¿Existe tal cosa como demasiadas direcciones IP?

8

Hemos comenzado un pequeño debate en la oficina y he llegado al punto en que ya no tengo los conocimientos técnicos para continuar.

¿Existe tal cosa como tener demasiadas direcciones IP? No estoy sugiriendo que usemos todo el 10. privado * Clase A, pero no veo por qué no podríamos hacerlo si quisiéramos también.

Sinceramente, creo que la "fragmentación de subred" es una forma de pensar obsoleta, pero quiero continuar la discusión técnica.

Actualmente, nuestra máscara de subred principal está configurada para usar 4 clases B, lo que es una exageración en términos de la gran cantidad de direcciones IP disponibles para nuestra pequeña empresa.

Pero la pregunta es, ¿qué problemas (si los hay) crea tener un amplio espacio privado de IP?

subnet 
VxJasonxV
fuente
1
¿La clase A / B / C / D no se ha utilizado en qué, 10 años? Ahí está tu primera munición :)
Mark Henderson
Estoy confundido. Pensé que CIDR era completamente frecuente, más aún en los últimos 10 años. ¿Quizás debería dejar de decir Clase A / B / C / D y comenzar a decir / 8, / 16, / 24, / 32? (Pensé que eran lo mismo, pero quizás ese fue mi propio error.)
VxJasonxV
1
Clase D = / = / 32. Solo digo :) La mayoría de la gente sabe a qué te refieres cuando dices "clase A", pero técnicamente, eso se refiere a una IP que comienza con 00 binario, no una red de un tamaño determinado. "Slash 8" es normalmente lo que digo en su lugar.
Bill Weiss

Respuestas:

5

El cumplimiento de varios estándares será imposible, la seguridad de las redes se volverá más difícil, un virus se propagará más fácilmente, la calidad del servicio se volverá más difícil, las tablas MAC / CAM se llenarán.

Todavía hay todo tipo de problemas con solo agrupar todo en un cubo.

Además, no olvide que a medida que aumenta la velocidad en las LAN, también lo hacen los usos. Especialmente cuando se trata del centro de datos. Muchos lugares funcionan con más del 50% de utilización en sus troncos. He visto algunos que funcionan más del 65% constantemente en troncales de 10 gig. Dile a esas personas que agreguen tráfico innecesario.

El uso de subredes grandes sin otra razón que "usted pueda" está bien cuando es un lugar pequeño que realmente no necesita más de 2 VLAN. Una vez que abandone el mundo de las pequeñas empresas, verá que las cosas aumentan bastante en complejidad.

La otra razón obvia sería evitar que se llenen las tablas CAM, lo que puede causar una interrupción dependiendo de la implementación en el firmware de cómo se manejan las cosas con los rellenos de la tabla de interruptores.

Sclarson
fuente
9

El único problema son los posibles conflictos al conectarse a las redes de socios o durante fusiones / adquisiciones. Algunos de esos problemas pueden mitigarse mediante el uso de NAT de origen y destino en dispositivos perimetrales. Además, el hecho de que use 10.1.0.0/24 no significa que no tendrá exactamente los mismos problemas.

Doug Luxem
fuente
1
También es muy bueno tenerlo por razones de seguridad. Sin mencionar que eventualmente llegarás a tener demasiadas transmisiones. A medida que aumenta la velocidad del interruptor y la "necesidad desaparece", también le damos cada vez más importancia a que la LAN se mantenga activa en todo momento.
sclarson el
5

En realidad no, siempre y cuando limite la cantidad de dispositivos reales a algo que la red manejará ... pero, una vez más, ¿por qué tener una cantidad tan grande de nodos posibles en esa red si no los usará todos?

La segmentación de redes es buena para muchas cosas, incluyendo proporcionar una estructura lógica y una visión general, reforzar la seguridad al dividir roles y / o ubicaciones en diferentes redes y, por lo tanto, en cuarto lugar.

Una cosa que la gente no suele pensar es dividir las impresoras y otros dispositivos de red altamente vulnerables y desprotegidos en su propia red, con acceso solo para decir un servidor de impresión específico. Y luego están todos los habituales según las demandas de seguridad de la información de su organización.

La seguridad viene con capas, la segmentación de la red es una de muchas para ayudar a que las cosas sean menos vulnerables a los problemas de seguridad (= acceso, integridad y disponibilidad).

Oskar Duveborn
fuente
2
En general estoy de acuerdo. No estoy a bordo con dispositivos de organización "lógicamente" por subred, a menos que haya un problema de tráfico o una necesidad de filtrar el tráfico. Es interesante que mencione poner impresoras en una capa aislada 2 con acceso limitado. He intentado transmitir eso a las personas durante años con diferentes grados de éxito. Algunas personas (generalmente no pertenecientes a TI) en puestos de autoridad confían implícitamente en la salida impresa. Como tal, un posible truco de "ingeniería social" implicaría modificar / falsificar la salida impresa. ¿Alguna vez escuchó sobre presos liberados de la prisión por fax falsificado? ¡Sucede!
Evan Anderson el
Nunca he oído hablar de un preso liberado por fax. Debe ser un problema local. ;)
John Gardeniers
Bueno, estos dos son de Florida y Kentucky respectivamente, así que estoy seguro de que hubo alguna influencia local ... je je ... heraldtribune.com/article/20090716/ARTICLE/… y freerepublic.com/focus/f-news / 1821482 / posts
Evan Anderson el
1
Hay una razón por la cual Fark tiene una categoría dedicada "Florida", FWIW.
VxJasonxV
Oh si, y uhh. No hay comentarios sobre el comentario de Kentucky; D.
VxJasonxV
2

El problema que veo con tantas IP no está limitando el dominio de difusión. Por otro lado, con los interruptores de 1 Gb, realmente no puedo decir que eso importe una tonelada más, a menos que esté tratando de cavar a través de los registros de interruptores y firewall.

Skaughty
fuente
1

Aparte de posibles conflictos con redes asociadas conectadas a través de VPN, no hay problemas.

Lo que generalmente recomiendo es usar / 24 fragmentos de todos modos, independientemente del rango del que los separe. Entonces, digamos, usted asigna 10.27.1 / 24 a la oficina, 10.27.2 / 24 a la subred DB en el centro de datos, 10.27.3 / 24 a la subred de aplicaciones en el centro de datos, 10.27.100 / 24 para la VPN clientes, y así sucesivamente.

Florin Andrei
fuente
1
Ahora eso suena como trabajo extra sin razón, junto con la adición de carga adicional en sus dispositivos de capa 3.
Doug Luxem
1
Es 2009; eso no es un problema a menos que te excedas.
duffbeer703
1
@DLux Estaba asumiendo una red enrutada, no una topología plana. Mire los ejemplos que di, generalmente son redes físicamente separadas, con enrutamiento en el medio. Si es plano, entonces no tiene que fragmentarlo (pero aún puede hacerlo si lo desea).
Florin Andrei el
1
Ahora veo lo que dices. :) En general, me gustaría subred en particiones / zonas de seguridad que es más o menos lo que dijiste.
Doug Luxem
2
Solo hay dos razones para subred una LAN Ethernet conmutada: mitigar problemas de rendimiento (tráfico de transmisión excesivo o inundación de tramas a destinos desconocidos), o imponer funciones de filtrado de paquetes en la capa 3 o superior en los "puntos de estrangulamiento" donde los enrutadores mueven los paquetes entre subredes (generalmente para seguridad). Cualquier otra razón (estética, principalmente: "Quiero que todas las computadoras xxx estén en la misma subred porque se ve bien ...") es una razón no válida.
Evan Anderson el
1

Dependiendo del tamaño de las transmisiones de su subred, puede ser un problema, aunque dependiendo de la velocidad de su red, pueden no serlo.

Sin embargo, una desventaja es que está limitando su capacidad de expansión futura. Es posible que solo necesite una subred ahora, pero ¿quién puede decir que no necesitará más en el futuro? Puede expandirse, es posible que desee configurar subredes separadas para algunas partes de su red, y así sucesivamente.

También abandonaría el pensamiento de "clase" y usaría CIDR para sus subredes. Las clases ya no existen fuera de los cursos universitarios y los libros de historia, y el CIDR simplemente te brinda mucha más flexibilidad.

Una buena regla general con estas cosas es tomar lo que cree que necesita y duplicarlo, por lo que si tiene 50 hosts (y no olvide incluir servidores, impresoras, conmutadores, etc.) una máscara de red de 25 bits (que le brinda 128 hosts, menos 2 para red y transmisión) cubrirán lo que necesita y le darán un poco de margen.

Maximus Minimus
fuente
0

Bueno, el Switch conectado a su servidor Uber-IP tiene un número limitado de entradas disponibles en la tabla ARP. Además, vería una gran cantidad de ARP gratuito en su Broadcast Domin.

Ligeramente salado
fuente
1
.... y swicthes no hacen ARP
Javier
1
Les daría a ustedes dos representantes por esto si pudiera. En realidad, te voté, DLux, así que supongo que puedo. Estoy tan harto de oír hablar de interruptores y "tablas ARP" cuando la gente quiere decir "puentear / tablas MAC".
Evan Anderson el
2
@sparks: los dispositivos de capa 3 tienen tablas ARP. Los interruptores, que operan estrictamente en la capa 2, no tienen tablas ARP. Si el conmutador tiene una interfaz de administración que se comunica en la capa 3, o un motor de enrutamiento, esos dispositivos tendrán tablas ARP.
Evan Anderson el
1
Me parece útil explicar los "conmutadores de capa 3" como conmutadores de capa 2 (que explico como puentes multipuerto) con un enrutador muy rápido oculto en su interior. Intento explicar la funcionalidad de enrutamiento por separado de la funcionalidad de conmutación. La caja hace ambas cosas, pero diferentes partes de la caja hacen cosas diferentes. (Algunos módulos de supervisor Catalyst viejos trabajado así, también-- había silicio enrutador sentado en la hoja de SUP y tenía su propia interfaz de gestión.)
Evan Anderson
1
Un interruptor es un puente multipuerto. nada sobre que se entiende mejor como un dispositivo separado integrado en la misma caja
Javier
0

Ninguno que se me ocurra aparte de ser un poco más difícil de configurar (y posiblemente administrar). Y luego está el problema de la disminución de las cantidades de direcciones IP (hasta IPV6).

Nori
fuente
La declaración de "direccionamiento IP privado" y el ejemplo del uso de un 10/14 hace que la "cantidad decreciente de direcciones IP" sea un poco irrelevante.
VxJasonxV
0

Una red que heredé estaba llena de / 16s ... es decir, 10.1.xx, 10.2.xx.

Fue agradable para agrupar rangos de ip y se podía ver una IP y saber exactamente qué era ... Oh, las 10.4.20.X son todas bases de datos, etc. PERO ...

Eventualmente tuvimos que limpiarlo, y encontrar todos los IP aleatorios fue una tarea difícil.

Es mucho más fácil hacer un escaneo de ping nmap de un / 24 que un / 16.

En el rediseño, nos instalamos en / 22s. (1024 ips)

Creo que una regla general de asignación para lo que necesita hoy con una sobrecarga saludable para crecer es una buena práctica.

Joel K
fuente
0

Comenzaría con el número máximo de dispositivos que alguna vez estarían en una red, y lo duplicaría o triplicaría, y luego vería si tenía suficientes redes. Al usar la red TEN no debería ser difícil encontrar un equilibrio. Por ejemplo, digamos que 100 dispositivos era el máximo. Si elegiste / 22 como tu máscara, tendrías 16,384 redes que podrían tener 1022 dispositivos:

Mask:255.255.252.0   Host/Net - 1022
Network          Broadcast
10.0.0.0         10.0.3.255
10.0.4.0         10.0.7.255
10.0.8.0         10.0.11.255
10.0.12.0        10.0.15.255
10.0.16.0        10.0.19.255
10.0.20.0        10.0.23.255
10.0.24.0        10.0.27.255
10.0.28.0        10.0.31.255
10.0.32.0        10.0.35.255
10.0.36.0        10.0.39.255
10.0.40.0        10.0.43.255
dbasnett
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.