是否存在 IP 地址过多之类的问题?

VxJ*_*nxV 8 subnet

我们在办公室开始了一场小型辩论,我已经达到了我不再拥有继续的技术知识的地步。

是否存在 IP 地址过多的情况?我不是建议我们使用整个私有的 10.* A 类,但我不明白为什么我们不能,如果我们也想要的话。

老实说,我认为“子网碎片化”是一种过时的思维方式,但我想继续进行技术讨论。

目前,我们的主要子网掩码配置为使用 4 个 B 类,对于我们的小型企业来说,就可用 IP 地址的绝对数量而言,这太过分了。

但问题是,拥有广泛的私有 IP 空间会产生什么问题(如果有的话)?

Dou*_*xem 9

唯一的问题是在连接到合作伙伴的网络或合并/收购期间可能会发生冲突。其中一些问题可以通过在边缘设备上使用源和目标 NAT 来缓解。此外,仅仅因为您使用 10.1.0.0/24 并不意味着您不会遇到完全相同的问题。


scl*_*son 5

遵守各种标准将变得不可能,保护网络变得更难,病毒更容易传播,服务质量变得更难,MAC/CAM 表变满。

将所有东西都集中在一个桶中仍然存在各种各样的问题。

也不要忘记随着 LAN 上的速度增加,使用也会增加。尤其是在数据中心方面。许多地方的中继线利用率为 50+%。我见过一些在 10gig 中继上的运行率始终高于 65%。告诉这些人添加不必要的流量。

当您是一个真正不需要超过 2 个 VLAN 的小地方时,除了“您可以”之外,无缘无故地使用大型子网是可以的。一旦您离开小企业世界,您就会发现事情的复杂性增加了很多。

另一个明显的原因是阻止您的 CAM 表填充,这可能会导致中断,具体取决于固件中的实现如何处理开关表填充。


Osk*_*orn 5

不是真的 - 只要您将实际设备的数量限制为网络可以处理的东西……但是话说回来,如果您不全部使用它们,为什么在该网络中有如此大量的可能节点?

分割网络有很多好处,包括提供逻辑结构和概览、通过将角色和/或位置拆分到不同的网络来加强安全性等等。

人们通常不会想到的一件事是将打印机和其他高度脆弱且不受保护的网络设备拆分到他们自己的网络中 - 只能访问特定的打印服务器。然后根据您组织的信息安全需求,有所有常见的。

安全性伴随着层,网络分段是帮助减少安全问题(=访问、完整性和可用性)的众多方法之一。

  • 我大体上同意。我不会通过子网“逻辑地”组织设备,除非存在流量问题或需要过滤流量。有趣的是,您提到将打印机放入具有有限访问权限的隔离第 2 层。多年来,我一直试图将这一点传达给人们,并取得了不同程度的成功。一些(通常是非 IT 人员)处于权威地位的人暗中信任打印输出。因此,可能的“社会工程”黑客将涉及修改/伪造打印输出。听说过囚犯因伪造传真而从监狱获释吗?它发生了! (2认同)