a meno che tu non stia cercando di scavare attraverso i registri di switch e firewall.


1

Oltre ai potenziali conflitti con le reti dei partner connesse tramite VPN, nessun problema.

Quello che di solito consiglio è di usare / 24 pezzi comunque, indipendentemente dalla gamma da cui li dividi. Quindi, diciamo, si assegna 10.27.1 / 24 all'ufficio, 10.27.2 / 24 alla subnet DB nel data center, 10.27.3 / 24 alla subnet delle app nel data center, 10.27.100 / 24 per la VPN clienti e così via.


1
Ora sembra un lavoro extra senza motivo, oltre ad aggiungere ulteriore carico sui dispositivi di livello 3.
Doug Luxem,

1
È il 2009; questo non è un problema a meno che non esagerare.
Duffbeer703,

1
@Dlux Supponevo una rete instradata, non una topologia piatta. Guarda gli esempi che ho dato, quelli di solito sono reti separate fisicamente, con il routing in mezzo. Se è piatto, non è necessario frammentarlo (ma è comunque possibile se lo si sceglie).
Florin Andrei,

1
Vedo quello che stai dicendo ora. :) In generale, eseguivo la sottorete in partizioni / zone di sicurezza, che è praticamente ciò che hai detto.
Doug Luxem,

2
Esistono solo due motivi per subnetare una LAN Ethernet commutata: mitigare i problemi di prestazioni (traffico di trasmissione eccessivo o inondazioni di frame verso destinazioni sconosciute) o imporre funzioni di filtro pacchetti a livello 3 o superiore nei "punti di strozzatura" dove i router spostano i pacchetti tra sottoreti (in genere per sicurezza). Qualsiasi altro motivo (estetico, principalmente-- "Voglio che tutti i computer xxx siano nella stessa sottorete perché sembra carino ...") è un motivo non valido.
Evan Anderson,

1

A seconda della dimensione della sottorete, le trasmissioni potrebbero essere un problema, sebbene a seconda della velocità della rete potrebbero non esserlo.

Uno svantaggio è tuttavia che stai limitando la tua capacità di espansione futura. Potresti aver bisogno di una sola sottorete ora, ma chi può dire che non ti servirà di più in futuro? È possibile che si espanda, che si desideri impostare sottoreti separate per alcune parti della rete e così via.

Vorrei anche abbandonare il pensiero "di classe" e utilizzare CIDR per le tue sottoreti. Le lezioni non esistono più al di fuori dei corsi universitari e dei libri di storia e il CIDR ti dà molta più flessibilità.

Una buona regola empirica con queste cose è prendere ciò che pensi di aver bisogno e raddoppiarlo, quindi se hai 50 host (e non dimenticare di includere server, stampanti, switch, ecc. Qui) una maschera di rete a 25 bit (che ti dà 128 host, meno 2 per la rete e la trasmissione) copriranno ciò di cui hai bisogno e ti daranno un po 'di margine.


0

Bene, lo Switch collegato al tuo server Uber-IP ha un numero limitato di voci disponibili nella tabella ARP. Inoltre vedresti molti ARP gratuiti sul tuo Broadcast Domin.


1
.... e swicthes non fanno ARP
Javier

1
Darei a tutti e due un rappresentante per questo, se potessi. In realtà, ti ho votato, DLux, quindi credo di poterlo fare. Sono così stanco di sentire parlare di switch e "tabelle ARP" quando le persone intendono dire "bridge / tabelle MAC".
Evan Anderson,

2
@sparks: i dispositivi di livello 3 hanno tabelle ARP. Gli switch, che operano rigorosamente al livello 2, non hanno tabelle ARP. Se lo switch ha un'interfaccia di gestione che comunica al livello 3 o un motore di routing, tali dispositivi avranno tabelle ARP.
Evan Anderson,

1
Trovo utile spiegare "switch di livello 3" come switch di livello 2 (che spiego come bridge multiporta) con un router molto veloce nascosto all'interno. Provo a spiegare la funzionalità di routing separatamente dalla funzionalità di commutazione. La scatola fa entrambe le cose, ma parti diverse della scatola fanno cose diverse. (Anche alcuni vecchi moduli di supervisione Catalyst funzionavano in questo modo: c'era un router di silicio seduto sul blade SUP e aveva una sua interfaccia di gestione.)
Evan Anderson

1
uno switch è un bridge multiporta. tutto ciò che è meglio compreso è un dispositivo separato integrato nella stessa scatola
Javier,

0

Nessuno a cui riesco a pensare oltre all'essere leggermente più difficile da configurare (e possibilmente amministrare). E poi c'è il problema della diminuzione della quantità di indirizzi IP (fino a IPV6).


L'affermazione di "indirizzamento IP privato" e l'esempio dell'uso di un 10/14 rendono un po 'irrilevante la "quantità decrescente di indirizzi IP".
VxJasonxV,

0

Una rete che ho ereditato era piena di / 16s .. cioè 10.1.xx, 10.2.xx.

È stato bello per raggruppare le gamme di ip e si può guardare un IP e sapere esattamente cosa fosse .. Oh, il 10.4.20.Xs sono tutti database, ecc ... MA ...

Alla fine abbiamo dovuto ripulirlo e trovare tutti gli IP casuali fuori dagli schemi era un lavoro ingrato.

È molto più semplice eseguire una scansione ping nmap di a / 24 rispetto a / / 16.

Nella riprogettazione, abbiamo optato per / 22s. (1024 ips)

Penso che una regola generale di allocazione per ciò di cui hai bisogno oggi con un overhead sano per crescere sia una buona pratica.


0

Vorrei iniziare con il numero massimo di dispositivi che sarebbero mai stati su una rete e raddoppiarlo o triplicarlo, quindi vedere se avevo abbastanza reti. Usando la rete TEN non dovrebbe essere difficile trovare un equilibrio. Ad esempio, supponiamo che 100 dispositivi fossero il massimo. Se scegli / 22 come maschera avresti 16.384 reti che potrebbero avere 1022 dispositivi:

Mask:255.255.252.0   Host/Net - 1022
Network          Broadcast
10.0.0.0         10.0.3.255
10.0.4.0         10.0.7.255
10.0.8.0         10.0.11.255
10.0.12.0        10.0.15.255
10.0.16.0        10.0.19.255
10.0.20.0        10.0.23.255
10.0.24.0        10.0.27.255
10.0.28.0        10.0.31.255
10.0.32.0        10.0.35.255
10.0.36.0        10.0.39.255
10.0.40.0        10.0.43.255
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.