Có một điều như quá nhiều địa chỉ IP?

Chúng tôi đã bắt đầu một cuộc tranh luận nhỏ trong văn phòng, và tôi đã đạt đến điểm mà tôi không còn kiến ​​thức kỹ thuật để tiếp tục.

Có một điều như là có quá nhiều địa chỉ IP? Tôi không đề nghị chúng tôi sử dụng toàn bộ riêng tư 10. * Lớp A, nhưng tôi không hiểu tại sao chúng tôi không thể nếu chúng tôi cũng muốn.

Tôi thành thật nghĩ rằng "phân mảnh mạng con" là một cách suy nghĩ lỗi thời, nhưng tôi muốn tiếp tục thảo luận về kỹ thuật.

Hiện tại, mặt nạ mạng con chính của chúng tôi được định cấu hình để sử dụng 4 lớp B, nghĩa là quá mức về số lượng địa chỉ IP có sẵn, cho doanh nghiệp nhỏ của chúng tôi.

Nhưng câu hỏi là, có vấn đề gì (nếu có) không khi có một không gian IP riêng rộng?

Việc tuân thủ các tiêu chuẩn khác nhau sẽ trở nên bất khả thi, việc bảo mật mạng trở nên khó khăn hơn, virus sẽ lây lan dễ dàng hơn, chất lượng dịch vụ trở nên khó khăn hơn, các bảng MAC / CAM trở nên đầy đủ.

Vẫn còn đủ loại vấn đề chỉ với việc vứt bỏ mọi thứ trong một thùng.

Cũng đừng quên khi tốc độ trên mạng LAN tăng lên, việc sử dụng cũng vậy. Đặc biệt là khi nói đến trung tâm dữ liệu. Nhiều nơi chạy với mức sử dụng 50% trên thân cây của họ. Tôi đã thấy một số chạy liên tục cao hơn 65% trên các thân cây 10gig. Nói với những người đó để thêm lưu lượng không cần thiết.

Sử dụng các mạng con lớn mà không có lý do nào khác ngoài "bạn có thể" sẽ ổn khi bạn là một nơi nhỏ bé thực sự không cần nhiều hơn 2 Vlan. Khi bạn rời khỏi thế giới kinh doanh nhỏ, bạn sẽ thấy mọi thứ tăng lên khá phức tạp.

Lý do rõ ràng khác là để ngăn các bảng CAM của bạn điền vào có thể bị mất điện, tùy thuộc vào việc triển khai trong phần sụn để biết cách xử lý mọi thứ với bảng chuyển đổi.

Vấn đề duy nhất là xung đột có thể xảy ra khi kết nối với mạng của đối tác hoặc trong quá trình sáp nhập / mua lại. Một số vấn đề có thể được giảm thiểu bằng cách sử dụng NAT nguồn và đích trên các thiết bị cạnh. Ngoài ra, chỉ vì bạn sử dụng 10.1.0.0/24 không có nghĩa là bạn sẽ không gặp phải vấn đề tương tự.

Không thực sự - miễn là bạn giới hạn số lượng thiết bị thực tế vào thứ gì đó mà mạng sẽ xử lý ... nhưng sau đó, tại sao lại có một số lượng lớn các nút có thể có trong mạng đó nếu bạn không sử dụng tất cả?

Các mạng phân đoạn tốt cho nhiều thứ bao gồm cung cấp cấu trúc và tổng quan logic, thắt chặt bảo mật bằng cách phân chia vai trò và / hoặc vị trí thành các mạng khác nhau và thứ tư.

Một điều mọi người thường không nghĩ đến là tách máy in và các thiết bị mạng không dễ bị tổn thương và không được bảo vệ khác vào mạng riêng của họ - chỉ có quyền truy cập để nói một máy chủ in cụ thể. Và sau đó là tất cả những cái thông thường tùy thuộc vào nhu cầu bảo mật thông tin của tổ chức của bạn.

Bảo mật đi kèm với các lớp, phân đoạn mạng là một trong nhiều cách giúp công cụ ít bị tổn thương hơn đối với các vấn đề bảo mật (= quyền truy cập, tính toàn vẹn và tính sẵn sàng).

Vấn đề tôi thấy với nhiều IP không giới hạn miền phát sóng. Mặt khác, với các công tắc 1Gb, tôi thực sự không thể nói rằng vấn đề là tấn nữa, trừ khi bạn đang cố gắng đào qua các bản ghi công tắc và tường lửa.

Khác với các xung đột tiềm ẩn với các mạng đối tác được kết nối qua VPN, không có vấn đề gì.

Những gì tôi thường khuyên là nên sử dụng / 24 khối dù thế nào, bất kể phạm vi bạn đang tách chúng ra khỏi phạm vi nào. Vì vậy, giả sử, bạn gán 10.27.1 / 24 cho văn phòng, 10.27.2 / 24 cho mạng con DB tại trung tâm dữ liệu, 10.27.3 / 24 cho mạng con ứng dụng tại trung tâm dữ liệu, 10.27.100 / 24 cho VPN khách hàng, và như vậy.

Tùy thuộc vào kích thước phát sóng mạng con của bạn có thể là một vấn đề, mặc dù tùy thuộc vào tốc độ mạng của bạn, chúng có thể không.

Tuy nhiên, một nhược điểm là bạn đang hạn chế khả năng mở rộng trong tương lai. Bạn có thể chỉ cần một mạng con bây giờ, nhưng ai sẽ nói bạn sẽ không cần nhiều hơn trong tương lai? Bạn có thể mở rộng, bạn có thể muốn thiết lập các mạng con riêng cho một số phần trong mạng của mình, v.v.

Tôi cũng sẽ bỏ suy nghĩ "đẳng cấp" và sử dụng CIDR cho các mạng con của bạn. Các lớp học không thực sự tồn tại nữa bên ngoài các khóa học đại học và sách lịch sử, và CIDR giúp bạn linh hoạt hơn rất nhiều.

Một nguyên tắc tốt với những điều này là lấy những gì bạn nghĩ là bạn cần và nhân đôi nó, vì vậy nếu bạn có 50 máy chủ (và đừng quên bao gồm máy chủ, máy in, công tắc, v.v. ở đây) một netmask 25 bit (cung cấp cho bạn 128 máy chủ, ít hơn 2 cho mạng và phát sóng) sẽ bao gồm những gì bạn cần và cung cấp cho bạn một số khoảng trống.

Chà, Switch được kết nối với máy chủ Uber-IP của bạn có số lượng mục nhập có hạn trong bảng ARP. Cũng như bạn sẽ thấy rất nhiều ARP vô cớ trên Broadcast Domin của bạn.

Không ai mà tôi có thể nghĩ ra ngoài việc khó thiết lập hơn một chút (và có thể là quản trị). Và sau đó là vấn đề suy giảm số lượng địa chỉ IP (cho đến IPV6).

Một mạng tôi được thừa kế có đầy đủ / 16 giây .. tức là 10.1.xx, 10.2.xx.

Thật tuyệt khi nhóm các dải ip và bạn có thể nhìn vào một IP và biết chính xác nó là gì .. Ôi, 10,4.20.X đều là cơ sở dữ liệu, v.v ... NHƯNG ...

Cuối cùng, chúng tôi đã phải dọn sạch nó và việc tìm kiếm tất cả các IP ngẫu nhiên là một việc vặt.

Việc quét ping nmap của a / 24 dễ dàng hơn nhiều so với a / 16.

Trong thiết kế lại, chúng tôi giải quyết vào / 22s. (1024 ips)

Tôi nghĩ rằng một quy tắc chung về phân bổ cho những gì bạn cần ngày hôm nay với một chi phí tốt cho sức khỏe để phát triển là một thực hành tốt.

Tôi sẽ bắt đầu với số lượng thiết bị tối đa có trên mạng và tăng gấp đôi hoặc gấp ba, sau đó xem tôi có đủ mạng không. Bằng cách sử dụng mạng TEN, thật khó để tìm thấy sự cân bằng. Ví dụ: giả sử 100 thiết bị là tối đa. Nếu bạn chọn / 22 làm mặt nạ, bạn sẽ có 16.384 mạng có thể có 1022 thiết bị:

Mask:255.255.252.0   Host/Net - 1022
Network          Broadcast
10.0.0.0         10.0.3.255
10.0.4.0         10.0.7.255
10.0.8.0         10.0.11.255
10.0.12.0        10.0.15.255
10.0.16.0        10.0.19.255
10.0.20.0        10.0.23.255
10.0.24.0        10.0.27.255
10.0.28.0        10.0.31.255
10.0.32.0        10.0.35.255
10.0.36.0        10.0.39.255
10.0.40.0        10.0.43.255