Situs pelanggan kehabisan alamat IP, mereka ingin pergi dari / 24 ke / 12 netmask ... Ide buruk?

22

Salah satu situs klien saya dipanggil untuk meminta saya untuk mengubah subnet mask dari server Linux yang saya kelola di sana sementara mereka re-IP / mengubah netmask jaringan mereka berdasarkan skema 10.0.0.x.

"Bisakah Anda mengubah netmasks server Linux dari 255.255.255.0 menjadi 255.240.0.0?"

Maksud Anda, 255.255.240.0?

"Tidak, 255.240.0.0."

Apakah Anda yakin Anda membutuhkan banyak alamat IP?

"Ya, kami tidak pernah ingin kehabisan alamat IP."

Pemeriksaan cepat terhadap Subnet Cheat Sheet menunjukkan:

  • a 255.255.255.0 netmask, a / 24 menyediakan 256 host. Jelas terlihat bahwa suatu organisasi dapat menghabiskan jumlah alamat IP tersebut.
  • a 255.240.0.0 netmask, a / 12 menyediakan 1.048.576 host. Ini adalah situs kecil <200 pengguna. Saya ragu mereka akan mengalokasikan lebih dari 400 alamat IP, pernah ... Mungkin 500, tetapi pada saat itu, lebih banyak subnet / VLAN harus dibuat.

Saya menyarankan sesuatu yang menyediakan lebih sedikit host, seperti a / 22 atau / 21 (masing-masing host 1024 dan 2048), tetapi tidak dapat memberikan alasan khusus untuk tidak menggunakan subnet / 12.

Adakah sesuatu yang harus diperhatikan oleh pelanggan ini? Apakah ada alasan khusus mereka tidak boleh menggunakan topeng yang sangat besar di lingkungan mereka?

putih
sumber
Argumen tersebut harus lebih fokus pada apakah mereka harus, atau dapat, memiliki semua alamat di masa depan dalam subnet yang sama, atau jika mereka mungkin perlu membagi subnet. Kemudian bawa masalah penskalaan ARP.
Skaperen
3
Anda pasti tidak ingin melakukan ini. Ada aplikasi yang akan ARP untuk setiap IP yang valid di subnet. Anda benar-benar ingin itu dibatasi. Plus, dengan mengonsumsi lebih banyak alamat IP dengan subnet yang satu ini, Anda benar-benar meningkatkan kemungkinan Anda kehabisan alamat IP. (Meskipun masih mendekati nol dalam kedua kasus.) Ini mungkin saat yang tepat untuk mempertimbangkan apakah mereka sudah melampaui satu subnet.
David Schwartz
2
Mereka harus bermigrasi ke IPv6. ;-).
Pasang kembali Monica - M. Schröder
Mencuri alamat IP gateway dapat memutuskan jaringan itu dari jaringan lain (dan Internet). Saya punya masalah seperti itu di jaringan saya dan itulah salah satu alasan mengapa saya menempatkan pengguna, tamu, server, dll dalam VLAN-s yang terpisah. Alasan lain (keamanan, ARP, dll.) Disebutkan dalam komentar lain.
0xFF

Jawaban:

25
  • Seperti yang dinyatakan dalam jawaban lain, memiliki terlalu banyak host di domain siaran benar-benar dapat mulai membuat siaran berantakan.

    Mereka akan membutuhkan banyak ekspansi di subnet sebelum menjadi masalah potensial.

  • Perencanaan pertumbuhan di masa depan menjadi berantakan.

    Menambahkan situs tambahan dengan ruang IP mereka sendiri menjadi sulit ketika Anda sudah meletakkan jejak besar yang tidak perlu di ruang yang tersedia.

  • Batas keamanan jaringan internal menjadi tidak mungkin.

    Menetapkan subnet yang berbeda untuk kelompok pengguna yang berbeda dan memisahkan server dengan keamanan rendah / server keamanan tinggi / antarmuka manajemen terbatas server / penyimpanan / perangkat jaringan keluar jendela.

    Laptop pengguna mana pun yang mengambil virus di rumah dapat ARP meracuni jaringan dan menurunkan server atau mengaturnya. Anda tidak memiliki cara untuk menjauhkan perangkat yang disusupi dari lokasi jaringan yang sensitif, seperti antarmuka manajemen server yang out-of-band. Kesalahan ketik dalam konfigurasi ulang jaringan yang tidak bersalah berpotensi menyebabkan konflik IP dengan perangkat lain di jaringan.

Jika mereka tidak berencana untuk tumbuh dengan cara apa pun yang akan membutuhkan lebih banyak subnet, dan tidak berencana untuk menambah kompleksitas atau keamanan ke jaringan mereka, maka itu baik-baik saja, karena itu secara efektif identik dengan konfigurasi jaringan mereka saat ini - tetapi jika mereka Sedang meminta ini, mereka jelas berencana untuk berkembang.

Tidak perlu yang terbaik, dan ide yang sangat buruk paling buruk.

Shane Madden
sumber
Penjelasan yang bagus!
ewwhite
7

Tidak, tidak ada yang salah dengan menggunakan topeng yang lebih besar, jika jumlah host di dalamnya tetap sama.

Satu-satunya masalah adalah melakukan hal ini menyebabkan admin jaringan menjadi malas, dan tidak melakukan subnetting yang tepat, menghasilkan sejumlah besar host berada di domain siaran yang sama. Misalnya, setiap permintaan ARP adalah siaran, dan semua mesin (dalam domain siaran yang sama) harus memprosesnya (meskipun biasanya satu orang merespons). Hal yang sama berlaku untuk protokol lain yang menggunakan siaran.

Masalah lain bisa berupa ruang alamat, karena 10/8 memiliki ruang hanya untuk 16/12 jaringan, dan jika mereka melanjutkan dengan / 12 permintaan mereka, mereka hanya dapat memuat 15 lebih.

Beberapa perangkat lunak keamanan, yang melakukan port / ping, untuk menemukan host langsung akan memakan banyak waktu lebih banyak daripada sekarang (jika mereka memilikinya).

Kalau tidak, itu tidak masalah. Jika Anda hanya memiliki dua host, kinerjanya akan sama dengan a / 30 atau a / 8 - ukuran jaringan tidak menyebabkan masalah kinerja.

mulaz
sumber
Saya menyarankan hal yang sama dan diturunkan untuk itu. Anda BISA mengendalikan masalah siaran menggunakan fungsionalitas VLAN.
mdpc
Ini adalah satu lokasi, jadi saya tidak berpikir tambahan / 12 direncanakan. Perangkat lunak kamera keamanan dan IP IS dalam campuran.
ewwhite
3
@mdpc Anda tidak dapat mengontrol siaran dengan VLAN jika semua host berada dalam satu subnet ... dalam satu VLAN ...
HostBits
VLAN yang berbeda pada subnet yang sama hanya arsitektur yang buruk, dan sebenarnya menciptakan masalah ketika host mencoba untuk berbicara satu sama lain.
Falcon Momot
6

Argumen yang menentangnya yang dapat saya lihat adalah Anda kemudian memiliki domain siaran yang lebih besar, dan mereka tidak akan memiliki banyak subnet tambahan yang tersedia dari 10.XXX

Untuk melawan argumen siaran, jika mereka hanya merencanakan pertumbuhan di masa depan, dampak terhadap jaringan saat ini harus diabaikan. Anda juga dapat membatasi server DHCP hanya untuk mendistribusikan sebagian kecil dari subnet lengkap untuk mengontrol berbagai hal sampai lebih banyak IP benar-benar dibutuhkan.

Saya pribadi masih akan berdebat menentang hal itu, karena itu tidak perlu. Identifikasi jumlah alamat host yang diperlukan, dan proyeksikan untuk pertumbuhan di masa depan daripada hanya melemparkan subnet besar di luar sana.

HostBits
sumber
4

Majikan sebelumnya memiliki departemen besar yang memutuskan untuk mendesain ulang jaringan departemen mereka sekitar / 16. Meskipun departemen khusus ini memiliki beberapa situs di tautan latensi yang relatif tinggi (broadband daerah kota). Ini bekerja untuk mereka, dan ini terjadi pada satu dekade yang lalu ketika tautan Gig hanya umum di pusat data dan di tautan distribusi.

Sejauh yang saya ketahui, mereka tidak pernah memiliki masalah dengan masalah siaran. Seperti yang saya katakan, ini sekitar satu dekade yang lalu dengan banyak perangkat bodoh yang menangani lalu lintas siaran; Perangkat modern bahkan tidak boleh berpikir dua kali tentang itu. Jaringan khusus ini memiliki sekitar dua kali node yang Anda miliki.


Artinya, tidak ada yang salah dengan subnet sebesar itu, selama jaringan Anda dapat mengatasinya .

sysadmin1138
sumber