Adresacja wewnętrzna dla firmy.
Adresacja wewnętrzna dla firmy.
Witam,
Czy przeznaczanie zbyt dużych przestrzeni adresowych dla sieci LAN w firmach np. 10.0.0.0/8 to jest dobra praktyka, czy też może nie? Nie chodzi tutaj o jeden vlan ale zakres adresów i jak one mogą wpłynąć na jej wydajność?
Np. mam 5 lokalizacji po 100 komputerów i dla każdej przeznaczam sobie 10.X.0.0/16 w której mam po kilka vlanów. Wszystkie są spięte routingiem dynamicznym. Firma się rozrasta o kolejne oddziały którym przeznaczam kolejne 10.X.0.0/16.
Jest to dobre podejście czy może lepiej jest dążyć do zawężania adresacji?
Pozdrawiam
zakrz
Czy przeznaczanie zbyt dużych przestrzeni adresowych dla sieci LAN w firmach np. 10.0.0.0/8 to jest dobra praktyka, czy też może nie? Nie chodzi tutaj o jeden vlan ale zakres adresów i jak one mogą wpłynąć na jej wydajność?
Np. mam 5 lokalizacji po 100 komputerów i dla każdej przeznaczam sobie 10.X.0.0/16 w której mam po kilka vlanów. Wszystkie są spięte routingiem dynamicznym. Firma się rozrasta o kolejne oddziały którym przeznaczam kolejne 10.X.0.0/16.
Jest to dobre podejście czy może lepiej jest dążyć do zawężania adresacji?
Pozdrawiam
zakrz
CCNA, CCNA Voice
10.x.x.x jest jak najbardziej ok. Ja bym celował w coś nietypowego na drugim oktecie np. 10.178.x.x - wtedy będzie mniejsze prawdopodobieństwo że będziesz musiał bawić się z NAT jak będziesz łączył się VPN z kimś innym.
Zdobywanie certów jest jak zbieranie pokemonów: Wszystkie są fajne ale każdy chce mieć Pikachu
Łącząc się VPN-em z kimś innym - poza moją adresacją, czyli obcy, wolałbym żeby tak czy siak nie widział moich adresów. Po pierwsze trochę bezpieczeństwa a po drugie, niech przyjdzie sobie ktoś nowy po tamtej stronie i ustawi którąś z moich sieci robiąc mi kuku?drozdov pisze:10.x.x.x jest jak najbardziej ok. Ja bym celował w coś nietypowego na drugim oktecie np. 10.178.x.x - wtedy będzie mniejsze prawdopodobieństwo że będziesz musiał bawić się z NAT jak będziesz łączył się VPN z kimś innym.
Czasami jest tak, że firmy współpracują ze sobą i musisz udostępnić im jakąś aplikację, czasami firma zewnętrzna Cię supportuje i ma VPN do Ciebie. Natowanie adresów jest jakimś pomysłem na bezpieczeństwo ale i tak podstawą w tym przypadku jest firewall + AAA. I Ihmo jeżeli to masz dobrze skonfigurowane to NAT może stanowić tylko problem. Oczywiście jeżeli jest ktoś obcy dla Ciebie to nie łączysz się z nim VPN.rysic pisze: Łącząc się VPN-em z kimś innym - poza moją adresacją, czyli obcy, wolałbym żeby tak czy siak nie widział moich adresów. Po pierwsze trochę bezpieczeństwa a po drugie, niech przyjdzie sobie ktoś nowy po tamtej stronie i ustawi którąś z moich sieci robiąc mi kuku?
Zdobywanie certów jest jak zbieranie pokemonów: Wszystkie są fajne ale każdy chce mieć Pikachu
Ma wpływ. Im więcej prefiksów rozgłaszasz przez ruting dynamiczny, to bardziej złożona topologia i routery muszą zużywać więcej zasobów na przeliczanie metryk. Dla protokołów link-state, każda zmiana topologii skutkuje uruchomienie przeliczania algorytmu. Nie ma idealnej recepty, ale zalecane praktyki, to sumaryzacja, obszary OSPF, route mapy/ACL dla peerów BGP, itp.rysic pisze:Na wydajność adresacja nie ma wpływu.
Plan adresacji musisz zrobić sam w zależności od zakładanej ekspansji. Zawsze lepiej policzyć z górką, dając sobie też jakiś zapad na dodawanie sieci a nie tylko użytkowników.
Jezeli myslisz bardziej rozwojowo no to zastanów sie nad podzialem sieci 10.0.0.0 przy uzyciu bitów, zamiast oktetów. W Twoim przypadku w zaleznosci od tego ile przewidujesz lokalizacji, mozesz trzeci oktet podzielic na pól xxxxyyyy i pierwsze 4 bity to lokalizacja, a drugie 4 bity to konkretny vlan w tej lokalizacji. To jest troche trudniejsze ale siec calej firmy mozesz wtedy zamknac w jednej /16, np tak jak ktos napisal 10.178.x.y/16 - wygodne zwlaszcza gdy zestawiasz tunel vpn.
Jeden konfig wart więcej niż tysiąc słów
Masz rację! Dodaję zatem do swojej wypowiedzi - zrób adresację hierarchicznąlxs pisze:Ma wpływ. Im więcej prefiksów rozgłaszasz przez ruting dynamiczny, to bardziej złożona topologia i routery muszą zużywać więcej zasobów na przeliczanie metryk. Dla protokołów link-state, każda zmiana topologii skutkuje uruchomienie przeliczania algorytmu. Nie ma idealnej recepty, ale zalecane praktyki, to sumaryzacja, obszary OSPF, route mapy/ACL dla peerów BGP, itp.rysic pisze:Na wydajność adresacja nie ma wpływu.
Plan adresacji musisz zrobić sam w zależności od zakładanej ekspansji. Zawsze lepiej policzyć z górką, dając sobie też jakiś zapad na dodawanie sieci a nie tylko użytkowników.