Gibt es zu viele IP-Adressen?

8

Wir haben eine kleine Debatte im Büro begonnen, und ich habe den Punkt erreicht, an dem ich nicht mehr über das technische Wissen verfüge, um fortzufahren.

Gibt es so etwas wie zu viele IP-Adressen? Ich schlage nicht vor, dass wir die gesamte private 10. * Klasse A verwenden, aber ich verstehe nicht, warum wir es nicht könnten, wenn wir es auch wollten.

Ich denke ehrlich, dass "Subnetzfragmentierung" eine veraltete Denkweise ist, aber ich möchte die technische Diskussion fortsetzen.

Derzeit ist unsere primäre Subnetzmaske für die Verwendung von 4 Klasse-B-Masken konfiguriert, was in Bezug auf die Anzahl der verfügbaren IP-Adressen für unser kleines Unternehmen ein Übermaß ist.

Die Frage ist jedoch, welche Probleme (falls vorhanden) durch einen breiten privaten IP-Bereich entstehen.

subnet VxJasonxV
quelle
1
Klasse A / B / C / D wurde seit 10 Jahren nicht mehr verwendet? Es gibt deine erste Munition :)
Mark Henderson
Ich bin verwirrt. Ich dachte, CIDR sei in den letzten 10 Jahren völlig verbreitet. Vielleicht sollte ich aufhören, Klasse A / B / C / D zu sagen, und anfangen, / 8, / 16, / 24, / 32 zu sagen? (Ich dachte, sie
wären
1
Klasse D = / = / 32. Ich sage nur :) Die meisten Leute wissen, was Sie meinen, wenn Sie "Klasse A" sagen, aber technisch gesehen bezieht sich das auf eine IP, die mit 00 binär beginnt, nicht auf ein Netzwerk einer bestimmten Größe. "Slash 8" ist normalerweise das, was ich stattdessen sage.
Bill Weiss

Antworten:

5

Die Einhaltung verschiedener Standards wird unmöglich, die Sicherung von Netzwerken wird schwieriger, ein Virus wird sich leichter verbreiten, die Servicequalität wird schwieriger, MAC / CAM-Tabellen werden voll.

Es gibt immer noch alle möglichen Probleme, alles in einen Eimer zu werfen.

Vergessen Sie auch nicht, dass die Geschwindigkeit in LANs zunimmt, ebenso wie die Verwendung. Besonders wenn es um das Rechenzentrum geht. Viele Orte sind zu 50% ausgelastet. Ich habe einige gesehen, die auf 10gig-Stämmen konstant über 65% laufen. Sagen Sie diesen Leuten, sie sollen unnötigen Verkehr hinzufügen.

Die Verwendung großer Subnetze ohne einen anderen Grund als "Sie können" ist in Ordnung, wenn Sie ein winziger Ort sind, der wirklich nicht mehr als 2 VLANs benötigt. Sobald Sie die Welt der kleinen Unternehmen verlassen, werden Sie feststellen, dass die Komplexität der Dinge erheblich zunimmt.

Der andere offensichtliche Grund wäre, das Füllen Ihrer CAM-Tabellen zu verhindern, was je nach Implementierung in der Firmware zu Ausfällen führen kann, wie mit den Switches-Tabellenfüllungen umgegangen wird.

Sclarson
quelle
9

Das einzige Problem sind mögliche Konflikte bei der Verbindung mit den Partnernetzwerken oder bei Fusionen / Übernahmen. Einige dieser Probleme können durch die Verwendung von Quell- und Ziel-NAT auf Edge-Geräten behoben werden. Nur weil Sie 10.1.0.0/24 verwenden, bedeutet dies nicht, dass Sie nicht auf genau dieselben Probleme stoßen.

Doug Luxem
quelle
1
Es ist auch sehr schön für Sicherheitszwecke zu haben. Ganz zu schweigen davon, dass Sie irgendwann zu viele Sendungen haben werden. Mit zunehmender Switch-Geschwindigkeit und dem "Verschwinden des Bedarfs" legen wir auch immer mehr Wert darauf, dass das LAN jederzeit in Betrieb bleibt.
Sclarson
5

Nicht wirklich - solange Sie die Anzahl der tatsächlichen Geräte auf etwas beschränken, das das Netzwerk verarbeiten kann ... aber warum sollten Sie so viele mögliche Knoten in diesem Netzwerk haben, wenn Sie nicht alle verwenden?

Das Segmentieren von Netzwerken ist für viele Dinge gut, einschließlich der Bereitstellung einer logischen Struktur und eines Überblicks, der Verschärfung der Sicherheit durch Aufteilung von Rollen und / oder Standorten in verschiedene Netzwerke und so weiter.

Eine Sache, an die die Leute normalerweise nicht denken, ist die Aufteilung von Druckern und anderen sehr anfälligen und ungeschützten Netzwerkgeräten in ihr eigenes Netzwerk - mit Zugriff nur auf einen bestimmten Druckserver. Und dann gibt es alle üblichen, abhängig von den Anforderungen Ihres Unternehmens an die Informationssicherheit.

Sicherheit kommt mit Schichten, Netzwerksegmentierung ist eine von vielen, um Dinge weniger anfällig für Sicherheitsprobleme zu machen (= Zugriff, Integrität und Verfügbarkeit).

Oskar Duveborn
quelle
2
Ich stimme im Allgemeinen zu. Ich bin nicht an Bord, um Geräte "logisch" nach Subnetz zu organisieren, es sei denn, es liegt ein Verkehrsproblem vor oder es besteht die Notwendigkeit, den Verkehr zu filtern. Interessant, dass Sie erwähnen, Drucker in eine isolierte Schicht 2 mit eingeschränktem Zugriff zu stecken. Ich habe jahrelang versucht, dies Menschen mit unterschiedlichem Erfolg zu vermitteln. Einige (in der Regel Nicht-IT-) Personen in Autoritätspositionen vertrauen implizit der gedruckten Ausgabe. Als solches würde ein möglicher "Social Engineering" -Hack das Ändern / Verfälschen der gedruckten Ausgabe beinhalten. Haben Sie jemals von Insassen gehört, die aufgrund gefälschter Faxe aus dem Gefängnis entlassen wurden? Es passiert!
Evan Anderson
Ich habe noch nie von einem Insassen gehört, der aufgrund eines Faxes freigelassen wurde. Muss ein lokales Problem sein. ;)
John Gardeniers
Nun, diese beiden kommen aus Florida bzw. Kentucky, also bin ich mir sicher, dass es einen lokalen Einfluss gab ... heh heh ... heraldtribune.com/article/20090716/ARTICLE/… und freerepublic.com/focus/f-news / 1821482 / posts
Evan Anderson
1
Es gibt einen Grund, warum Fark eine eigene "Florida" -Kategorie hat, FWIW.
VxJasonxV
Oh ja, und äh. Kein Kommentar zum Kentucky-Kommentar; D.
VxJasonxV
2

Das Problem, das ich bei so vielen IPs sehe, besteht nicht darin, die Broadcast-Domäne einzuschränken. Auf der anderen Seite kann ich bei 1-Gbit-Switches nicht mehr wirklich sagen, dass dies eine Tonne ausmacht, es sei denn, Sie versuchen, Switch- und Firewall-Protokolle zu durchsuchen.

Skaughty
quelle
1

Abgesehen von möglichen Konflikten mit Partnernetzwerken, die über VPN verbunden sind, gibt es keine Probleme.

Normalerweise empfehle ich, / 24 Chunks zu verwenden, unabhängig davon, aus welchem ​​Bereich Sie sie aufteilen. Angenommen, Sie weisen dem Büro 10.27.1 / 24, dem DB-Subnetz im Rechenzentrum 10.27.2 / 24, dem Apps-Subnetz im Rechenzentrum 10.27.3 / 24 und dem VPN 10.27.100 / 24 zu Kunden und so weiter.

Florin Andrei
quelle
1
Das klingt ohne Grund nach zusätzlicher Arbeit, zusammen mit einer zusätzlichen Belastung Ihrer Layer 3-Geräte.
Doug Luxem
1
Es ist 2009; Das ist kein Problem, es sei denn, Sie gehen weit übertrieben.
Duffbeer703
1
@DLux Ich ging von einem gerouteten Netzwerk aus, nicht von einer flachen Topologie. Schauen Sie sich die Beispiele an, die ich gegeben habe. Dies sind normalerweise physisch getrennte Netzwerke mit dazwischenliegendem Routing. Wenn es flach ist, müssen Sie es nicht fragmentieren (aber Sie können es trotzdem, wenn Sie dies wünschen).
Florin Andrei
1
Ich verstehe, was du jetzt sagst. :) Im Allgemeinen würde ich bei Sicherheitspartitionen / -zonen ein Subnetz erstellen, was ziemlich genau das ist, was Sie gesagt haben.
Doug Luxem
2
Es gibt nur zwei Gründe, ein Switched-Ethernet-LAN ​​zu subnetzieren: Leistungsprobleme zu verringern (übermäßiger Broadcast-Verkehr oder Überflutung von Frames mit unbekannten Zielen) oder Paketfilterfunktionen auf Schicht 3 oder höher an den "Choke-Punkten" zu implementieren, an denen Router Pakete zwischen ihnen verschieben Subnetze (normalerweise aus Sicherheitsgründen). Jeder andere Grund (hauptsächlich ästhetisch - "Ich möchte, dass sich alle xxx-Computer im selben Subnetz befinden, weil es gut aussieht ...") ist ein ungültiger Grund.
Evan Anderson
1

Abhängig von der Größe Ihres Subnetzes können Broadcasts ein Problem darstellen, abhängig von der Geschwindigkeit Ihres Netzwerks jedoch möglicherweise nicht.

Ein Nachteil ist jedoch, dass Sie Ihre zukünftige Erweiterungsfähigkeit einschränken. Sie brauchen jetzt vielleicht nur ein Subnetz, aber wer sagt, dass Sie in Zukunft nicht mehr brauchen werden? Sie können erweitern, Sie möchten möglicherweise separate Subnetze für einige Teile Ihres Netzwerks einrichten und so weiter.

Ich würde auch das "Klassen" -Denken fallen lassen und CIDR für Ihre Subnetze verwenden. Außerhalb von Universitätskursen und Geschichtsbüchern gibt es eigentlich keinen Unterricht mehr, und CIDR bietet Ihnen einfach so viel mehr Flexibilität.

Eine gute Faustregel bei diesen Dingen ist, das zu nehmen, was Sie für nötig halten, und es zu verdoppeln. Wenn Sie also 50 Hosts haben (und nicht vergessen, Server, Drucker, Switches usw. hier einzuschließen), erhalten Sie eine 25-Bit-Netzmaske 128 Hosts (weniger 2 für Netzwerk und Broadcast) decken Ihre Anforderungen ab und bieten Ihnen Headroom.

Maximus Minimus
quelle
0

Nun, der mit Ihrem Uber-IP-Server verbundene Switch verfügt über eine begrenzte Anzahl von Einträgen in der ARP-Tabelle. Außerdem würden Sie auf Ihrem Broadcast Domin eine Menge unentgeltliches ARP sehen.

Leicht gesalzen
quelle
1
.... und swicthes machen kein ARP
Javier
1
Ich würde euch beiden Repräsentanten dafür geben, wenn ich könnte. Eigentlich stimme ich dir zu, DLux, also kann ich es wohl. Ich habe es so satt, von Switches und "ARP-Tabellen" zu hören, wenn Leute "Bridging / MAC-Tabellen" sagen wollen.
Evan Anderson
2
@sparks: Layer 3-Geräte verfügen über ARP-Tabellen. Switches, die ausschließlich auf Schicht 2 arbeiten, haben keine ARP-Tabellen. Wenn der Switch über eine Verwaltungsschnittstelle verfügt, die auf Schicht 3 kommuniziert, oder über eine Routing-Engine, verfügen diese Geräte über ARP-Tabellen.
Evan Anderson
1
Ich finde es hilfreich, "Layer 3-Switches" als Layer 2-Switches (die ich als Multi-Port-Bridges erkläre) zu erklären, in denen sich ein sehr schneller Router versteckt. Ich versuche, die Routing-Funktionalität getrennt von der Switching-Funktionalität zu erklären. Die Box macht beide Dinge, aber verschiedene Teile der Box machen verschiedene Dinge. (Einige alte Catalyst-Supervisor-Module funktionierten auch so - auf dem SUP-Blade befand sich Router-Silizium und es hatte eine eigene Verwaltungsschnittstelle.)
Evan Anderson
1
Ein Switch ist eine Multiport-Brücke. Alles darüber wird besser als separates Gerät verstanden, das in dieselbe Box integriert ist
Javier
0

Keine, die ich mir vorstellen kann, außer dass sie etwas schwieriger einzurichten (und möglicherweise zu verwalten) ist. Und dann gibt es das Problem der abnehmenden Anzahl von IP-Adressen (bis IPV6).

Nori
quelle
Die Aussage "Private IP-Adressierung" und das Beispiel der Verwendung einer 10/14 machen die "abnehmende Anzahl von IP-Adressen" etwas irrelevant.
VxJasonxV
0

Ein Netzwerk, das ich geerbt habe, war voll mit / 16s, dh 10.1.xx, 10.2.xx.

Es war schön, IP-Bereiche zu gruppieren, und man konnte sich eine IP ansehen und genau wissen, was es war. Oh, die 10.4.20.Xs sind alle Datenbanken usw. ABER ...

Schließlich mussten wir es bereinigen, und es war mühsam, alle zufälligen einmaligen IPs zu finden.

Es ist viel einfacher, einen nmap-Ping-Scan von a / 24 als von / 16 durchzuführen.

Bei der Neugestaltung haben wir uns für / 22s entschieden. (1024 ips)

Ich denke, eine allgemeine Regel für die Zuweisung dessen, was Sie heute mit einem gesunden Overhead benötigen, um hineinzuwachsen, ist eine gute Praxis.

Joel K.
quelle
0

Ich würde mit der maximalen Anzahl von Geräten beginnen, die sich jemals in einem Netzwerk befinden würden, und es verdoppeln oder verdreifachen und dann prüfen, ob ich genug Netzwerke habe. Mit dem TEN-Netz sollte es nicht schwierig sein, ein Gleichgewicht zu finden. Angenommen, 100 Geräte waren die max. Wenn Sie / 22 als Maske ausgewählt hätten, hätten Sie 16.384 Netzwerke mit 1022 Geräten:

Mask:255.255.252.0   Host/Net - 1022
Network          Broadcast
10.0.0.0         10.0.3.255
10.0.4.0         10.0.7.255
10.0.8.0         10.0.11.255
10.0.12.0        10.0.15.255
10.0.16.0        10.0.19.255
10.0.20.0        10.0.23.255
10.0.24.0        10.0.27.255
10.0.28.0        10.0.31.255
10.0.32.0        10.0.35.255
10.0.36.0        10.0.39.255
10.0.40.0        10.0.43.255
dbasnett
quelle