Apakah ada alamat IP yang terlalu banyak?

8

Kami telah memulai debat kecil di kantor, dan saya telah mencapai titik di mana saya tidak lagi memiliki pengetahuan teknis untuk melanjutkan.

Apakah ada yang namanya memiliki terlalu banyak alamat IP? Saya tidak menyarankan agar kita menggunakan seluruh private 10. * Kelas A, tapi saya tidak mengerti mengapa kita tidak bisa jika kita menginginkannya juga.

Jujur saya pikir "fragmentasi subnet" adalah cara berpikir yang sudah ketinggalan zaman, tapi saya ingin melanjutkan diskusi teknis.

Saat ini, subnet mask utama kami dikonfigurasikan untuk menggunakan 4 kelas B, yang merupakan cara berlebihan dalam hal banyaknya alamat IP yang tersedia, untuk bisnis kecil kami.

Tetapi pertanyaannya adalah, masalah apa (jika ada) yang membuat ruang IP pribadi luas dibuat?

VxJasonxV
sumber
1
Kelas A / B / C / D belum digunakan dalam apa, 10 tahun? Ada amunisi pertama Anda :)
Mark Henderson
Saya bingung. Saya pikir CIDR sepenuhnya lazim, lebih dari 10 tahun terakhir. Mungkin saya harus berhenti mengatakan Kelas A / B / C / D, dan mulai mengatakan / 8, / 16, / 24, / 32? (Saya pikir mereka hal yang sama, tapi mungkin itu kesalahan saya sendiri.)
VxJasonxV
1
Kelas D = / = / 32. Saya hanya mengatakan :) Kebanyakan orang tahu apa yang Anda maksud ketika Anda mengatakan "kelas A", tetapi secara teknis, itu mengacu pada IP yang dimulai dengan 00 biner, bukan jaringan dengan ukuran tertentu. "Slash 8" biasanya adalah apa yang saya katakan.
Bill Weiss

Jawaban:

5

Kepatuhan terhadap berbagai standar akan menjadi tidak mungkin, mengamankan jaringan menjadi lebih sulit, virus akan menyebar lebih mudah, kualitas layanan menjadi lebih sulit, tabel MAC / CAM menjadi penuh.

Masih ada berbagai macam masalah hanya dengan mem-lumping semuanya dalam satu ember.

Juga jangan lupa karena kecepatan pada LAN meningkat, demikian juga penggunaannya. Terutama ketika datang ke pusat data. Banyak tempat berjalan dengan utilisasi 50+% di batangnya. Saya telah melihat beberapa yang berjalan lebih tinggi dari 65% terus-menerus di batang 10gig. Beri tahu orang-orang itu untuk menambahkan lalu lintas yang tidak perlu.

Menggunakan subnet besar tanpa alasan selain "Anda bisa" baik-baik saja ketika Anda adalah tempat kecil yang benar-benar tidak membutuhkan lebih dari 2 VLAN. Setelah Anda meninggalkan dunia bisnis kecil Anda akan menemukan sedikit peningkatan kompleksitas.

Alasan lain yang jelas adalah untuk menghentikan tabel CAM Anda dari pengisian yang dapat menyebabkan pemadaman tergantung pada implementasi dalam firmware untuk bagaimana hal-hal ditangani dengan tabel switch mengisi.

sclarson
sumber
9

Satu-satunya masalah adalah kemungkinan konflik saat menghubungkan ke jaringan mitra atau selama merger / akuisisi. Beberapa masalah tersebut dapat dikurangi dengan menggunakan NAT sumber dan tujuan pada perangkat tepi. Selain itu, hanya karena Anda menggunakan 10.1.0.0/24 tidak berarti Anda tidak akan mengalami masalah yang sama persis.

Doug Luxem
sumber
1
Ini juga sangat bagus untuk keperluan keamanan. Belum lagi Anda pada akhirnya akan mengalami terlalu banyak siaran. Saat kecepatan sakelar meningkat dan "kebutuhan hilang" kami juga semakin mementingkan LAN agar selalu terjaga.
sclarson
5

Tidak juga - selama Anda membatasi jumlah perangkat aktual untuk sesuatu yang akan ditangani jaringan ... tapi sekali lagi, mengapa ada begitu banyak node yang mungkin dalam jaringan itu jika Anda tidak akan menggunakan semuanya?

Segmentasi jaringan baik untuk banyak hal termasuk menyediakan struktur logis dan tinjauan umum, memperketat keamanan dengan membagi peran dan / atau lokasi menjadi jaringan yang berbeda dan keempat.

Satu hal yang biasanya tidak dipikirkan orang adalah memisahkan printer dan perangkat jaringan lain yang sangat rentan dan tidak terlindungi ke dalam jaringan mereka sendiri - dengan akses hanya untuk mengatakan server cetak tertentu. Dan kemudian ada semua yang biasa tergantung pada tuntutan keamanan informasi organisasi Anda.

Keamanan hadir dengan berlapis-lapis, segmentasi jaringan adalah salah satu dari banyak untuk membantu membuat barang-barang menjadi kurang rentan terhadap masalah keamanan (= akses, integritas, dan ketersediaan).

Oskar Duveborn
sumber
2
Saya biasanya setuju. Saya tidak siap menggunakan perangkat pengorganisasian dengan subnet, kecuali ada masalah lalu lintas atau kebutuhan untuk menyaring lalu lintas. Menarik bahwa Anda menyebutkan menempatkan printer ke dalam layer 2 terisolasi dengan akses terbatas. Saya sudah mencoba menyampaikannya kepada orang-orang selama bertahun-tahun dengan tingkat keberhasilan yang berbeda. Beberapa (biasanya non-IT) orang-orang di posisi otoritas secara implisit percaya hasil cetak. Dengan demikian, kemungkinan hack "rekayasa sosial" akan melibatkan memodifikasi / memalsukan hasil cetak. Pernah mendengar tentang tahanan yang dibebaskan dari penjara berdasarkan faks palsu? Itu terjadi!
Evan Anderson
Saya bahkan belum pernah mendengar ada narapidana yang dibebaskan berdasarkan faks. Pasti masalah lokal. ;)
John Gardeniers
Ya, keduanya berasal dari Florida dan Kentucky, jadi saya yakin ada pengaruh lokal ... heh heh ... heraldtribune.com/article/20090716/ARTICLE/… dan freerepublic.com/focus/f-news / 1821482 / posting
Evan Anderson
1
Ada alasan mengapa Fark memiliki kategori khusus "Florida", FWIW.
VxJasonxV
Oh ya, dan uhh. Tidak ada komentar pada komentar Kentucky; D.
VxJasonxV
2

Masalah yang saya lihat dengan banyak IP adalah tidak membatasi domain broadcast. Di sisi lain dengan sakelar 1Gb, saya tidak bisa mengatakan hal itu penting lagi, kecuali Anda mencoba menggali melalui sakelar dan log firewall.

Nakal
sumber
1

Selain potensi konflik dengan jaringan mitra yang terhubung melalui VPN, tidak ada masalah.

Apa yang biasanya saya rekomendasikan adalah menggunakan / 24 bidak, terlepas dari kisaran Anda membaginya. Jadi, katakanlah, Anda menetapkan 10.27.1 / 24 ke kantor, 10.27.2 / 24 ke subnet DB di pusat data, 10.27.3 / 24 ke subnet aplikasi di pusat data, 10.27.100 / 24 untuk VPN klien, dan sebagainya.

Florin Andrei
sumber
1
Sekarang kedengarannya seperti kerja ekstra tanpa alasan, bersama dengan menambahkan beban tambahan pada perangkat layer 3 Anda.
Doug Luxem
1
Ini tahun 2009; itu bukan masalah kecuali Anda melakukan terlalu banyak.
duffbeer703
1
@ Dux Saya mengasumsikan jaringan yang diarahkan, bukan topologi datar. Lihatlah contoh yang saya berikan, itu biasanya jaringan yang terpisah secara fisik, dengan perutean di antaranya. Jika flat maka Anda tidak perlu memecahnya (tetapi Anda tetap bisa jika mau).
Florin Andrei
1
Saya mengerti apa yang Anda katakan sekarang. :) Secara umum, saya akan subnet di partisi keamanan / zona yang cukup banyak apa yang Anda katakan.
Doug Luxem
2
Hanya ada dua alasan untuk men-subnet LAN Ethernet yang diaktifkan: Mengurangi masalah kinerja (lalu lintas siaran yang berlebihan atau membanjiri frame ke tujuan yang tidak diketahui), atau untuk memaksakan fungsi penyaringan paket pada layer 3 atau lebih tinggi di "choke points" di mana router memindahkan paket di antara subnet (biasanya untuk keamanan). Alasan lain (estetika, terutama - "Saya ingin semua komputer xxx berada di subnet yang sama karena terlihat bagus ...") adalah alasan yang tidak valid.
Evan Anderson
1

Tergantung pada ukuran siaran subnet Anda mungkin menjadi masalah, meskipun tergantung pada kecepatan jaringan Anda, mereka mungkin tidak.

Namun satu kelemahannya adalah Anda membatasi kemampuan ekspansi di masa depan. Anda mungkin hanya memerlukan satu subnet sekarang, tetapi siapa bilang Anda tidak perlu lagi di masa depan? Anda mungkin memperluas, Anda mungkin ingin mengatur subnet terpisah untuk beberapa bagian jaringan Anda, dan sebagainya.

Saya juga membuang "kelas" berpikir dan menggunakan CIDR untuk subnet Anda. Kelas tidak benar-benar ada lagi di luar program universitas dan buku sejarah, dan CIDR hanya memberi Anda lebih banyak fleksibilitas.

Aturan praktis yang baik tentang hal-hal ini adalah mengambil apa yang Anda pikir Anda butuhkan dan menggandakannya, jadi jika Anda memiliki 50 host (dan jangan lupa untuk menyertakan server, printer, switch, dll di sini) netmask 25 bit (memberi Anda 128 host, kurang 2 untuk jaringan dan siaran) akan mencakup apa yang Anda butuhkan dan memberi Anda ruang kepala.

Maximus Minimus
sumber
0

Nah, Switch yang terhubung ke server Uber-IP Anda memang memiliki Jumlah entri terbatas yang tersedia di tabel ARP. Anda juga akan melihat banyak ARP gratis di Broadcast Domin Anda.

Asin Ringan
sumber
1
.... dan swicthes tidak melakukan ARP
Javier
1
Saya akan memberikan kalian berdua perwakilan untuk ini jika saya bisa. Sebenarnya, saya mendukung Anda, DLux, jadi saya kira saya bisa. Saya sangat muak mendengar tentang switch dan "tabel ARP" ketika orang bermaksud mengatakan "bridging / MAC tables".
Evan Anderson
2
@ komentar: Perangkat layer 3 memiliki tabel ARP. Switch, yang beroperasi secara ketat pada layer 2, tidak memiliki tabel ARP. Jika sakelar memiliki antarmuka manajemen yang berkomunikasi pada lapisan 3, atau mesin perutean, maka perangkat tersebut akan memiliki tabel ARP.
Evan Anderson
1
Saya merasa membantu menjelaskan "layer 3 switches" sebagai layer 2 switches (yang saya jelaskan sebagai multi-port bridges) dengan router yang sangat cepat bersembunyi di dalamnya. Saya mencoba menjelaskan fungsi perutean secara terpisah dari fungsi peralihan. Kotak melakukan kedua hal, tetapi bagian yang berbeda dari kotak melakukan hal yang berbeda. (Beberapa Catalyst modul pengawas tua bekerja seperti itu, too-- ada silikon router duduk di pisau SUP dan itu antarmuka manajemen sendiri.)
Evan Anderson
1
switch adalah jembatan multiport. apa pun yang lebih baik dipahami sebagai perangkat terpisah yang terintegrasi dalam kotak yang sama
Javier
0

Tidak ada yang bisa saya pikirkan selain menjadi sedikit lebih sulit untuk diatur (dan mungkin dikelola). Dan kemudian ada masalah memudarnya jumlah alamat IP (sampai IPV6).

Nori
sumber
Pernyataan "pengalamatan IP pribadi", dan contoh penggunaan 10/14 membuat "berkurangnya jumlah alamat IP" sedikit tidak relevan.
VxJasonxV
0

Satu jaringan yang saya warisi penuh dengan / 16s .. yaitu 10.1.xx, 10.2.xx.

Itu bagus untuk pengelompokan rentang ip dan Anda bisa melihat IP dan tahu persis apa itu .. Oh 10.4.20.Xs semua database, dll ... TAPI ...

Akhirnya kami harus membersihkannya, dan menemukan semua IP yang acak dari IP adalah tugas.

Jauh lebih mudah untuk melakukan scan nmap ping dari / 24 dari / 16.

Dalam desain ulang, kami memilih tanggal / 22s. (1024 ips)

Saya pikir aturan umum mengalokasikan untuk apa yang Anda butuhkan hari ini dengan overhead yang sehat untuk tumbuh menjadi praktik yang baik.

Joel K
sumber
0

Saya akan mulai dengan jumlah maksimal perangkat yang pernah ada di jaringan, dan gandakan atau lipat tiga, dan kemudian lihat apakah saya memiliki cukup jaringan. Dengan menggunakan TEN net itu seharusnya tidak sulit untuk menemukan keseimbangan. Misalnya, katakan bahwa 100 perangkat adalah maks. Jika Anda memilih / 22 sebagai topeng Anda, Anda akan memiliki 16.384 jaringan yang dapat memiliki 1022 perangkat:

Mask:255.255.252.0   Host/Net - 1022
Network          Broadcast
10.0.0.0         10.0.3.255
10.0.4.0         10.0.7.255
10.0.8.0         10.0.11.255
10.0.12.0        10.0.15.255
10.0.16.0        10.0.19.255
10.0.20.0        10.0.23.255
10.0.24.0        10.0.27.255
10.0.28.0        10.0.31.255
10.0.32.0        10.0.35.255
10.0.36.0        10.0.39.255
10.0.40.0        10.0.43.255
dbasnett
sumber