顧客サイトのIPアドレスが不足しているため、/ 24から/ 12ネットマスクに変更したい…悪い考えですか?

22

クライアントサイトの1つから、10.0.0.xスキームに基づいてネットワークのネットマスクを再IP /変更している間に、そこで管理しているLinuxサーバーのサブネットマスクを変更するように求められました。

「Linuxサーバーのネットマスクを255.255.255.0から255.240.0.0に変更できますか?」

つまり、255.255.240.0ですか?

「いいえ、255.240.0.0。」

その数のIPアドレスが必要ですか?

「ええ、IPアドレスが不足することはありません。」

サブネットチートシートに対する簡単なチェックは以下を示します。

  • 255.255.255.0ネットマスク、/ 24は256台のホストを提供します。組織がその数のIPアドレスを使い果たす可能性があることは明らかです。
  • 255.240.0.0ネットマスク/ 12 1,048,576ホストを提供します。これは200ユーザー未満の小規模なサイトです。400個以上のIPアドレスを割り当てることになるとは思えませんが、おそらく500個ですが、その時点で、より多くのサブネット/ VLANを確立する必要があります。

/ 22または/ 21(それぞれ1024および2048ホスト)のように、より少ないホストを提供するものを提案しましたが、/ 12サブネットの使用に対する特定の理由を与えることができませんでした。

この顧客が心配すべきことはありますか?環境でこのような信じられないほど大きなマスクを使用するべきではない具体的な理由はありますか?

networking  subnet  ip-address  network-design 
ewwhite
ソース
引数は、同じサブネット内に将来のすべてのアドレスを含める必要があるかどうか、またはサブネットを分割する必要があるかどうかに重点を置く必要があります。次に、ARPスケーリングの問題を取り上げます。
スカペレン
3
これは絶対にしたくないでしょう。サブネット内のすべての有効なIPに対してARPを実行するアプリケーションがあります。あなたは本当にそれを制限したいのです。さらに、この1つのサブネットでより多くのIPアドレスを消費することにより、実際にはIPアドレスが不足する可能性が高くなります。(どちらの場合も、まだゼロに近い状態です。)これは、すでに単一のサブネットを超えているかどうかを検討する良い機会です。
デビッドシュワルツ
2
IPv6に移行する必要があります。;-)
モニカの復職-M.シュレーダー
ゲートウェイのIPアドレスを盗むと、そのネットワークが他のネットワーク(およびインターネット)から切断される可能性があります。ネットワークでこのような問題が発生したため、ユーザー、ゲスト、サーバーなどを別々のVLANに配置する理由の1つです。他の理由(セキュリティ、ARPなど)は、他のコメントで言及されています。
0xFF

回答:

25

  • 他の回答で述べたように、ブロードキャストドメインにホストが多すぎると、ブロードキャストが混乱し始めます。

    潜在的な問題になる前に、サブネットで多くの拡張が必要になります。

  • 将来の成長計画は混乱します。

    使用可能なスペースに不必要に大きなフットプリントを既に配置している場合、独自のIPスペースを持つ追加のサイトを追加することは困難です。

  • 内部ネットワークのセキュリティ境界が不可能になります。

    ユーザーの異なるグループに異なるサブネットを割り当て、低セキュリティサーバー/高セキュリティサーバー/サーバー/ストレージ/ネットワークデバイスの制限された管理インターフェイスを分割することはできません。

    自宅でウイルスを拾った古いユーザーのラップトップは、ネットワークをARPポイズニングし、サーバーをダウンさせるか、中間者を招きます。サーバーの帯域外管理インターフェースなど、機密性の高いネットワークの場所から侵害されたデバイスを遠ざける方法はありません。ネットワーク設定の無害な再構成のタイプミスにより、ネットワーク上の他のデバイスとIPが競合する可能性があります。

より多くのサブネットを必要とするような成長を計画しておらず、ネットワークに複雑さやセキュリティを追加することを計画していない場合は、現在のネットワーク構成と事実上同一であるため問題ありませんが、 「これを求めている、彼らは明らかに拡大を計画しています。

せいぜい不要で、最悪の場合はひどく悪い考えです。

シェーンマッデン
ソース
優れた説明!
ewwhite
7

いいえ、内部のホストの数が同じであれば、大きなマスクを使用しても問題はありません。

唯一の問題は、これを行うとネットワーク管理者が遅延して適切なサブネット化を行わなくなり、同じブロードキャストドメインに多数のホストが存在することです。たとえば、各ARP要求はブロードキャストであり、(同じブロードキャストドメイン内の)すべてのマシンがそれを処理する必要があります(通常は1台が応答します)。ブロードキャストを使用する他のプロトコルについても同様です。

10/8には16/12ネットワークのみのスペースがあるため、他の問題はアドレススペースである可能性があります。また、/ 12リクエストを続けると、さらに15に収まる可能性があります。

ポート/ pingスキャンを実行してライブホストを検出するセキュリティソフトウェアの中には、現在よりも多くの時間がかかります(所有している場合)。

そうでなければ、それは問題ではありません。ホストが2つしかない場合、パフォーマンスは/ 30または/ 8で同じになります-ネットワークのサイズはパフォーマンスの問題を引き起こしません。

ムラーズ
ソース
私は同じことを提案し、それに対して支持されました。VLAN機能を使用して、ブロードキャストの問題を制御できます。
mdpc
これは単一の場所なので、追加の/ 12が計画されたとは思わない。セキュリティとIPカメラソフトウェアが混在しています。
ewwhite
3
@mdpcすべてのホストが1つのサブネットにある場合、1つのVLANにある場合、VLANでブロードキャストを制御できません。
HostBits
同じサブネット上の異なるVLANは、単に悪いアーキテクチャであり、実際にホストが互いに通信しようとすると問題が発生します。
ファルコンモモット
6

それに対する議論は、あなたがより大きなブロードキャストドメインを持ち、10.XXXから利用可能な追加のサブネットを持たないということです

ブロードキャストの議論に対抗するため、将来の成長のみを計画している場合、現在のネットワークへの影響は無視できるはずです。IPが本当に必要になるまで、DHCPサーバーを制限して、サブネット全体のごく一部のみを配布し、物事を制御することもできます。

個人的には、それは不必要なので、そうすることに反対します。必要なホストアドレスの数を特定し、そこに巨大なサブネットを捨てるのではなく、将来の成長に向けて計画します。

HostBits
ソース
4

以前の雇用主は、大規模な部門で、/ 16年前後に部門ネットワークを再設計することにしました。この特定の部門には、比較的待ち時間の長いリンクを介して複数のサイトがありましたが(市域ブロードバンドのように)。彼らにとってはうまくいきましたが、これは10年前にGigリンクがデータセンターとディストリビューションリンクでのみ一般的だったときに起こりました。

私が知っている限りでは、彼らは放送の問題にまったく問題を抱えていませんでした。私が言ったように、これは約10年前のブロードキャストトラフィックを処理する多くの愚かなデバイスでした。現代のデバイスはそれについて考え直すべきではありません。この特定のネットワークには、約2倍のノードがありました。

つまり、ネットワークが処理できる限りこのような大きなサブネットでも問題はありません。

sysadmin1138
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.