Frage Die Kundenseite hat keine IP-Adressen, sie wollen von / 24 zu / 12 netmask gehen ... Schlechte Idee?


Eine meiner Client-Sites rief mich an, die Subnet-Masken der Linux-Server, die ich dort verwalte, zu ändern, während sie die Netzmaske ihres Netzwerks auf Basis eines 10.0.0.x-Schemas re-IP / ändern.

"Können Sie die Linux-Server-Netzmasken von 255.255.255.0 auf 255.240.0.0 ändern?"

Sie meinen, 255.255.240.0?

"Nein, 255.240.0.0."

Sind Sie sicher, dass Sie so viele IP-Adressen benötigen?

"Ja, wir wollen nie die IP-Adressen ausgehen."

Ein kurzer Check gegen die Subnetz-Spickzettel zeigt an:

  • ein 255.255.255.0 Netzmaske, a / 24 bietet 256 Hosts. Es ist klar, dass eine Organisation diese Anzahl von IP-Adressen ausschöpfen kann.
  • ein 255.240.0.0 netmask, a / 12 bietet 1.048.576 Hosts. Dies ist eine kleine <200-Benutzer-Site. Ich bezweifle, dass sie mehr als 400 IP-Adressen zuweisen würden, vielleicht ... 500, aber zu diesem Zeitpunkt sollten mehr Subnetze / VLANs eingerichtet werden.

Ich schlug etwas vor, das weniger Hosts zur Verfügung stellt, wie zB a / 22 oder / 21 (1024 bzw. 2048 Hosts), konnte aber keinen spezifischen Grund angeben gegen Verwenden des Subnetzes / 12.

Gibt es irgendetwas, worüber dieser Kunde besorgt sein sollte? Gibt es bestimmte Gründe, warum sie eine so unglaublich große Maske nicht in ihrer Umgebung verwenden sollten?


22
2017-12-08 22:55


Ursprung


Das Argument sollte sich mehr darauf konzentrieren, ob sie alle zukünftigen Adressen innerhalb des gleichen Subnetzes haben sollen oder können oder ob sie möglicherweise Subnetze aufteilen müssen. Rufen Sie dann das ARP-Skalierungsproblem auf. - Skaperen
Du willst das definitiv nicht machen. Es gibt Anwendungen, die ARP für jede gültige IP im Subnetz bereitstellen. Du willst wirklich, dass das begrenzt wird. Außerdem verbrauchen Sie tatsächlich mehr IP-Adressen mit diesem einen Subnetz erhöhen, ansteigen die Chance, dass Ihnen die IP-Adressen ausgehen. (In beiden Fällen ist es jedoch immer noch nahe Null.) Dies ist möglicherweise ein guter Zeitpunkt, um zu überlegen, ob sie bereits einem einzelnen Subnetz entwachsen sind. - David Schwartz
Sie sollten auf IPv6 migrieren. ;-). - Martin Schröder
Das Stehlen der IP-Adresse des Gateways könnte dieses Netzwerk von anderen Netzwerken (und dem Internet) trennen. Ich hatte solche Probleme in meinen Netzwerken und das ist einer der Gründe, warum ich Benutzer, Gast, Server usw. in separate VLANs setze. Andere Gründe (Sicherheit, ARP usw.) werden in anderen Kommentaren erwähnt. - 0xFF


Antworten:


  • Wie in anderen Antworten erwähnt, kann es zu Verwirrung führen, wenn zu viele Hosts in der Broadcast-Domäne vorhanden sind.

    Sie werden eine große Erweiterung im Subnetz benötigen, bevor es zu einem potenziellen Problem wird.

  • Zukünftige Wachstumsplanung wird ein Chaos.

    Das Hinzufügen von zusätzlichen Sites mit eigenem IP-Bereich wird schwierig, wenn Sie im verfügbaren Speicherplatz bereits unnötig viel Platz verbraucht haben.

  • Interne Netzwerksicherheitsgrenzen werden unmöglich.

    Das Zuweisen verschiedener Subnetze zu verschiedenen Benutzergruppen und das Aufteilen von Servern mit niedriger Sicherheit / Servern mit hoher Sicherheit / eingeschränkten Verwaltungsschnittstellen von Servern / Speicher- / Netzwerkgeräten wird nicht mehr angezeigt.

    Jeder Laptop eines alten Benutzers, der zu Hause einen Virus aufgeschnappt hat, kann ARP das Netzwerk vergiften und die Server herunter nehmen oder sie in die Mitte schieben. Sie haben keine Möglichkeit, ein kompromittiertes Gerät fern von sensiblen Netzwerkstandorten wie Out-of-Band-Managementschnittstellen von Servern zu halten. Ein Tippfehler bei einer unschuldigen Neukonfiguration der Netzwerkeinstellungen kann möglicherweise zu Konflikten mit anderen Geräten im Netzwerk führen.

Wenn sie nicht in irgendeiner Weise wachsen wollen, die jemals mehr Subnetze erfordern würde, und nicht planen, ihrem Netzwerk jemals Komplexität oder Sicherheit hinzuzufügen, dann ist es in Ordnung, da es im Grunde mit ihrer aktuellen Netzwerkkonfiguration identisch ist - aber wenn sie es sind Da sie darum bitten, planen sie offensichtlich eine Erweiterung.

Im besten Fall unnötig und im schlimmsten Fall eine ernsthaft schlechte Idee.


25
2017-12-08 23:57



Hervorragende Erklärung! - ewwhite


Nein, es ist nichts falsch daran, eine größere Maske zu verwenden, wenn die Anzahl der Hosts im Inneren gleich bleibt.

Das einzige Problem ist, dass dies dazu führt, dass Netzwerkadministratoren faul werden und Subnetze nicht ordnungsgemäß ausführen, was dazu führt, dass sich eine große Anzahl von Hosts in derselben Broadcast-Domäne befindet. Zum Beispiel ist jede ARP-Anfrage eine Übertragung, und alle Maschinen (in derselben Broadcast-Domäne) müssen sie verarbeiten (obwohl normalerweise eine antwortet). Gleiches gilt für andere Protokolle, die Broadcast verwenden.

Ein anderes Problem könnte der Adressraum sein, da 10/8 Platz für nur 16/12 Netzwerke hat und wenn sie mit ihren / 12 Anfragen fortfahren, können sie nur 15 mehr passen.

Einige Sicherheitssoftware, die Port / Pingscans verwendet, um Live-Hosts zu finden, wird viel mehr Zeit in Anspruch nehmen als jetzt (wenn sie es haben).

Ansonsten ist es egal. Wenn Sie nur zwei Hosts haben, ist die Leistung dieselbe wie bei einer / 30 oder einer / 8 - die Größe des Netzwerks verursacht keine Leistungsprobleme.


7
2017-12-08 23:09



Ich schlug das gleiche vor und wurde dafür abgelehnt. Sie können das Broadcast-Problem mithilfe der VLAN-Funktionalität steuern. - mdpc
Dies ist ein einzelner Ort, ich denke also nicht, dass zusätzliche / 12 geplant waren. Sicherheit und IP-Kamera-Software ist in der Mischung. - ewwhite
@mdpc Sie können Broadcasts mit VLANs nicht steuern, wenn sich alle Hosts in einem Subnetz befinden ... in einem VLAN ... - HostBits
Verschiedene VLANs im selben Subnetz sind einfach schlechte Architektur und verursachen tatsächlich Probleme, wenn Hosts versuchen miteinander zu sprechen. - Falcon Momot


Die Argumente dagegen, die ich sehen kann, sind, dass Sie dann eine größere Broadcast-Domain haben, und sie hätten ab 10.X.X.X nicht mehr so ​​viele zusätzliche Subnetze.

Um dem Argument des Rundfunks entgegenzuwirken, sollten die Auswirkungen auf das aktuelle Netzwerk, wenn sie nur für zukünftiges Wachstum planen, vernachlässigbar sein. Sie können Ihre DHCP-Server auch darauf beschränken, nur einen kleinen Teil des gesamten Subnetzes zu verteilen, um die Dinge zu steuern, bis wirklich mehr IPs wirklich benötigt werden.

Ich würde persönlich immer noch dagegen sprechen, weil es unnötig ist. Identifizieren Sie die Anzahl der benötigten Host-Adressen und projizieren Sie auf zukünftiges Wachstum, statt nur ein riesiges Subnetz dort hin zu werfen.


6
2017-12-08 23:25





Ein früherer Arbeitgeber hatte eine große Abteilung, die beschloss, ihr Abteilungsnetzwerk um a / 16 neu zu gestalten. Obwohl diese spezielle Abteilung über mehrere Standorte mit relativ hohen Latenzzeiten verfügte (städtische Breitbandnetze). Es funktionierte für sie, und das kam vor einem Jahrzehnt, als Gig-Links nur im Rechenzentrum und in Verteilerverbindungen üblich waren.

Soweit mir bekannt war, hatten sie nie Probleme mit Sendeproblemen. Wie ich schon sagte, das war vor ungefähr zehn Jahren, als viel dümmere Geräte den Rundfunkverkehr abwickelten; Moderne Geräte sollten nicht einmal darüber nachdenken. Dieses spezielle Netzwerk hatte ungefähr doppelt so viele Knoten wie du.


Das heißt, mit so einem großen Subnetz ist nichts falsch, solange Ihr Netzwerk damit umgehen kann.


4
2017-12-09 01:16