Y a-t-il une telle chose comme trop d'adresses IP?

8

Nous avons lancé un petit débat au bureau et j'ai atteint le point où je n'ai plus les connaissances techniques pour continuer.

Y a-t-il une telle chose comme avoir trop d'adresses IP? Je ne suggère pas que nous utilisons l'intégralité du 10. * Classe A, mais je ne vois pas pourquoi nous ne pourrions pas si nous le voulions aussi.

Honnêtement, je pense que la "fragmentation des sous-réseaux" est une façon de penser dépassée, mais je veux continuer la discussion technique.

Actuellement, notre masque de sous-réseau principal est configuré pour utiliser 4 classes B, ce qui est beaucoup trop en termes de nombre d'adresses IP disponibles pour notre petite entreprise.

Mais la question est, quels problèmes (le cas échéant) crée un large espace IP privé?

VxJasonxV
la source
1
La classe A / B / C / D n'a pas été utilisée depuis quoi, 10 ans? Voilà vos premières munitions :)
Mark Henderson
Je suis confus. Je pensais que le CIDR était entièrement répandu, surtout au cours des 10 dernières années. Peut-être devrais-je arrêter de dire Classe A / B / C / D et commencer à dire / 8, / 16, / 24, / 32? (Je pensais que c'était la même chose, mais c'était peut-être ma propre erreur.)
VxJasonxV
1
Classe D = / = / 32. Je dis juste :) La plupart des gens savent ce que vous voulez dire quand vous dites "classe A", mais techniquement, cela fait référence à une IP qui commence par 00 binaire, pas à un réseau d'une taille donnée. "Slash 8" est normalement ce que je dis à la place.
Bill Weiss

Réponses:

5

La conformité à diverses normes deviendra impossible, la sécurisation des réseaux devient plus difficile, un virus se propage plus facilement, la qualité de service devient plus difficile, les tables MAC / CAM sont pleines.

Il y a toujours toutes sortes de problèmes avec le fait de tout mettre dans un seul seau.

N'oubliez pas non plus que la vitesse sur les LAN augmente, tout comme les utilisations. Surtout en ce qui concerne le centre de données. De nombreux endroits fonctionnent avec 50 +% d'utilisation sur leurs troncs. J'en ai vu certains qui tournent plus de 65% en permanence sur des troncs de 10gig. Dites à ces personnes d'ajouter du trafic inutile.

L'utilisation de grands sous-réseaux sans autre raison que «vous pouvez» est très bien lorsque vous êtes un petit endroit qui n'a vraiment pas besoin de plus de 2 VLAN. Une fois que vous quittez le monde des petites entreprises, vous constaterez que la complexité des choses augmente un peu.

L'autre raison évidente serait d'empêcher vos tables CAM de se remplir, ce qui peut être une panne en fonction de la mise en œuvre dans le micrologiciel de la façon dont les choses sont gérées avec les remplissages de la table des commutateurs.

sclarson
la source
9

Le seul problème est les conflits possibles lors de la connexion aux réseaux des partenaires ou lors de fusions / acquisitions. Certains de ces problèmes peuvent être atténués en utilisant le NAT source et de destination sur les périphériques périphériques. De plus, ce n'est pas parce que vous utilisez 10.1.0.0/24 que vous ne rencontrerez pas exactement les mêmes problèmes.

Doug Luxem
la source
1
C'est aussi très agréable d'avoir pour des raisons de sécurité. Sans oublier que vous finirez par avoir trop d'émissions en cours. Au fur et à mesure que les vitesses de commutation augmentent et que le «besoin s'en va», nous accordons également de plus en plus d'importance au fait que le LAN reste en permanence opérationnel.
sclarson
5

Pas vraiment - tant que vous limitez la quantité de périphériques réels à quelque chose que le réseau gérera ... mais encore une fois, pourquoi avoir une telle quantité de nœuds possibles dans ce réseau si vous ne les utilisez pas tous?

La segmentation des réseaux est bonne à bien des égards, notamment en fournissant une structure logique et une vue d'ensemble, en renforçant la sécurité en divisant les rôles et / ou les emplacements en différents réseaux et ainsi de suite.

Une chose à laquelle les gens ne pensent généralement pas est de séparer les imprimantes et autres périphériques réseau hautement vulnérables et non protégés dans leur propre réseau - avec un accès uniquement à un serveur d'impression spécifique. Et puis il y en a tous les habituels en fonction des exigences de sécurité de votre organisation.

La sécurité est fournie avec des couches, la segmentation du réseau est l'une des nombreuses pour aider à rendre les choses moins vulnérables aux problèmes de sécurité (= accès, intégrité et disponibilité).

Oskar Duveborn
la source
2
Je suis généralement d'accord. Je ne suis pas à bord avec des dispositifs d'organisation "logiques" par sous-réseau, à moins qu'il n'y ait un problème de trafic ou un besoin de filtrer le trafic. Il est intéressant que vous mentionniez de placer les imprimantes dans une couche isolée 2 avec un accès limité. J'ai essayé de transmettre cela aux gens pendant des années avec différents degrés de réussite. Certaines personnes (généralement non informatiques) occupant des postes d'autorité font implicitement confiance à la sortie imprimée. En tant que tel, un éventuel piratage «d'ingénierie sociale» impliquerait de modifier / falsifier la sortie imprimée. Avez-vous déjà entendu parler de la libération de détenus à la suite de faux fax? Ça arrive!
Evan Anderson
Je n'ai même jamais entendu parler de la libération d'un détenu sur la base d'un fax. Doit être un problème local. ;)
John Gardeniers
Eh bien, ces deux-là viennent respectivement de la Floride et du Kentucky, donc je suis sûr qu'il y avait une influence locale ... heh heh ... heraldtribune.com/article/20090716/ARTICLE/… et freerepublic.com/focus/f-news / 1821482 / messages
Evan Anderson
1
Il y a une raison pour laquelle Fark a une catégorie dédiée "Floride", FWIW.
VxJasonxV
Oh ouais, et euh. Aucun commentaire sur le commentaire du Kentucky; D.
VxJasonxV
2

Le problème que je vois avec autant d'IP ne limite pas le domaine de diffusion. D'un autre côté, avec des commutateurs 1 Go, je ne peux pas vraiment dire que cela compte beaucoup, à moins que vous n'essayiez de creuser dans les journaux des commutateurs et des pare-feu.

Skaughty
la source
1

À part les conflits potentiels avec les réseaux partenaires connectés via VPN, aucun problème.

Ce que je recommande généralement, c'est d'utiliser / 24 morceaux de toute façon, quelle que soit la plage dans laquelle vous les séparez. Donc, disons, vous affectez 10.27.1 / 24 au bureau, 10.27.2 / 24 au sous-réseau DB au centre de données, 10.27.3 / 24 au sous-réseau des applications au centre de données, 10.27.100 / 24 pour le VPN clients, etc.

Florin Andrei
la source
1
Maintenant, cela ressemble à du travail supplémentaire sans raison, ainsi qu'à une charge supplémentaire sur vos appareils de couche 3.
Doug Luxem
1
C'est 2009; ce n'est pas un problème, sauf si vous allez trop loin.
duffbeer703
1
@DLux Je supposais un réseau routé, pas une topologie plate. Regardez les exemples que j'ai donnés, ce sont généralement des réseaux physiquement séparés, avec un routage entre les deux. S'il est plat, vous n'avez pas besoin de le fragmenter (mais vous pouvez toujours le faire si vous le souhaitez).
Florin Andrei
1
Je vois ce que tu dis maintenant. :) En général, je sous-réseauterais aux partitions / zones de sécurité, ce qui est à peu près ce que vous avez dit.
Doug Luxem
2
Il n'y a que deux raisons pour mettre en sous-réseau un LAN Ethernet commuté: atténuer les problèmes de performances (trafic de diffusion excessif ou inondation de trames vers des destinations inconnues), ou pour imposer des fonctions de filtrage de paquets à la couche 3 ou supérieure aux "points d'étranglement" où les routeurs déplacent les paquets entre sous-réseaux (généralement pour la sécurité). Toute autre raison (esthétique, principalement-- "Je veux que tous les ordinateurs xxx soient dans le même sous-réseau parce que c'est joli ...") est une raison invalide.
Evan Anderson
1

Selon la taille de vos diffusions de sous-réseau peut être un problème, bien que cela ne soit pas le cas selon la vitesse de votre réseau.

Cependant, un inconvénient est que vous limitez votre future capacité d'extension. Vous n'avez peut-être besoin que d'un sous-réseau maintenant, mais qui peut dire que vous n'en aurez plus besoin à l'avenir? Vous pouvez développer, vous pouvez configurer des sous-réseaux distincts pour certaines parties de votre réseau, etc.

Je laisserais également tomber la pensée de "classe" et utiliserais CIDR pour vos sous-réseaux. Les cours n'existent plus vraiment en dehors des cours universitaires et des livres d'histoire, et le CIDR vous donne juste beaucoup plus de flexibilité.

Une bonne règle de base avec ces choses est de prendre ce dont vous pensez avoir besoin et de le doubler, donc si vous avez 50 hôtes (et n'oubliez pas d'inclure des serveurs, des imprimantes, des commutateurs, etc. ici) un masque de réseau 25 bits (vous donnant 128 hôtes, moins 2 pour le réseau et la diffusion) couvriront ce dont vous avez besoin et vous donneront une certaine marge.

Maximus Minimus
la source
0

Eh bien, le commutateur connecté à votre serveur Uber-IP a un nombre limité d'entrées disponibles dans la table ARP. De plus, vous verriez beaucoup d'ARP gratuit sur votre Broadcast Domin.

Légèrement salé
la source
1
.... et les swicthes ne font pas d'ARP
Javier
1
Je vous en ferais part si vous le pouviez. En fait, je vous vote, DLux, donc je suppose que je peux. J'en ai tellement marre d'entendre parler des commutateurs et des "tables ARP" quand les gens veulent dire "ponts / tables MAC".
Evan Anderson
2
@sparks: les périphériques de couche 3 ont des tables ARP. Les commutateurs, fonctionnant strictement au niveau 2, n'ont pas de tables ARP. Si le commutateur a une interface de gestion qui communique au niveau de la couche 3, ou un moteur de routage, ces périphériques auront des tables ARP.
Evan Anderson
1
Je trouve utile d'expliquer les «commutateurs de couche 3» comme des commutateurs de couche 2 (que j'explique comme des ponts multi-ports) avec un routeur très rapide qui se cache à l'intérieur. J'essaie d'expliquer la fonctionnalité de routage séparément de la fonctionnalité de commutation. La boîte fait les deux choses, mais différentes parties de la boîte font des choses différentes. (Certains anciens modules de supervision Catalyst fonctionnaient aussi comme ça - il y avait du silicium de routeur sur la lame SUP et il avait sa propre interface de gestion.)
Evan Anderson
1
un commutateur est un pont multiport. tout ce qui est mieux compris comme un appareil séparé intégré dans la même boîte
Javier
0

Aucun que je puisse penser autre que d'être un peu plus difficile à configurer (et éventuellement à administrer). Et puis il y a le problème des quantités décroissantes d'adresses IP (jusqu'à IPV6).

Nori
la source
La déclaration d '"adressage IP privé" et l'exemple de l'utilisation d'un 10/14 rendent la "quantité décroissante d'adresses IP" un peu hors de propos.
VxJasonxV
0

Un réseau dont j'ai hérité était plein de / 16s. Ie 10.1.xx, 10.2.xx.

C'était bien pour regrouper des plages d'adresses IP et vous pouvez regarder une adresse IP et savoir exactement ce que c'était .. Oh les 10.4.20.X sont toutes des bases de données, etc ... MAIS ...

Finalement, nous avons dû le nettoyer, et trouver toutes les adresses IP aléatoires était une corvée.

Il est beaucoup plus facile de faire un scan ping nmap de a / 24 que de / 16.

Dans la refonte, nous nous sommes installés sur / 22s. (1024 ips)

Je pense qu'une règle générale d'allocation de ce dont vous avez besoin aujourd'hui avec des frais généraux sains pour se développer est une bonne pratique.

Joel K
la source
0

Je commencerais par le nombre maximum d'appareils qui seraient sur un réseau, je le doublais ou le triplais, puis je voyais si j'avais assez de réseaux. En utilisant le réseau TEN, il ne devrait pas être difficile de trouver un équilibre. Par exemple, disons que 100 appareils étaient le maximum. Si vous avez choisi / 22 comme masque, vous auriez 16 384 réseaux qui pourraient avoir 1022 appareils:

Mask:255.255.252.0   Host/Net - 1022
Network          Broadcast
10.0.0.0         10.0.3.255
10.0.4.0         10.0.7.255
10.0.8.0         10.0.11.255
10.0.12.0        10.0.15.255
10.0.16.0        10.0.19.255
10.0.20.0        10.0.23.255
10.0.24.0        10.0.27.255
10.0.28.0        10.0.31.255
10.0.32.0        10.0.35.255
10.0.36.0        10.0.39.255
10.0.40.0        10.0.43.255
dbasnett
la source