Existe um número excessivo de endereços IP?

8

Iniciamos um pequeno debate no escritório e cheguei ao ponto em que não tenho mais o conhecimento técnico para continuar.

Existe algo como ter muitos endereços IP? Não estou sugerindo que usemos o 10. privado inteiro * Classe A, mas não vejo por que não poderíamos se quiséssemos também.

Sinceramente, acho que a "fragmentação de sub-rede" é uma maneira desatualizada de pensar, mas quero continuar a discussão técnica.

Atualmente, nossa máscara de sub-rede principal está configurada para usar 4 classes B, o que é um exagero em termos de grande número de endereços IP disponíveis, para nossas pequenas empresas.

Mas a questão é: que problemas (se houver) cria um amplo espaço IP privado?

subnet VxJasonxV
fonte
11
A classe A / B / C / D não é usada há 10 anos? Não é sua primeira munição :)
Mark Henderson
Estou confuso. Eu pensei que o CIDR fosse inteiramente predominante, mais ainda nos últimos 10 anos. Talvez eu deva parar de dizer Classe A / B / C / D e começar a dizer / 8, / 16, / 24, / 32? (Eu pensei que eles eram a mesma coisa, mas talvez que foi meu próprio erro.)
VxJasonxV
11
Classe D = / = / 32. Só estou dizendo :) A maioria das pessoas sabe o que você quer dizer quando diz "classe A", mas tecnicamente isso se refere a um IP que começa com 00 binário, não a uma rede de um determinado tamanho. "Slash 8" é normalmente o que eu digo.
Bill Weiss

Respostas:

5

A conformidade com vários padrões se tornará impossível, a segurança das redes se tornará mais difícil, um vírus se espalhará mais facilmente, a qualidade do serviço se tornará mais difícil, as tabelas MAC / CAM ficarão cheias.

Ainda existem todos os tipos de problemas em apenas agrupar tudo em um balde.

Também não se esqueça, à medida que a velocidade nas LANs aumenta, assim como os usos. Especialmente quando se trata do data center. Muitos locais são executados com 50% de utilização em seus troncos. Eu já vi alguns que rodam acima de 65% constantemente em troncos 10gig. Diga a essas pessoas para adicionar tráfego desnecessário.

O uso de sub-redes grandes por nenhum outro motivo além de "você pode" é bom quando você é um lugar minúsculo que realmente não precisa de mais de 2 VLANs. Depois de deixar o mundo das pequenas empresas, as coisas aumentam bastante a complexidade.

O outro motivo óbvio seria impedir o preenchimento das tabelas CAM, o que pode causar interrupções, dependendo da implementação no firmware, de como as coisas são tratadas com os preenchimentos da tabela de comutadores.

Sclarson
fonte
9

O único problema são possíveis conflitos ao se conectar às redes do parceiro ou durante fusões / aquisições. Alguns desses problemas podem ser atenuados usando o NAT de origem e destino em dispositivos de borda. Além disso, apenas porque você usa 10.1.0.0/24 não significa que você não terá exatamente os mesmos problemas.

Doug Luxem
fonte
11
Também é muito bom ter para fins de segurança. Sem mencionar que você acabará por ter muitas transmissões em andamento. À medida que as velocidades dos switches aumentam e a "necessidade desaparece", também colocamos cada vez mais importância na LAN permanecendo sempre ativa.
Sclarson
5

Na verdade, não - contanto que você limite a quantidade de dispositivos reais a algo que a rede manipulará ... mas, novamente, por que uma quantidade tão grande de nós possíveis nessa rede se você não os usará todos?

A segmentação de redes é boa para muitas coisas, inclusive fornecendo uma estrutura lógica e uma visão geral, reforçando a segurança dividindo funções e / ou locais em redes diferentes e, portanto, em quarto lugar.

Uma coisa que as pessoas geralmente não pensam é separar as impressoras e outros dispositivos de rede altamente vulneráveis ​​e desprotegidos em sua própria rede - com acesso apenas para dizer um servidor de impressão específico. E ainda existem os usuais, dependendo das demandas de segurança das informações da sua organização.

A segurança vem com camadas, a segmentação de rede é uma das muitas para ajudar a tornar as coisas menos vulneráveis ​​a problemas de segurança (= acesso, integridade e disponibilidade).

Oskar Duveborn
fonte
2
Eu geralmente concordo. Não estou a bordo com dispositivos de organização "lógica" por sub-rede, a menos que haja um problema de tráfego ou a necessidade de filtrar o tráfego. Interessante que você mencionou colocar impressoras em uma camada isolada 2 com acesso limitado. Eu tentei passar isso para as pessoas por anos com diferentes graus de sucesso. Algumas pessoas (normalmente não de TI) em posições de autoridade confiam implicitamente na saída impressa. Como tal, um possível hack da "engenharia social" envolveria a modificação / falsificação da saída impressa. Já ouviu falar de presos libertados da prisão com base em faxes falsificados? Acontece!
Evan Anderson
Eu nunca ouvi falar de um preso sendo libertado com base em um fax. Deve ser um problema local. ;)
John Gardeniers 10/11/2009
Bem, esses dois são da Flórida e Kentucky, respectivamente, então tenho certeza de que houve alguma influência local ... heh heh ... heraldtribune.com/article/20090716/ARTICLE/… e freerepublic.com/focus/f-news / 1821482 / posts
Evan Anderson
11
Há uma razão para o Fark ter uma categoria dedicada "Florida", a FWIW.
VxJasonxV 11/11/2009
Ah sim, e uhh. Nenhum comentário sobre o comentário de Kentucky; D.
VxJasonxV 11/11/2009
2

O problema que vejo com muitos IPs não está limitando o domínio de broadcast. Por outro lado, com switches de 1Gb, não posso mais dizer que isso importa muito, a menos que você esteja tentando cavar os logs do switch e do firewall.

Skaughty
fonte
1

Além de possíveis conflitos com redes de parceiros conectadas por VPN, não há problemas.

O que eu normalmente recomendo é usar / 24 pedaços de qualquer maneira, independentemente do intervalo em que você os estiver separando. Então, digamos, você atribui 10.27.1 / 24 ao escritório, 10.27.2 / 24 à sub-rede DB no datacenter, 10.27.3 / 24 à sub-rede de aplicativos no datacenter, 10.27.100 / 24 para a VPN clientes e assim por diante.

Florin Andrei
fonte
11
Agora isso soa como trabalho extra sem motivo, além de adicionar carga extra aos dispositivos da camada 3.
314 Doug Luxem
11
É 2009; isso não é um problema, a menos que você exagere.
duffbeer703
11
@DLux Eu estava assumindo uma rede roteada, não uma topologia plana. Veja os exemplos que eu dei, geralmente são redes fisicamente separadas, com roteamento entre elas. Se for plano, não será necessário fragmentá-lo (mas você ainda pode, se assim o desejar).
Florin Andrei
11
Entendo o que você está dizendo agora. :) Geralmente, eu sub-rede em partições / zonas de segurança, que é praticamente o que você disse.
Doug Luxem
2
Existem apenas dois motivos para sub-rede de uma LAN Ethernet comutada: atenuar problemas de desempenho (tráfego excessivo de transmissão ou inundação de quadros para destinos desconhecidos) ou impor funções de filtragem de pacotes na camada 3 ou superior nos "pontos de estrangulamento" onde os roteadores movem pacotes entre sub-redes (normalmente por segurança). Qualquer outro motivo (estético, principalmente-- "Eu quero que todos os computadores xxx estejam na mesma sub-rede porque parece bom ...") é um motivo inválido.
Evan Anderson
1

Dependendo do tamanho das suas transmissões de sub-rede, pode ser um problema, embora, dependendo da velocidade da sua rede, talvez não.

Uma desvantagem, porém, é que você está limitando sua capacidade de expansão futura. Você pode precisar apenas de uma sub-rede agora, mas quem pode dizer que não precisará de mais no futuro? Você pode expandir, pode querer configurar sub-redes separadas para algumas partes da sua rede e assim por diante.

Eu também abandonaria o pensamento de "classe" e usaria o CIDR para suas sub-redes. As aulas realmente não existem mais fora dos cursos universitários e dos livros de história, e o CIDR oferece muito mais flexibilidade.

Uma boa regra geral é pegar o que você acha que precisa e dobrá-lo, por isso, se você tiver 50 hosts (e não se esqueça de incluir servidores, impressoras, comutadores etc.) aqui, uma máscara de rede de 25 bits (oferecendo a você 128 hosts, menos 2 para rede e transmissão) cobrem o que você precisa e oferecem algum espaço livre.

Maximus Minimus
fonte
0

Bem, o Switch conectado ao seu servidor Uber-IP tem um número limitado de entradas disponíveis na tabela ARP. Além disso, você veria muito ARP gratuito no seu Broadcast Domin.

Salgado levemente
fonte
11
.... e swicthes não fazem ARP
Javier
11
Eu daria a vocês dois representantes por isso, se eu pudesse. Na verdade, votei em você, DLux, então acho que posso. Estou tão cansado de ouvir falar de switches e "tabelas ARP" quando as pessoas querem dizer "tabelas de ponte / MAC".
Evan Anderson
2
@parasques: os dispositivos da camada 3 possuem tabelas ARP. Os switches, estritamente operando na camada 2, não possuem tabelas ARP. Se o switch tiver uma interface de gerenciamento que se comunique na camada 3 ou um mecanismo de roteamento, esses dispositivos terão tabelas ARP.
Evan Anderson
11
Acho útil explicar "switches da camada 3" como switches da camada 2 (que eu explico como pontes de várias portas) com um roteador muito rápido escondido dentro. Tento explicar a funcionalidade de roteamento separadamente da funcionalidade de comutação. A caixa faz as duas coisas, mas partes diferentes da caixa fazem coisas diferentes. (Alguns antigos módulos supervisor Catalisador trabalhou assim, demasiado-- havia silício router sentado na lâmina SUP e tinha a sua própria interface de gestão.)
Evan Anderson
11
um switch é uma ponte multiportas. nada mais de que é melhor entendida como um dispositivo separado integrado na mesma caixa
Javier
0

Nada que eu possa pensar além de ser um pouco mais difícil de configurar (e possivelmente administrar). E ainda há a questão de quantidades decrescentes de endereços IP (até IPV6).

Nori
fonte
A declaração de "endereçamento IP privado" e o exemplo do uso de 10/14 torna a "quantidade decrescente de endereços IP" um pouco irrelevante.
VxJasonxV 11/11/2009
0

Uma rede que eu herdei estava cheia de / 16s. Ie 10.1.xx, 10.2.xx.

Foi bom para agrupar faixas de IP e você pode olhar para um IP e saber exatamente o que era .. Oh, o 10.4.20.Xs são todos bancos de dados, etc ... MAS ...

Eventualmente, tivemos que limpá-lo, e encontrar todos os IPs aleatórios fora uma tarefa árdua.

É muito mais fácil fazer uma verificação de nmap ping de um / 24 do que um / 16.

No redesenho, decidimos nos / 22s. (1024 ips)

Eu acho que uma regra geral de alocação para o que você precisa hoje com uma sobrecarga saudável para crescer é uma boa prática.

Joel K
fonte
0

Começava com o número máximo de dispositivos que alguma vez estaria em uma rede, duplicava ou triplicava e depois verificava se eu tinha redes suficientes. Ao usar a rede RTE, não deve ser difícil encontrar um equilíbrio. Por exemplo, digamos que 100 dispositivos seja o máximo. Se você escolhesse / 22 como sua máscara, teria 16.384 redes que poderiam ter 1022 dispositivos:

Mask:255.255.252.0   Host/Net - 1022
Network          Broadcast
10.0.0.0         10.0.3.255
10.0.4.0         10.0.7.255
10.0.8.0         10.0.11.255
10.0.12.0        10.0.15.255
10.0.16.0        10.0.19.255
10.0.20.0        10.0.23.255
10.0.24.0        10.0.27.255
10.0.28.0        10.0.31.255
10.0.32.0        10.0.35.255
10.0.36.0        10.0.39.255
10.0.40.0        10.0.43.255
dbasnett
fonte