Есть ли такая вещь, как слишком много IP-адресов?

8

Мы начали небольшую дискуссию в офисе, и я дошел до того, что у меня больше нет технических знаний, чтобы продолжить.

Есть ли такая вещь, как наличие слишком большого количества IP-адресов? Я не предлагаю, чтобы мы использовали весь частный 10. * Класс A, но я не понимаю, почему мы не могли, если бы мы тоже хотели.

Я искренне думаю, что «фрагментация подсети» - устаревший способ мышления, но я хочу продолжить техническое обсуждение.

В настоящее время наша основная маска подсети настроена на использование 4 классов B, что является избыточным с точки зрения количества доступных IP-адресов для нашего малого бизнеса.

Но вопрос в том, какие проблемы (если таковые имеются) создает широкое частное IP-пространство?

subnet

— VxJasonxV
источник

1

Класс A / B / C / D не использовался в течение каких 10 лет? Вот ваши первые боеприпасы :)

— Марк Хендерсон

Я смущен. Я думал, что CIDR был полностью распространен, особенно в последние 10 лет. Возможно, я должен прекратить говорить Класс A / B / C / D и начать говорить / 8, / 16, / 24, / 32? (Я думал, что это одно и то же, но, возможно, это была моя собственная ошибка.)

— VxJasonxV

1

Класс D = / = / 32. Я просто говорю :) Большинство людей знают, что вы имеете в виду, когда говорите «класс А», но технически это относится к IP, который начинается с двоичного кода 00, а не к сети определенного размера. «Слэш 8» - обычно то, что я говорю вместо этого.

— Билл Вайс

5

Соблюдение различных стандартов станет невозможным, обеспечение безопасности сетей станет сложнее, вирус будет распространяться легче, качество обслуживания ухудшится, таблицы MAC / CAM заполнятся.

По-прежнему существуют всевозможные проблемы, связанные с объединением всего в одном ведре.

Также не забывайте, как увеличивается скорость в локальных сетях, так же как и использование. Особенно, если речь идет о дата-центре. Многие места работают с 50 +% использования на своих стволах. Я видел некоторые, которые работают выше 65% постоянно на 10-гигабайтных транках. Скажите этим людям, чтобы добавить ненужный трафик.

Использование больших подсетей ни по какой другой причине, кроме «вы можете», хорошо, когда вы крошечное место, которое действительно не нуждается в более чем 2 VLAN. Покинув мир малого бизнеса, вы обнаружите, что все усложняется.

Другая очевидная причина - запрет на заполнение таблиц CAM, что может привести к сбоям в зависимости от реализации в микропрограммном обеспечении того, как все обрабатывается при заполнении таблицы переключателей.

— sclarson
источник

9

Единственная проблема - возможные конфликты при подключении к партнерским сетям или при слияниях / поглощениях. Некоторые из этих проблем можно устранить с помощью NAT и источника на конечных устройствах. Кроме того, только то, что вы используете 10.1.0.0/24, не означает, что вы не столкнетесь с точно такими же проблемами.

— Дуг Люксем
источник

1

Это также очень приятно иметь в целях безопасности. Не говоря уже о том, что вы в конечном итоге получите слишком много трансляций. По мере увеличения скорости коммутации и «необходимости уходить» мы также придаем все большее значение тому, чтобы локальная сеть постоянно работала.

— Sclarson

5

Не совсем - до тех пор, пока вы ограничиваете количество реальных устройств тем, что будет обрабатывать сеть ... но опять же, зачем иметь такое огромное количество возможных узлов в этой сети, если вы не будете использовать их все?

Сегментирующие сети хороши для многих вещей, включая предоставление логической структуры и обзора, усиление безопасности путем разделения ролей и / или местоположений на разные сети и т. Д.

Люди обычно не думают о том, чтобы отделить принтеры и другие высокозащищенные и незащищенные сетевые устройства от собственной сети, имея доступ только к определенному серверу печати. И затем есть все обычные в зависимости от требований информационной безопасности вашей организации.

Безопасность идет с уровнями, сегментация сети является одной из многих, которые помогают сделать вещи менее уязвимыми для проблем безопасности (= доступ, целостность и доступность).

— Оскар Дювеборн
источник

2

Я в целом согласен. Я не на борту с "логической" организацией устройств по подсетям, если только нет проблемы с трафиком или необходимости фильтровать трафик. Интересно, что вы упомянули о размещении принтеров в изолированном слое 2 с ограниченным доступом. Я годами пытался донести это до людей с разной степенью успеха. Некоторые (как правило, не ИТ-специалисты), занимающие руководящие должности, безоговорочно доверяют печатной продукции. Таким образом, возможный взлом "социальной инженерии" будет включать изменение / фальсификацию печатной продукции. Вы когда-нибудь слышали об освобождении заключенных из тюрьмы на основании поддельных факсов? Бывает!

— Эван Андерсон

Я никогда не слышал о том, чтобы заключенный был освобожден по факсу. Должно быть, это местная проблема. ;)

— Джон Гарденье

Ну, эти двое из Флориды и Кентукки соответственно, так что я уверен, что было какое-то местное влияние ... хе-хе ... heraldtribune.com/article/20090716/ARTICLE/… и freerepublic.com/focus/f-news / 1821482 / posts

— Эван Андерсон

1

Есть причина, по которой у Фарка есть специальная категория "Флорида", FWIW.

— VxJasonxV

Ах да, и эээ. Нет комментариев на комментарий Кентукки; D.

— VxJasonxV

2

Проблема, которую я вижу с тем, что многие IP-адреса не ограничивают широковещательный домен. С другой стороны, с коммутаторами 1 Гбит, я не могу сказать, что это больше имеет значение, если вы не пытаетесь копать журналы коммутатора и брандмауэра.

— Skaughty
источник

1

За исключением потенциальных конфликтов с партнерскими сетями, подключенными через VPN, никаких проблем.

Я обычно рекомендую использовать / 24 чанков в любом случае, независимо от диапазона, от которого вы их разделяете. Итак, скажем, вы назначаете 10.27.1 / 24 для офиса, 10.27.2 / 24 для подсети БД в центре обработки данных, 10.27.3 / 24 для подсети приложений в центре обработки данных, 10.27.100 / 24 для VPN клиенты и тд.

— Флорин андрей
источник

1

Теперь это звучит как дополнительная работа без причины, наряду с добавлением дополнительной нагрузки на устройства третьего уровня.

— Даг Люксем

1

Это 2009; это не проблема, если вы не идете слишком далеко.

— duffbeer703

1

@DLux Я предполагал маршрутизируемую сеть, а не плоскую топологию. Посмотрите на примеры, которые я привел. Обычно это физически разделенные сети с маршрутизацией между ними. Если он плоский, то вам не нужно его фрагментировать (но вы все равно можете, если решите).

— Флорин Андрей

1

Теперь я понимаю, что вы говорите. :) В общем, я бы подсети в разделах / зонах безопасности, что в значительной степени то, что вы сказали.

— Даг Люксем

2

Существует только две причины для подсети коммутируемой локальной сети Ethernet: смягчение проблем производительности (чрезмерный широковещательный трафик или переполнение кадров в неизвестные места назначения) или наложение функций фильтрации пакетов на уровне 3 или выше в «точках дросселирования», где маршрутизаторы перемещают пакеты между подсети (обычно для безопасности). Любая другая причина (эстетическая, в основном: «Я хочу, чтобы все компьютеры ххх находились в одной подсети, потому что это выглядит красиво ...») - недопустимая причина.

— Эван Андерсон

1

В зависимости от размера вашей подсети широковещательные сообщения могут быть проблемой, хотя в зависимости от скорости вашей сети они могут не быть.

Однако одним недостатком является то, что вы ограничиваете свои возможности расширения в будущем. Вам может понадобиться только одна подсеть сейчас, но кто скажет, что вам больше не понадобится в будущем? Вы можете расширить, вы можете настроить отдельные подсети для некоторых частей вашей сети и так далее.

Я также отбросил бы «классовое» мышление и использовал бы CIDR для ваших подсетей. Классы больше не существуют вне университетских курсов и учебников истории, и CIDR просто дает вам гораздо больше гибкости.

Хорошее практическое правило для этих вещей - взять то, что вам нужно, и удвоить его, поэтому, если у вас 50 хостов (и не забудьте включить серверы, принтеры, коммутаторы и т. Д. Здесь), 25-битная маска сети (давая вам 128 хостов (меньше 2 для сети и широковещания) покроют все, что вам нужно, и дадут вам запас.

— Максимус Минимус
источник

0

Что ж, коммутатор, подключенный к вашему серверу Uber-IP, имеет ограниченное количество записей, доступных в таблице ARP. Кроме того, вы увидите много бесплатных ARP на вашей трансляции Домин.

— Слабосоленая
источник

1

.... и не делают ARP ARP

— Хавьер

1

Я бы дал вам обоим ответ, если бы мог. На самом деле, я поддерживаю тебя, DLux, так что я думаю, что могу. Мне так надоело слышать о коммутаторах и «таблицах ARP», когда люди хотят сказать «таблицы мостов / MAC».

— Эван Андерсон

2

@sparks: устройства уровня 3 имеют таблицы ARP. Коммутаторы, строго работающие на уровне 2, не имеют таблиц ARP. Если коммутатор имеет интерфейс управления, который обменивается данными на уровне 3, или механизм маршрутизации, то эти устройства будут иметь таблицы ARP.

— Эван Андерсон

1

Я считаю полезным объяснить «коммутаторы уровня 3» как коммутаторы уровня 2 (которые я объясняю как многопортовые мосты) с очень быстрым маршрутизатором, скрывающимся внутри. Я пытаюсь объяснить функциональность маршрутизации отдельно от функциональности коммутации. Коробка делает обе вещи, но разные части коробки делают разные вещи. (Некоторые старые супервизорные модули Catalyst тоже работали так же: на блейде SUP был кремний маршрутизатора, и у него был собственный интерфейс управления.)

— Эван Андерсон,

1

Коммутатор - это многопортовый мост. все, что можно лучше понять как отдельное устройство, встроенное в одну коробку,

— Javier

0

Я не могу думать ни о чем другом, кроме как немного сложнее настроить (и, возможно, администрировать). И затем возникает проблема уменьшения количества IP-адресов (до IPV6).

— Нори
источник

Утверждение «частной IP-адресации» и пример использования 10/14 делает «убывающее количество IP-адресов» немного неуместным.

— VxJasonxV

0

Одна сеть, которую я унаследовал, была полна / 16s, то есть 10.1.xx, 10.2.xx.

Это было удобно для группировки диапазонов IP-адресов, и вы могли посмотреть на IP и точно знать, что это было.

В конце концов мы должны были его почистить, и найти случайный из IP-адресов было непросто.

Гораздо проще выполнить проверку nmap ping для / 24, чем для / 16.

В редизайне мы остановились на / 22с. (1024 кадра в секунду)

Я думаю, что общее правило распределения того, что вам нужно сегодня со здоровыми накладными расходами, является хорошей практикой.

— Джоэл К
источник

0

Я бы начал с максимального количества устройств, которые когда-либо были бы в сети, и удвоил или утроил его, а затем посмотрел, достаточно ли у меня сетей. Используя сеть TEN, не составит труда найти баланс. Например, скажем, что 100 устройств было макс. Если вы выберете / 22 в качестве маски, у вас будет 16384 сетей, которые могут иметь 1022 устройства:

Mask:255.255.252.0   Host/Net - 1022
Network          Broadcast
10.0.0.0         10.0.3.255
10.0.4.0         10.0.7.255
10.0.8.0         10.0.11.255
10.0.12.0        10.0.15.255
10.0.16.0        10.0.19.255
10.0.20.0        10.0.23.255
10.0.24.0        10.0.27.255
10.0.28.0        10.0.31.255
10.0.32.0        10.0.35.255
10.0.36.0        10.0.39.255
10.0.40.0        10.0.43.255

— dbasnett
источник