Witam,
Czy przeznaczanie zbyt dużych przestrzeni adresowych dla sieci LAN w firmach np. 10.0.0.0/8 to jest dobra praktyka, czy też może nie? Nie chodzi tutaj o jeden vlan ale zakres adresów i jak one mogą wpłynąć na jej wydajność?
Np. mam 5 lokalizacji po 100 komputerów i dla każdej przeznaczam sobie 10.X.0.0/16 w której mam po kilka vlanów. Wszystkie są spięte routingiem dynamicznym. Firma się rozrasta o kolejne oddziały którym przeznaczam kolejne 10.X.0.0/16.
Jest to dobre podejście czy może lepiej jest dążyć do zawężania adresacji?
Pozdrawiam
zakrz
Adresacja wewnętrzna dla firmy.
Adresacja wewnętrzna dla firmy.
CCNA, CCNA Voice
10.x.x.x jest jak najbardziej ok. Ja bym celował w coś nietypowego na drugim oktecie np. 10.178.x.x - wtedy będzie mniejsze prawdopodobieństwo że będziesz musiał bawić się z NAT jak będziesz łączył się VPN z kimś innym.
Zdobywanie certów jest jak zbieranie pokemonów: Wszystkie są fajne ale każdy chce mieć Pikachu 
Łącząc się VPN-em z kimś innym - poza moją adresacją, czyli obcy, wolałbym żeby tak czy siak nie widział moich adresów. Po pierwsze trochę bezpieczeństwa a po drugie, niech przyjdzie sobie ktoś nowy po tamtej stronie i ustawi którąś z moich sieci robiąc mi kuku?drozdov pisze:10.x.x.x jest jak najbardziej ok. Ja bym celował w coś nietypowego na drugim oktecie np. 10.178.x.x - wtedy będzie mniejsze prawdopodobieństwo że będziesz musiał bawić się z NAT jak będziesz łączył się VPN z kimś innym.
Czasami jest tak, że firmy współpracują ze sobą i musisz udostępnić im jakąś aplikację, czasami firma zewnętrzna Cię supportuje i ma VPN do Ciebie. Natowanie adresów jest jakimś pomysłem na bezpieczeństwo ale i tak podstawą w tym przypadku jest firewall + AAA. I Ihmo jeżeli to masz dobrze skonfigurowane to NAT może stanowić tylko problem. Oczywiście jeżeli jest ktoś obcy dla Ciebie to nie łączysz się z nim VPN.rysic pisze: Łącząc się VPN-em z kimś innym - poza moją adresacją, czyli obcy, wolałbym żeby tak czy siak nie widział moich adresów. Po pierwsze trochę bezpieczeństwa a po drugie, niech przyjdzie sobie ktoś nowy po tamtej stronie i ustawi którąś z moich sieci robiąc mi kuku?
Zdobywanie certów jest jak zbieranie pokemonów: Wszystkie są fajne ale każdy chce mieć Pikachu
Ma wpływ. Im więcej prefiksów rozgłaszasz przez ruting dynamiczny, to bardziej złożona topologia i routery muszą zużywać więcej zasobów na przeliczanie metryk. Dla protokołów link-state, każda zmiana topologii skutkuje uruchomienie przeliczania algorytmu. Nie ma idealnej recepty, ale zalecane praktyki, to sumaryzacja, obszary OSPF, route mapy/ACL dla peerów BGP, itp.rysic pisze:Na wydajność adresacja nie ma wpływu.
Plan adresacji musisz zrobić sam w zależności od zakładanej ekspansji. Zawsze lepiej policzyć z górką, dając sobie też jakiś zapad na dodawanie sieci a nie tylko użytkowników.
Jezeli myslisz bardziej rozwojowo no to zastanów sie nad podzialem sieci 10.0.0.0 przy uzyciu bitów, zamiast oktetów. W Twoim przypadku w zaleznosci od tego ile przewidujesz lokalizacji, mozesz trzeci oktet podzielic na pól xxxxyyyy i pierwsze 4 bity to lokalizacja, a drugie 4 bity to konkretny vlan w tej lokalizacji. To jest troche trudniejsze ale siec calej firmy mozesz wtedy zamknac w jednej /16, np tak jak ktos napisal 10.178.x.y/16 - wygodne zwlaszcza gdy zestawiasz tunel vpn.
Jeden konfig wart więcej niż tysiąc słów
Masz rację! Dodaję zatem do swojej wypowiedzi - zrób adresację hierarchicznąlxs pisze:Ma wpływ. Im więcej prefiksów rozgłaszasz przez ruting dynamiczny, to bardziej złożona topologia i routery muszą zużywać więcej zasobów na przeliczanie metryk. Dla protokołów link-state, każda zmiana topologii skutkuje uruchomienie przeliczania algorytmu. Nie ma idealnej recepty, ale zalecane praktyki, to sumaryzacja, obszary OSPF, route mapy/ACL dla peerów BGP, itp.rysic pisze:Na wydajność adresacja nie ma wpływu.
Plan adresacji musisz zrobić sam w zależności od zakładanej ekspansji. Zawsze lepiej policzyć z górką, dając sobie też jakiś zapad na dodawanie sieci a nie tylko użytkowników.