IPアドレスが多すぎるということはありませんか？

8

私たちはオフィスで小さな討論を始めました、そして私は継続するための技術的な知識をもう持っていないところまで来ました。

IPアドレスが多すぎるということはありますか？プライベート10. *クラスA全体を使用することはお勧めしませんが、必要に応じて使用できなかった理由はわかりません。

正直、「サブネットの断片化」は時代遅れの考え方だと思いますが、技術的な議論は続けていきたいと思います。

現在、私たちのプライマリサブネットマスクは4つのクラスBを使用するように構成されています。これは、小規模ビジネスで利用可能なIPアドレスの数の点でかなり過剰です。

しかし問題は、広いプライベートIPスペースを使用すると、どのような問題（ある場合）が発生するのでしょうか。

subnet

— VxJasonxV
ソース

1

クラスA / B / C / Dは10年間何も使用されていませんか？最初の弾薬があります:)

— マークヘンダーソン

よくわかりません。CIDRは完全に蔓延しており、過去10年間はさらに蔓延していると思いました。おそらく、クラスA / B / C / Dと言うのをやめ、/ 8、/ 16、/ 24、/ 32と言い始めるべきでしょうか？（私はそれらは同じものだと思っていましたが、おそらくそれは私自身の過ちだったでしょう。）

— VxJasonxV '11 / 11/11

1

クラスD = / = / 32。私はただ言っているだけです:)ほとんどの人は、「クラスA」と言ったときにあなたが何を意味するかを知っていますが、技術的には、特定のサイズのネットワークではなく、00バイナリで始まるIPを指します。「スラッシュ8」は通常、代わりに私が言うものです。

— Bill Weiss

5

さまざまな標準への準拠が不可能になり、ネットワークのセキュリティ保護が難しくなり、ウイルスが広がりやすくなり、サービス品質が難しくなり、MAC / CAMテーブルがいっぱいになります。

すべてを1つのバケットにまとめるだけでは、依然としてさまざまな問題があります。

また、LANの速度が上がるので、使い方も忘れないでください。特にデータセンターに関しては。多くの場所は、トランクの使用率が50％以上で稼働しています。10ギガのトランクで常に65％以上を実行するものを私は見ました。それらの人々に不必要なトラフィックを追加するように伝えてください。

2つ以上のVLANを実際に必要としない小さな場所であれば、「できる」以外の理由で大きなサブネットを使用することは問題ありません。中小企業の世界を離れると、物事がかなり複雑になることがわかります。

その他の明らかな理由は、CAMテーブルがいっぱいになるのを停止することです。これは、スイッチテーブルのいっぱいでの処理方法がファームウェアでの実装によっては停止の原因となる可能性があります。

— スクラソン
ソース

9

唯一の問題は、パートナーのネットワークに接続するとき、または合併/買収の際に発生する可能性がある競合です。これらの問題の一部は、エッジデバイスで送信元および宛先NATを使用することで軽減できます。さらに、10.1.0.0 / 24を使用しているからといって、まったく同じ問題が発生しないわけではありません。

— ダグラクセム
ソース

1

また、セキュリティの目的で持つことも非常に便利です。言うまでもなく、最終的には放送が多すぎます。スイッチの速度が上がり、「ニーズがなくなる」につれて、LANが常に稼働し続けることもますます重要になっています。

— sclarson、2009年

5

実際はそうではありません-実際のデバイスの数をネットワークが処理するものに制限している限り...しかし、繰り返しますが、すべてを使用しないのであれば、なぜネットワークにそのような大量のノードが存在するのでしょうか？

ネットワークのセグメント化は、論理的な構造と概要の提供、役割や場所を異なるネットワークに分割することによるセキュリティの強化など、多くのものに適しています。

人々が通常考えないことの1つは、プリンターおよびその他の非常に脆弱で保護されていないネットワークデバイスを独自のネットワークに分割することです-特定のプリントサーバーとだけ言うアクセス権があります。そして、あなたの組織の情報セキュリティの要求に応じて、すべての通常のものがあります。

セキュリティにはレイヤーが付属しています。ネットワークセグメンテーションは、セキュリティの問題（=アクセス、整合性、可用性）に対する脆弱性を軽減するのに役立つ多くの1つです。

— オスカー・デュベボーン
ソース

2

私は概ね同意します。トラフィックの問題があるか、トラフィックをフィルターする必要がない限り、私は「論理的に」デバイスをサブネット別に編成するオンボードではありません。興味深いことに、アクセス制限付きの隔離されたレイヤー2にプリンターを配置することについて言及しました。私は何年もの間、さまざまな成功を収めている人々にそれを伝えようと試みてきました。権限のある一部の（通常はIT以外の）人々は、印刷された出力を暗黙的に信頼します。そのため、可能な「ソーシャルエンジニアリング」ハックには、印刷された出力の変更/改ざんが含まれます。偽造ファックスに基づいて囚人が刑務所から解放されることについて聞いたことがありますか？起こる！

— エヴァンアンダーソン、

受刑者がファックスで解放されるなんて聞いたこともない。ローカルの問題である必要があります。;）

— ジョンガーデニアズ

ええと、これら2つはそれぞれフロリダとケンタッキーの出身なので、地元の影響があったと思います... へへへ ... heraldtribune.com/article/20090716/ARTICLE/…とfreerepublic.com/focus/f-news / 1821482 /投稿

— エヴァン・アンダーソン

1

Farkが「フロリダ」カテゴリの専用FWIWを持っているのには理由があります。

— VxJasonxV 2009

そうそう、そしてええと。ケンタッキー州のコメントについてのコメントはありません。

— VxJasonxV 2009

2

多くのIPで発生する問題は、ブロードキャストドメインを制限するものではありません。一方、1Gbスイッチでは、スイッチとファイアウォールのログを調べようとしない限り、それが本当に重要だとは言えません。

— Skaughty
ソース

1

VPNを介して接続されたパートナーネットワークとの潜在的な競合を除いて、問題はありません。

私が通常お勧めするのは、分割する範囲に関係なく、とにかく/ 24チャンクを使用することです。たとえば、オフィスに10.27.1 / 24、データセンターのDBサブネットに10.27.2 / 24、データセンターのアプリサブネットに10.27.3 / 24、VPNに10.27.100 / 24を割り当てるとします。クライアントなど。

— フローリン・アンドレイ
ソース

1

これは、理由もなく余分な作業のように聞こえるだけでなく、レイヤー3デバイスに追加の負荷を追加します。

— Doug Luxem 2009年

1

それは2009年です。あなたが行き過ぎない限り、それは問題ではありません。

— duffbeer703 2009年

1

@DLuxフラットトポロジではなく、ルーティングされたネットワークを想定していました。私が挙げた例を見てください。それらは通常、物理的に分離されたネットワークであり、その間にルーティングがあります。フラットな場合は、フラグメント化する必要はありません（ただし、フラグメント化することもできます）。

— Florin Andrei、

1

あなたが今言っていることがわかります。:)一般的に、私はセキュリティパーティション/ゾーンでサブネット化します。

— Doug Luxem 2009年

2

スイッチドイーサネットLANをサブネット化する理由は2つだけです。パフォーマンスの問題（過度のブロードキャストトラフィックまたは不明な宛先へのフレームのフラッディング）を軽減すること、またはルーターがパケットを移動する「チョークポイント」でレイヤー3以上のパケットフィルタリング機能を課すことです。サブネット（通常はセキュリティ用）。その他の理由（美的、主に「すべてのxxxコンピューターが同じように見えるため、同じサブネットに配置したい...」）は無効な理由です。

— エヴァンアンダーソン、

1

ネットワークの速度にもよりますが、サブネットブロードキャストのサイズによっては問題になる場合があります。

ただし、1つの欠点は、将来の拡張機能が制限されることです。今は1つのサブネットしか必要ないかもしれませんが、将来これ以上必要なくなると誰が言うでしょうか。拡張したり、ネットワークの一部に個別のサブネットを設定したりすることもできます。

また、「クラス」の考え方をやめて、サブネットにCIDRを使用します。クラスは、大学のコースや歴史の本以外には存在しなくなり、CIDRは柔軟性を大幅に向上させます。

これらのものの経験則は、必要と思うものを取り、それを2倍にすることです。そのため、50のホストがある場合（そしてここにサーバー、プリンター、スイッチなどを含めることを忘れないでください）、25ビットのネットマスク（ 128ホスト、ネットワークおよびブロードキャスト用の2未満）は、必要なものをカバーし、ある程度の余裕を与えます。

— Maximus Minimus
ソース

0

まあ、あなたのUber-IPサーバーに接続されたスイッチは、ARPテーブルで利用可能なエントリの数が制限されています。同様に、ブロードキャストドミンに多くの不必要なARPが表示されます。

— 軽く塩漬け
ソース

1

....そしてswicthesはARPを行いません

— ハビエル

1

できれば、この2人の担当者に担当者をあげます。実際、DLuxに賛成票を投じるので、できると思います。スイッチや「ARPテーブル」について「ブリッジング/ MACテーブル」と言われるのを聞くのはとてもうんざりです。

— エヴァンアンダーソン、

2

@sparks：レイヤー3デバイスにはARPテーブルがあります。厳密にレイヤー2で動作するスイッチには、ARPテーブルがありません。スイッチにレイヤ3で通信する管理インターフェイス、またはルーティングエンジンがある場合、それらのデバイスにはARPテーブルがあります。

— エヴァンアンダーソン

1

非常に高速なルーターが内部に隠れているレイヤ2スイッチ（マルチポートブリッジとして説明）として「レイヤ3スイッチ」を説明すると役立つと思います。ルーティング機能について、スイッチング機能とは別に説明してみます。ボックスは両方の機能を果たしますが、ボックスの異なる部分は異なる機能を果たします。（一部の古いCatalystスーパーバイザモジュールも同様に機能しました。SUPブレード上にルーターシリコンがあり、独自の管理インターフェイスがありました。）

— エヴァンアンダーソン

1

スイッチはマルチポートブリッジです。それ以上のものは、同じボックスに統合された別のデバイスとしてよりよく理解されます

— Javier

0

セットアップ（および場合によっては管理）が少し難しいこと以外に、私が考えることのできるものはありません。そして、（IPV6まで）IPアドレスの量が減少するという問題があります。

— 私も
ソース

「プライベートIPアドレッシング」の記述、および10/14を使用する例では、「必要なIPアドレスの量」は少し無関係です。

— VxJasonxV 2009

0

私が継承した1つのネットワークは/ 16秒でいっぱいでした。つまり、10.1.xx、10.2.xxです。

IPの範囲をグループ化するのに便利でした。IPを見て、それが何であるかを正確に知ることができました。10.4.20.Xはすべてデータベースなどです...

最終的にはクリーンアップする必要があり、ランダムなIPを1つすべてランダムに見つけるのは面倒でした。

/ 16よりも/ 24のnmap pingスキャンを実行する方がはるかに簡単です。

再設計では、/ 22秒に設定しました。（1024 ips）

今日必要なものに割り当てるための一般的なルールは、健全なオーバーヘッドで成長することは良い習慣だと思います。

— ジョエル・K
ソース

0

ネットワークに接続するデバイスの最大数から始めて、それを2倍または3倍にし、十分なネットワークがあるかどうかを確認します。TENネットを使用することで、バランスを見つけるのは難しくありません。たとえば、最大100台のデバイスがあったとします。/ 22をマスクとして選択した場合、1022のデバイスを持つことができる16,384のネットワークがあります。

Mask:255.255.252.0   Host/Net - 1022
Network          Broadcast
10.0.0.0         10.0.3.255
10.0.4.0         10.0.7.255
10.0.8.0         10.0.11.255
10.0.12.0        10.0.15.255
10.0.16.0        10.0.19.255
10.0.20.0        10.0.23.255
10.0.24.0        10.0.27.255
10.0.28.0        10.0.31.255
10.0.32.0        10.0.35.255
10.0.36.0        10.0.39.255
10.0.40.0        10.0.43.255

— dbasnett
ソース