O site do cliente está fora dos endereços IP, eles querem passar de / 24 para / 12 netmask… Má idéia?

Navegue suas respostas
22

Um dos meus sites clientes me ligou para alterar as máscaras de sub-rede dos servidores Linux que eu gerencio lá enquanto eles re-IP / mudam a máscara de rede de sua rede com base em um esquema 10.0.0.x.

"Você pode alterar as máscaras de rede do servidor Linux de 255.255.255.0 para 255.240.0.0?"

Você quer dizer, 255.255.240.0?

"Não, 255.240.0.0."

Tem certeza de que precisa de muitos endereços IP?

"Sim, nunca queremos ficar sem endereços IP".

Uma verificação rápida contra a Folha de sub-rede mostra:

  • a 255.255.255.0 netmask, a / 24 fornece 256 hosts. É claro que uma organização pode esgotar esse número de endereços IP.
  • a 255.240.0.0 netmask, a / 12 fornece 1.048.576 hosts. Este é um pequeno < Site de 200 usuários. Duvido que eles alocassem mais de 400 endereços IP, nunca ... Talvez 500, mas, nesse ponto, mais sub-redes / VLANs devem ser estabelecidas.

Sugeri algo que fornece menos hosts, como / 22 ou / 21 (1024 e 2048 hosts, respectivamente), mas não foi possível fornecer uma razão específica contra usando a sub-rede / 12. / p>

Há algo com que esse cliente deva se preocupar? Há alguma razão específica para que eles não devam usar uma máscara incrivelmente grande em seu ambiente?

    
por ewwhite 08.12.2012 / 22:55

4 respostas

25

  • Como afirmado em outras respostas, ter muitos hosts no domínio de transmissão pode realmente tornar as transmissões uma bagunça.

    Eles precisarão de muita expansão na sub-rede antes de se tornar um problema em potencial.

  • O planejamento de crescimento futuro se torna uma bagunça.

    A adição de sites extras com seu próprio espaço IP fica difícil quando você já colocou uma pegada desnecessariamente grande no espaço disponível.

  • Limites internos de segurança de rede tornam-se impossíveis.

    Atribuir diferentes sub-redes a diferentes grupos de usuários e dividir servidores de baixa segurança / servidores de alta segurança / interfaces de gerenciamento restritas de servidores / dispositivos de armazenamento / rede sai pela janela.

    O laptop de qualquer usuário que pegou um vírus em casa pode infectar a rede e derrubar os servidores ou colocá-los no meio. Você não tem como manter um dispositivo comprometido longe de locais de rede sensíveis, como interfaces de gerenciamento de servidores fora de banda. Um erro de digitação em uma reconfiguração inocente de configurações de rede pode potencialmente causar conflito de IP com qualquer outro dispositivo na rede.

Se eles não estão planejando crescer de alguma forma que exigiria mais sub-redes e não planejam adicionar complexidade ou segurança à rede, tudo bem, já que é efetivamente idêntico à configuração atual da rede. mas se eles estão pedindo por isso, eles obviamente estão planejando expandir.

Desnecessário na melhor das hipóteses, e seriamente má ideia na pior das hipóteses.

    
por 08.12.2012 / 23:57
7

Não, não há nada de errado em usar uma máscara maior, se o número de hosts dentro permanecer o mesmo.

O único problema é que isso faz com que os administradores de rede fiquem com preguiça e não façam sub-redes adequadas, resultando em um grande número de hosts que estão no mesmo domínio de broadcast. Por exemplo, cada solicitação ARP é uma transmissão e todas as máquinas (no mesmo domínio de transmissão) precisam processá-la (embora geralmente uma responda). O mesmo vale para outros protocolos usando transmissão.

Outro problema poderia ser o espaço de endereçamento, já que o 10/8 tem espaço para apenas 16/12 redes e, se eles continuarem com seus / 12 pedidos, eles só poderão caber mais 15.

Alguns softwares de segurança, que fazem port / pingscans, para descobrir hosts ao vivo, ocupam muito mais tempo do que o fazem agora (se tiverem).

Caso contrário, não importa. Se você tiver apenas dois hosts, o desempenho será o mesmo com um / 30 ou um / 8 - o tamanho da rede não causa problemas de desempenho.

    
por 08.12.2012 / 23:09
6

Os argumentos contra isso que eu posso ver é que você tem um domínio de broadcast maior, e eles não teriam tantas sub-redes adicionais disponíveis no 10.X.X.X.

Para combater o argumento de broadcasts, se eles estão planejando apenas para crescimento futuro, o impacto na rede atual deve ser insignificante. Você também pode limitar os servidores DHCP a distribuir apenas uma pequena parte da sub-rede completa para controlar as coisas até que mais IPs sejam realmente necessários.

Eu pessoalmente ainda argumentaria contra isso, já que é desnecessário. Identifique o número de endereços de host necessários e projete para o crescimento futuro, em vez de apenas lançar uma enorme sub-rede por aí.

    
por 08.12.2012 / 23:25
4

Um empregador anterior tinha um grande departamento para reprojetar sua rede departamental em torno de um / 16. Mesmo que esse departamento em particular tenha vários sites em links de latência relativamente alta (área de banda larga municipal). Funcionou para eles, e isso estava chegando há uma década, quando os links Gig eram apenas comuns no datacenter e nos links de distribuição.

Até onde eu sabia, eles nunca tiveram problemas com problemas de transmissão. Como eu disse, isso foi há cerca de uma década, com muitos dispositivos estúpidos lidando com o tráfego de broadcast; dispositivos modernos não deveriam sequer pensar duas vezes sobre isso. Essa rede em particular tinha aproximadamente o dobro dos nós que você tinha.

Ou seja, não há nada errado com uma sub-rede tão grande, desde que sua rede possa lidar com isso .

    
por 09.12.2012 / 01:16
Encontrando tempo para tarefas importantes, mas não urgentes [fechadas] Como definir ExecutionPolicy: acesso à chave do registro negada