Networking
客戶站點的 IP 地址用完了,他們想從 /24 轉到 /12 網路遮罩… 壞主意?
我的一個客戶站點打電話要求我更改我在那裡管理的 Linux 伺服器的子網遮罩,同時他們根據 10.0.0.x 方案重新 IP/更改其網路的網路遮罩。
“你能把 Linux 伺服器的網路遮罩從 255.255.255.0 改成 255.240.0.0 嗎?”
你的意思是,255.255.240.0?
“不,255.240.0.0。”
你確定你需要那麼多IP地址嗎?
“是的,我們永遠不想用完 IP 地址。”
對子網備忘單的快速檢查顯示:
- 一個255.255.255.0網路遮罩,一個 /24 提供 256 個主機。很明顯,一個組織可以耗盡該數量的 IP 地址。
- 一個255.240.0.0網路遮罩,一個 /12 提供 1,048,576 個主機。這是一個小於 200 個使用者的小型站點。我懷疑他們會分配超過 400 個 IP 地址,永遠……也許是 500 個,但到那時,應該建立更多的子網/VLAN。
我建議提供較少主機的東西,例如 /22 或 /21(分別為 1024 和 2048 主機),但無法給出反對使用 /12 子網的具體原因。
這個客戶有什麼需要注意的嗎?他們有什麼具體原因不應該在他們的環境中使用如此大的面具嗎?
- 正如其他答案中所述,廣播域中的主機過多真的會開始使廣播變得一團糟。
在成為潛在問題之前,他們需要在子網中進行大量擴展。
- 未來的增長計劃變得一團糟。
當您已經在可用空間中放置了不必要的巨大足跡時,添加具有自己 IP 空間的額外站點變得很困難。
- 內部網路安全邊界變得不可能。
為不同的使用者組分配不同的子網,拆分低安全伺服器/高安全伺服器/伺服器/儲存/網路設備的受限管理介面,這些都是不可能的。
任何在家中感染病毒的老使用者的筆記型電腦都可以通過 ARP 毒化網路並使伺服器停機或中間人攻擊。您無法讓受感染的設備遠離敏感的網路位置,例如伺服器的帶外管理介面。網路設置的無辜重新配置中的拼寫錯誤可能與網路上的任何其他設備發生 IP 衝突。
如果他們不打算以任何需要更多子網的方式增長,也不打算為他們的網路增加任何復雜性或安全性,那很好,因為它實際上與他們目前的網路配置相同——但如果他們’要求這個,他們顯然計劃擴大。
充其量是不必要的,最壞的情況是嚴重的壞主意。