У сайта клиента нет IP-адресов, он хочет перейти от / 24 до / 12 сетевой маски… Плохая идея?

Один из моих клиентских сайтов позвонил, чтобы попросить меня изменить маски подсетей серверов Linux, которыми я там управляю, в то время как они переопределяют IP / меняют сетевую маску своей сети на основе схемы 10.0.0.x.

«Можете ли вы изменить сетевые маски сервера Linux с 255.255.255.0 на 255.240.0.0?»

Вы имеете в виду 255.255.240.0?

«Нет, 255.240.0.0.»

Вы уверены, что вам нужно столько IP-адресов?

«Да, мы никогда не хотим исчерпать IP-адреса».

Быстрая проверка по Шпаргалке Подсети показывает:

• 255.255.255.0 маска подсети, а / 24 обеспечивает 256 хостов. Понятно, что организация может исчерпать это количество IP-адресов.
• 255.240.0.0 маска подсети, а / 12 обеспечивает 1048576 хозяев. Это небольшой сайт <200 пользователей. Я сомневаюсь, что они будут выделять более 400 IP-адресов, когда-либо ... Может быть, 500, но на этом этапе необходимо создать больше подсетей / VLAN.

Я предложил что-то, что предоставляет меньше хостов, например / 22 или / 21 (1024 и 2048 хостов соответственно), но не смог дать конкретную причину против использования подсети / 12.

Есть ли что-то, о чем этот клиент должен беспокоиться? Есть ли какие-то конкретные причины, по которым им не следует использовать такую ​​невероятно большую маску в своей среде?

• Как указано в других ответах, слишком большое количество хостов в широковещательном домене действительно может привести к тому, что трансляции станут беспорядочными.

  Им потребуется большое расширение в подсети, прежде чем это станет потенциальной проблемой.

• Планирование будущего роста становится беспорядком.

  Добавление дополнительных сайтов с собственным IP-пространством становится сложным, когда вы уже заняли ненужную огромную площадь в доступном пространстве.

• Внутренние границы безопасности сети становятся невозможными.

  Назначение разных подсетей различным группам пользователей и разделение серверов с низким уровнем безопасности / серверов с высоким уровнем безопасности / ограниченных интерфейсов управления серверами / устройствами хранения / сетевыми устройствами выходит из окна.

  Любой ноутбук пользователя, который подхватил вирус дома, может ARP отравить сеть и сломать серверы или стать посредником. У вас нет возможности держать скомпрометированное устройство вдали от чувствительных сетевых расположений, таких как интерфейсы внеполосного управления серверами. Опечатка в невинной перенастройке настроек сети может потенциально конфликтовать с IP с любым другим устройством в сети.

Если они не планируют наращивать каким-либо образом, который когда-либо потребует большего количества подсетей, и не планируют когда-либо добавлять какую-либо сложность или безопасность в свою сеть, то это нормально, поскольку это фактически идентично их текущей конфигурации сети - но если они Вы просите об этом, они, очевидно, планируют расширение.

Ненужная в лучшем случае и серьезно плохая идея в худшем.

Нет, нет ничего плохого в использовании большей маски, если количество хостов внутри остается неизменным.

Единственная проблема заключается в том, что при этом сетевые администраторы становятся ленивыми и не выполняют надлежащей подсети, что приводит к тому, что большое количество хостов находится в одном широковещательном домене. Например, каждый запрос ARP является широковещательным, и все машины (в одном и том же широковещательном домене) должны его обработать (хотя обычно один из них отвечает). То же самое касается других протоколов, использующих широковещательную рассылку.

Другой проблемой может быть адресное пространство, так как 10/8 имеет место только для 16/12 сетей, и если они продолжают свои / 12 запросов, они могут уместиться только на 15.

Некоторое программное обеспечение безопасности, которое делает порт / pingscans, чтобы обнаружить живые хосты, займет намного больше времени, чем сейчас (если они есть).

В противном случае это не имеет значения. Если у вас только два хоста, производительность будет одинаковой с / 30 или / 8 - размер сети не вызывает проблем с производительностью.

Я могу видеть аргументы против этого: у вас больше широковещательный домен, и у них не было бы столько дополнительных подсетей, доступных из 10.XXX

Чтобы противостоять аргументу широковещания, если они только планируют будущий рост, влияние на текущую сеть должно быть незначительным. Вы также можете ограничить свои DHCP-серверы распределением лишь небольшой части полной подсети для контроля, пока действительно не потребуется больше IP-адресов.

Я бы лично до сих пор возражал против этого, так как в этом нет необходимости. Определите количество необходимых адресов хостов и проектируйте для будущего роста, а не просто создавайте огромную подсеть.

У предыдущего работодателя было большое подразделение, решившее перестроить свою сеть отделов вокруг / 16. Несмотря на то, что в этом конкретном департаменте было несколько сайтов по каналам с относительно высокой задержкой (широкополосная связь в муниципальном районе) Это сработало для них, и это произошло десять лет назад, когда ссылки Gig были распространены только в центрах обработки данных и в каналах распространения.

Насколько я знал, у них никогда не было проблем с трансляцией. Как я уже сказал, это было около десяти лет назад с большим количеством более глупых устройств, обрабатывающих широковещательный трафик; современные устройства не должны даже думать об этом дважды. В этой конкретной сети было примерно вдвое больше узлов, чем у вас.

То есть, нет ничего плохого в такой большой подсети, если ваша сеть может справиться с этим .