O site do cliente está sem endereços IP, eles querem passar de / 24 para / 12 máscara de rede ... Idéia ruim?

22

Um dos sites de meus clientes ligou para me pedir para alterar as máscaras de sub-rede dos servidores Linux que eu gerencio lá enquanto eles re-IP / alteram a máscara de rede de sua rede com base em um esquema 10.0.0.x.

"Você pode alterar as máscaras de rede do servidor Linux de 255.255.255.0 para 255.240.0.0?"

Você quer dizer 255.255.240.0?

"Não, 255.240.0.0."

Tem certeza de que precisa de muitos endereços IP?

"Sim, nunca queremos ficar sem endereços IP."

Uma verificação rápida na Folha de dicas de sub - rede mostra:

  • uma máscara de rede 255.255.255.0 , a / 24 fornece 256 hosts. É claro que uma organização pode esgotar esse número de endereços IP.
  • uma máscara de rede 255.240.0.0 , a / 12 fornece 1.048.576 hosts. Este é um site pequeno com <200 usuários. Duvido que eles alocariam mais de 400 endereços IP, sempre ... Talvez 500, mas nesse ponto, mais sub-redes / VLANs devem ser estabelecidas.

Sugeri algo que fornece menos hosts, como um / 22 ou / 21 (hosts 1024 e 2048, respectivamente), mas não foi possível fornecer um motivo específico contra o uso da sub-rede / 12.

Existe algo com que este cliente deva se preocupar? Existem razões específicas para eles não usarem uma máscara tão incrivelmente grande em seu ambiente?

ewwhite
fonte
O argumento deve se concentrar mais em se eles devem ou não ter todos os endereços futuros na mesma sub-rede ou se podem precisar dividir sub-redes. Em seguida, traga o problema de dimensionamento do ARP.
Skaperen
3
Você definitivamente não quer fazer isso. Existem aplicativos que serão ARP para cada IP válido na sub-rede. Você realmente quer que isso seja limitado. Além disso, ao consumir mais endereços IP com essa sub-rede, você aumenta a chance de ficar sem endereços IP. (Embora ainda esteja próximo de zero nos dois casos.) Esse pode ser um bom momento para considerar se eles já superaram uma única sub-rede.
9788 David Schwartz #
2
Eles devem migrar para o IPv6. ;-).
Restabeleça Monica - M. Schröder
O roubo do endereço IP do gateway pode desconectar essa rede de outras redes (e Internet). Eu tive esses problemas em minhas redes e essa é uma das razões pelas quais estou colocando usuários, convidados, servidores etc. em VLANs separadas. Outros motivos (segurança, ARP, etc.) são mencionados em outros comentários.
0xFF

Respostas:

25
  • Como afirmado em outras respostas, ter muitos hosts no domínio de broadcast pode realmente começar a fazer com que as transmissões sejam uma bagunça.

    Eles precisarão de muita expansão na sub-rede antes que se torne um problema em potencial.

  • O planejamento do crescimento futuro se torna uma bagunça.

    A adição de sites extras com seu próprio espaço IP se torna difícil quando você já possui um espaço desnecessariamente grande no espaço disponível.

  • Os limites internos de segurança da rede se tornam impossíveis.

    Atribuir sub-redes diferentes a diferentes grupos de usuários e dividir servidores de baixa segurança / servidores de alta segurança / interfaces de gerenciamento restrito de servidores / dispositivos de armazenamento / rede sai pela janela.

    O laptop de qualquer usuário que pegou um vírus em casa pode ARP envenenar a rede e derrubar os servidores ou man-in-the-middle. Você não tem como manter um dispositivo comprometido longe de locais sensíveis da rede, como interfaces de gerenciamento fora de banda de servidores. Um erro de digitação em uma reconfiguração inocente das configurações de rede pode potencialmente entrar em conflito com o IP com qualquer outro dispositivo na rede.

Se eles não estão planejando crescer de alguma maneira que exija mais sub-redes, e não planejam adicionar complexidade ou segurança à sua rede, tudo bem, pois é efetivamente idêntico à sua configuração de rede atual - mas se eles estão pedindo por isso, eles obviamente estão planejando expandir.

Desnecessário na melhor das hipóteses, e seriamente péssima idéia na pior.

Shane Madden
fonte
Excelente explicação!
precisa saber é o seguinte
7

Não, não há nada errado em usar uma máscara maior, se o número de hosts internos permanecer o mesmo.

O único problema é que isso faz com que os administradores de rede fiquem preguiçosos e não façam sub-redes apropriadas, resultando em um grande número de hosts no mesmo domínio de broadcast. Por exemplo, cada solicitação de ARP é uma transmissão e todas as máquinas (no mesmo domínio de transmissão) precisam processá-la (mesmo que geralmente uma delas responda). O mesmo vale para outros protocolos usando broadcast.

Outro problema poderia ser o espaço de endereço, já que 10/8 tem espaço para apenas 16/12 redes e, se eles continuarem com suas solicitações / 12, poderão caber apenas mais 15.

Alguns softwares de segurança, que portam / pingscans, para descobrir hosts ao vivo, levam muito mais tempo do que agora (se houver).

Caso contrário, isso não importa. Se você tiver apenas dois hosts, o desempenho será o mesmo com a / 30 ou a / 8 - o tamanho da rede não causa problemas de desempenho.

mulaz
fonte
Eu sugeri o mesmo e fui votado para isso. Você pode controlar o problema de transmissão usando a funcionalidade VLAN.
Mdpc
Este é um local único, então não acho que outros 12 foram planejados. O software de câmera de segurança e IP está no mix.
precisa saber é
3
@mdpc Você não pode controlar transmissões com VLANs, se todos os hosts estão em uma sub-rede ... em uma VLAN ...
bits de host
VLANs diferentes na mesma sub-rede são simplesmente arquitetura ruim e, na verdade, criam problemas quando os hosts tentam conversar entre si.
Falcon Momot
6

Os argumentos contra ele que posso ver são que você tem um domínio de transmissão maior e eles não teriam tantas sub-redes disponíveis a partir do 10.XXX

Para combater o argumento de difusão, se eles estão planejando apenas um crescimento futuro, o impacto na rede atual deve ser insignificante. Você também pode limitar seus servidores DHCP para distribuir apenas uma pequena parte da sub-rede completa para controlar as coisas até que mais IPs sejam realmente necessários.

Eu pessoalmente ainda argumentaria contra fazê-lo, pois é desnecessário. Identifique o número de endereços de host necessários e projete um crescimento futuro em vez de apenas lançar uma enorme sub-rede por aí.

HostBits
fonte
4

Um empregador anterior tinha um departamento grande decidindo redesenhar sua rede departamental em torno de um / 16. Embora esse departamento em particular tenha vários sites em links de latência relativamente alta (banda larga da área municipal). Funcionou para eles, e isso ocorreu uma década atrás, quando os links Gig eram comuns apenas no datacenter e nos links de distribuição.

Até onde eu sabia, eles nunca tiveram nenhum problema com problemas de transmissão. Como eu disse, isso foi há cerca de uma década atrás, com muitos dispositivos mais estúpidos lidando com tráfego de transmissão; os dispositivos modernos nem deveriam pensar duas vezes sobre isso. Essa rede específica tinha cerca do dobro dos nós que você tinha.


Ou seja, não há nada errado com uma sub-rede tão grande, desde que sua rede possa lidar com isso .

sysadmin1138
fonte