Trang web của khách hàng đã hết địa chỉ IP, họ muốn đi từ / 24 đến / 12 netmask Giảm Ý tưởng tồi?


22

Một trong những trang web khách hàng của tôi được gọi để yêu cầu tôi thay đổi mặt nạ mạng con của các máy chủ Linux mà tôi quản lý ở đó trong khi họ IP lại / thay đổi netmask của mạng dựa trên sơ đồ 10.0.0.x.

"Bạn có thể thay đổi mạng máy chủ Linux từ 255.255.255.0 thành 255.240.0.0 không?"

Ý bạn là, 255.255.240.0?

"Không, 255.240.0.0."

Bạn có chắc là bạn cần nhiều địa chỉ IP không?

"Vâng, chúng tôi không bao giờ muốn hết địa chỉ IP."

Kiểm tra nhanh đối với Subnet Cheat Sheet cho thấy:

  • một netmask 255.255.255.0 , a / 24 cung cấp 256 máy chủ. Rõ ràng để thấy rằng một tổ chức có thể sử dụng hết số lượng địa chỉ IP đó.
  • một netmask 255.240.0.0 , a / 12 cung cấp 1.048.576 máy chủ. Đây là một trang web nhỏ <200 người dùng. Tôi nghi ngờ rằng họ sẽ phân bổ hơn 400 địa chỉ IP, bao giờ ... Có thể 500, nhưng tại thời điểm đó, nhiều mạng con / Vlan nên được thiết lập.

Tôi đã đề xuất một cái gì đó cung cấp ít máy chủ hơn, như a / 22 hoặc / 21 (tương ứng 1024 và 2048 máy chủ), nhưng không thể đưa ra lý do cụ thể chống lại việc sử dụng mạng con / 12.

Có điều gì khách hàng này nên quan tâm? Có bất kỳ lý do cụ thể nào họ không nên sử dụng một mặt nạ cực kỳ lớn như vậy trong môi trường của họ không?


Đối số nên tập trung nhiều hơn vào việc họ có nên hoặc có thể có tất cả các địa chỉ trong tương lai trong cùng một mạng con hay không, nếu họ có thể cần phải phân chia các mạng con. Sau đó đưa ra vấn đề mở rộng ARP.
Skaperen

3
Bạn chắc chắn không muốn làm điều này. Có những ứng dụng sẽ ARP cho mọi IP hợp lệ trong mạng con. Bạn thực sự muốn điều đó bị ràng buộc. Ngoài ra, bằng cách tiêu thụ nhiều địa chỉ IP hơn với một mạng con này, bạn thực sự tăng cơ hội bạn sẽ hết địa chỉ IP. (Mặc dù nó vẫn gần bằng 0 trong cả hai trường hợp.) Đây có thể là thời điểm tốt để xem xét liệu họ đã vượt qua một mạng con chưa.
David Schwartz

2
Họ nên chuyển sang IPv6. ;-).
Phục hồi Monica - M. Schröder

Đánh cắp địa chỉ IP của gateway có thể ngắt kết nối mạng đó khỏi các mạng khác (và Internet). Tôi đã gặp sự cố như vậy trong các mạng của mình và đó là một trong những lý do khiến tôi đưa người dùng, khách, máy chủ, v.v. vào các Vlan-s riêng biệt. Các lý do khác (bảo mật, ARP, v.v.) được đề cập trong các bình luận khác.
0xFF

Câu trả lời:


25
  • Như đã nêu trong các câu trả lời khác, việc có quá nhiều máy chủ trong miền phát sóng thực sự có thể bắt đầu khiến việc phát sóng trở nên lộn xộn.

    Họ sẽ cần rất nhiều sự mở rộng trong mạng con trước khi nó trở thành một vấn đề tiềm năng.

  • Kế hoạch tăng trưởng trong tương lai trở thành một mớ hỗn độn.

    Việc thêm các trang web bổ sung với không gian IP của riêng họ trở nên khó khăn khi bạn đã đặt một dấu chân khổng lồ không cần thiết vào không gian có sẵn.

  • Ranh giới an ninh mạng nội bộ trở nên không thể.

    Việc chỉ định các mạng con khác nhau cho các nhóm người dùng khác nhau và phân tách các máy chủ bảo mật thấp / máy chủ bảo mật cao / giao diện quản lý hạn chế của máy chủ / thiết bị lưu trữ / mạng đi ra ngoài cửa sổ.

    Bất kỳ máy tính xách tay của người dùng nào phát hiện vi-rút tại nhà đều có thể ARP đầu độc mạng và hạ gục máy chủ hoặc xử lý chúng. Bạn không có cách nào để giữ một thiết bị bị xâm nhập khỏi các vị trí mạng nhạy cảm, như giao diện quản lý ngoài băng tần của máy chủ. Một lỗi đánh máy trong cấu hình lại vô tội của cài đặt mạng có thể có khả năng xung đột IP với bất kỳ thiết bị nào khác trên mạng.

Nếu họ không có kế hoạch phát triển theo bất kỳ cách nào sẽ yêu cầu nhiều mạng con hơn và không có kế hoạch thêm bất kỳ sự phức tạp hoặc bảo mật nào vào mạng của họ, thì cũng tốt, vì nó thực sự giống với cấu hình mạng hiện tại của họ - nhưng nếu chúng Tôi đang yêu cầu điều này, rõ ràng họ đang lên kế hoạch mở rộng.

Không cần thiết ở mức tốt nhất, và ý tưởng tồi tệ nhất là tồi tệ nhất.


Giải thích tuyệt vời!
ewwhite

7

Không, không có gì sai khi sử dụng mặt nạ lớn hơn, nếu số lượng máy chủ bên trong vẫn giữ nguyên.

Vấn đề duy nhất là việc làm này khiến quản trị viên mạng trở nên lười biếng và không thực hiện việc chia mạng con đúng cách, dẫn đến một số lượng lớn máy chủ lưu trữ trong cùng một miền quảng bá. Ví dụ: mỗi yêu cầu ARP là một chương trình phát sóng và tất cả các máy (trong cùng một miền quảng bá) phải xử lý nó (mặc dù thường thì một người sẽ trả lời). Tương tự với các giao thức khác sử dụng phát sóng.

Vấn đề khác có thể là không gian địa chỉ, vì 10/8 chỉ có không gian cho 16/12 mạng và nếu họ tiếp tục với / 12 yêu cầu của mình, họ chỉ có thể phù hợp với 15 mạng nữa.

Một số phần mềm bảo mật, có cổng / pingscans, để khám phá các máy chủ trực tiếp sẽ mất nhiều thời gian hơn bây giờ (nếu họ có nó).

Mặt khác, nó không thành vấn đề. Nếu bạn chỉ có hai máy chủ, hiệu suất sẽ tương đương với a / 30 hoặc a / 8 - kích thước của mạng không gây ra bất kỳ vấn đề nào về hiệu suất.


Tôi đề nghị tương tự và đã được đánh giá thấp cho nó. Bạn CÓ THỂ kiểm soát vấn đề phát sóng bằng chức năng Vlan.
mdpc

Đây là một địa điểm duy nhất, vì vậy tôi không nghĩ rằng thêm / 12 đã được lên kế hoạch. Phần mềm bảo mật và camera IP IS được trộn lẫn.
ewwhite

3
@mdpc Bạn không thể kiểm soát các chương trình phát sóng bằng Vlan nếu tất cả các máy chủ lưu trữ trong một mạng con ... trong một Vlan ...
HostBits

Các Vlan khác nhau trên cùng một mạng con chỉ đơn giản là kiến ​​trúc xấu và thực sự tạo ra vấn đề khi các máy chủ cố gắng nói chuyện với nhau.
Falcon Momot

6

Các đối số chống lại tôi có thể thấy là bạn sau đó có một miền quảng bá lớn hơn và chúng sẽ không có nhiều mạng con bổ sung có sẵn từ 10.XXX

Để chống lại đối số phát sóng, nếu họ chỉ lập kế hoạch cho sự phát triển trong tương lai, tác động đến mạng hiện tại sẽ không đáng kể. Bạn cũng có thể giới hạn các máy chủ DHCP của mình chỉ phân phối một phần nhỏ của mạng con đầy đủ để kiểm soát mọi thứ cho đến khi thực sự cần nhiều IP hơn.

Cá nhân tôi vẫn sẽ tranh luận chống lại làm như vậy, vì nó không cần thiết. Xác định số lượng địa chỉ máy chủ cần thiết và dự án cho sự phát triển trong tương lai thay vì chỉ ném một mạng con khổng lồ ra khỏi đó.


4

Một chủ nhân trước đó đã có một bộ phận lớn quyết định thiết kế lại mạng lưới bộ phận của họ vào khoảng 16. Mặc dù bộ phận đặc biệt này có nhiều trang web trên các liên kết có độ trễ tương đối cao (băng thông rộng khu vực thành phố). Nó đã làm việc cho họ và điều này đã xuất hiện từ một thập kỷ trước khi các liên kết Gig chỉ phổ biến trong trung tâm dữ liệu và trong các liên kết phân phối.

Theo như tôi biết, họ không bao giờ có vấn đề gì với vấn đề phát sóng. Như tôi đã nói, đây là khoảng một thập kỷ trước với nhiều thiết bị ngu ngốc xử lý lưu lượng phát sóng; các thiết bị hiện đại thậm chí không nên nghĩ hai lần về nó. Mạng đặc biệt này có khoảng hai lần các nút bạn có.


Có thể nói, không có gì sai với một mạng con lớn như vậy , miễn là mạng của bạn có thể xử lý nó .

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.