Die Kundenseite hat keine IP-Adressen mehr, sie möchten von / 24 zu / 12 Netzmaske wechseln ... Schlechte Idee?

22

Eine meiner Client-Sites hat mich aufgefordert, die Subnetzmasken der Linux-Server zu ändern, die ich dort verwalte, während sie die Netzmaske ihres Netzwerks basierend auf einem 10.0.0.x-Schema ändern.

"Können Sie die Linux-Server-Netzmasken von 255.255.255.0 auf 255.240.0.0 ändern?"

Sie meinen, 255.255.240.0?

"Nein, 255.240.0.0."

Sind Sie sicher, dass Sie so viele IP-Adressen benötigen?

"Ja, wir wollen niemals keine IP-Adressen mehr haben."

Ein kurzer Vergleich mit dem Subnetz-Spickzettel zeigt:

  • Eine 255.255.255.0- Netzmaske, a / 24, bietet 256 Hosts. Es ist klar, dass eine Organisation diese Anzahl von IP-Adressen ausschöpfen kann.
  • Eine 255.240.0.0- Netzmaske, a / 12, bietet 1.048.576 Hosts. Dies ist eine kleine Site mit <200 Benutzern. Ich bezweifle, dass sie jemals mehr als 400 IP-Adressen zuweisen würden ... Vielleicht 500, aber zu diesem Zeitpunkt sollten mehr Subnetze / VLANs eingerichtet werden.

Ich schlug etwas vor, das weniger Hosts bereitstellt, z. B. einen / 22- oder / 21-Host (1024- bzw. 2048-Hosts), konnte jedoch keinen bestimmten Grund für die Verwendung des / 12-Subnetzes angeben.

Gibt es etwas, worüber dieser Kunde besorgt sein sollte? Gibt es bestimmte Gründe, warum sie in ihrer Umgebung keine so unglaublich große Maske verwenden sollten?

networking subnet ip-address network-design ewwhite
quelle
Das Argument sollte sich mehr darauf konzentrieren, ob sie alle zukünftigen Adressen innerhalb desselben Subnetzes haben sollen oder können oder ob sie Subnetze möglicherweise aufteilen müssen. Rufen Sie dann das ARP-Skalierungsproblem auf.
Skaperen
3
Das willst du definitiv nicht. Es gibt Anwendungen, die für jede gültige IP im Subnetz ARP ausführen. Sie wollen wirklich, dass das begrenzt wird. Wenn Sie mehr IP-Adressen in diesem einen Subnetz verwenden, steigt auch die Wahrscheinlichkeit, dass Ihnen die IP-Adressen ausgehen. (Obwohl es in beiden Fällen immer noch nahe Null ist.) Dies ist möglicherweise ein guter Zeitpunkt, um zu prüfen, ob sie bereits aus einem einzelnen Subnetz herausgewachsen sind.
David Schwartz
2
Sie sollten auf IPv6 migrieren. ;-).
Wiedereinsetzung von Monica - M. Schröder
Das Stehlen der IP-Adresse des Gateways kann das Netzwerk von anderen Netzwerken (und dem Internet) trennen. Ich hatte solche Probleme in meinen Netzwerken und das ist einer der Gründe, warum ich Benutzer, Gäste, Server usw. in separate VLANs stelle. Andere Gründe (Sicherheit, ARP usw.) werden in anderen Kommentaren erwähnt.
0xFF

Antworten:

25

  • Wie bereits in anderen Antworten erwähnt, können zu viele Hosts in der Broadcast-Domäne dazu führen, dass Broadcasts zu einem Chaos werden.

    Das Subnetz muss stark erweitert werden, bevor es zu einem potenziellen Problem wird.

  • Zukünftige Wachstumsplanung wird zu einem Chaos.

    Das Hinzufügen zusätzlicher Sites mit eigenem IP-Speicherplatz wird schwierig, wenn Sie bereits einen unnötig großen Platzbedarf im verfügbaren Speicherplatz haben.

  • Interne Netzwerksicherheitsgrenzen werden unmöglich.

    Das Zuweisen verschiedener Subnetze zu verschiedenen Benutzergruppen und das Aufteilen von Servern mit niedriger Sicherheit / Servern mit hoher Sicherheit / eingeschränkten Verwaltungsschnittstellen von Servern / Speicher- / Netzwerkgeräten gehen aus dem Fenster.

    Jeder Laptop eines alten Benutzers, der zu Hause einen Virus gefunden hat, kann das Netzwerk durch ARP vergiften und die Server ausschalten oder in der Mitte des Netzwerks arbeiten. Sie haben keine Möglichkeit, ein kompromittiertes Gerät von sensiblen Netzwerkstandorten wie Out-of-Band-Verwaltungsschnittstellen von Servern fernzuhalten. Ein Tippfehler in einer unschuldigen Neukonfiguration der Netzwerkeinstellungen kann möglicherweise zu IP-Konflikten mit anderen Geräten im Netzwerk führen.

Wenn sie nicht planen, in irgendeiner Weise zu wachsen, die jemals mehr Subnetze erfordern würde, und nicht planen, ihrem Netzwerk jemals Komplexität oder Sicherheit hinzuzufügen, ist dies in Ordnung, da es praktisch identisch mit ihrer aktuellen Netzwerkkonfiguration ist - aber wenn ja fragen danach, sie planen offensichtlich zu erweitern.

Im besten Fall unnötig und im schlimmsten Fall eine ernsthaft schlechte Idee.

Shane Madden
quelle
Hervorragende Erklärung!
ewwhite
7

Nein, es ist nichts Falsches daran, eine größere Maske zu verwenden, wenn die Anzahl der darin enthaltenen Hosts gleich bleibt.

Das einzige Problem ist, dass dies dazu führt, dass Netzwerkadministratoren faul werden und keine ordnungsgemäße Untervernetzung vornehmen, was dazu führt, dass sich eine große Anzahl von Hosts in derselben Broadcast-Domäne befindet. Beispielsweise ist jede ARP-Anforderung eine Rundsendung, und alle Computer (in derselben Rundsendedomäne) müssen sie verarbeiten (auch wenn normalerweise einer antwortet). Gleiches gilt für andere Protokolle, die Broadcast verwenden.

Ein weiteres Problem könnte der Adressraum sein, da 10/8 nur Platz für 16/12 Netzwerke bietet. Wenn sie ihre / 12-Anforderungen fortsetzen, können sie nur 15 weitere aufnehmen.

Einige Sicherheitssoftware, die Port- / Pingscans ausführt, um Live-Hosts zu erkennen, benötigen viel mehr Zeit als jetzt (sofern vorhanden).

Ansonsten spielt es keine Rolle. Wenn Sie nur zwei Hosts haben, ist die Leistung mit / 30 oder / 8 gleich - die Größe des Netzwerks verursacht keine Leistungsprobleme.

Mulaz
quelle
Ich schlug dasselbe vor und wurde dafür abgelehnt. Sie können das Broadcast-Problem mithilfe der VLAN-Funktionalität steuern.
mdpc
Dies ist ein einzelner Ort, daher glaube ich nicht, dass zusätzliche 12 geplant waren. Sicherheits- und IP-Kamera-Software ist im Mix.
ewwhite
3
@mdpc Sie können Broadcasts nicht mit VLANs steuern, wenn sich alle Hosts in einem Subnetz befinden ... in einem VLAN ...
HostBits
Unterschiedliche VLANs im selben Subnetz sind einfach eine schlechte Architektur und verursachen tatsächlich Probleme, wenn Hosts versuchen, miteinander zu kommunizieren.
Falcon Momot
6

Die Argumente dagegen sind, dass Sie dann eine größere Broadcast-Domain haben und ab 10.XXX nicht mehr so ​​viele zusätzliche Subnetze zur Verfügung stehen

Um dem Broadcast-Argument entgegenzuwirken, sollten die Auswirkungen auf das aktuelle Netzwerk vernachlässigbar sein, wenn sie nur zukünftiges Wachstum planen. Sie können Ihre DHCP-Server auch darauf beschränken, nur einen kleinen Teil des gesamten Subnetzes zu verteilen, um die Dinge zu steuern, bis wirklich mehr IPs benötigt werden.

Ich persönlich würde mich trotzdem dagegen aussprechen, da dies unnötig ist. Identifizieren Sie die Anzahl der benötigten Hostadressen und planen Sie ein zukünftiges Wachstum, anstatt nur ein riesiges Subnetz auf den Markt zu bringen.

HostBits
quelle
4

Ein früherer Arbeitgeber ließ eine große Abteilung beschließen, ihr Abteilungsnetz um a / 16 neu zu gestalten. Obwohl diese spezielle Abteilung mehrere Standorte mit Verbindungen mit relativ hoher Latenz hatte (breitbandig im Stadtgebiet). Es funktionierte für sie, und dies geschah vor einem Jahrzehnt, als Gig-Links nur im Rechenzentrum und in Distributionsverbindungen üblich waren.

Soweit mir bekannt war, hatten sie nie Probleme mit der Übertragung. Wie ich bereits sagte, war dies vor etwa einem Jahrzehnt mit viel blöderen Geräten, die den Broadcast-Verkehr handhaben. moderne Geräte sollten nicht einmal zweimal darüber nachdenken. Dieses spezielle Netzwerk hatte ungefähr das Doppelte der Knoten, die Sie hatten.

Das heißt, an einem so großen Subnetz ist nichts auszusetzen, solange Ihr Netzwerk damit umgehen kann .

sysadmin1138
quelle