Podział na podsieci
-
- fresh
- Posty: 2
- Rejestracja: 26 mar 2014, 13:11
Podział na podsieci
Cześć,
Mam pytanie dotyczące podziału na podsieci.
Dostałem z centrali firmy do wykorzystania sieć 10.10.0.0/20.
Mam ją u siebie lokalnie podzielic na 16 podsieci.
Schemat:
R_WAN - ASA - sw_L3 - hosty
gdzie:
R_WAN - router łaczacy sieć WAN z moja lokalizacją
ASA - firewall
sw_L3 - switch łączacy moje podsieci
Podzieliłem na podsieci:
10.10.0.0
10.10.1.0
10.10.2.0
10.10.3.0
10.10.4.0
10.10.5.0
10.10.6.0
10.10.7.0
10.10.8.0
10.10.9.0
10.10.10.0
10.10.11.0
10.10.12.0
10.10.13.0
10.10.14.0
10.10.15.0
maska /24
Czy może być tak że na interfejsie routera R_WAN od mojej strony jest ustawiony adres 10.10.0.1 /20,
czy powinien byc raczej ustawiony adres z którejś podsieci z maską /24?
To znaczy wiem że da się tak ustawić (pomiedzy ASA a sw_L3 dam zupełnie inna sieć np. 192.168.1.0 /24) i wtedy na interfejsach nie beda sie nakładały sieci,
ale czy takie adresowanie (pomiedzy R_WAN a ASA - zakres całej sieci 10.10.0.0/20) nie bedzie powodowało problemów w przyszłości ?
Mam pytanie dotyczące podziału na podsieci.
Dostałem z centrali firmy do wykorzystania sieć 10.10.0.0/20.
Mam ją u siebie lokalnie podzielic na 16 podsieci.
Schemat:
R_WAN - ASA - sw_L3 - hosty
gdzie:
R_WAN - router łaczacy sieć WAN z moja lokalizacją
ASA - firewall
sw_L3 - switch łączacy moje podsieci
Podzieliłem na podsieci:
10.10.0.0
10.10.1.0
10.10.2.0
10.10.3.0
10.10.4.0
10.10.5.0
10.10.6.0
10.10.7.0
10.10.8.0
10.10.9.0
10.10.10.0
10.10.11.0
10.10.12.0
10.10.13.0
10.10.14.0
10.10.15.0
maska /24
Czy może być tak że na interfejsie routera R_WAN od mojej strony jest ustawiony adres 10.10.0.1 /20,
czy powinien byc raczej ustawiony adres z którejś podsieci z maską /24?
To znaczy wiem że da się tak ustawić (pomiedzy ASA a sw_L3 dam zupełnie inna sieć np. 192.168.1.0 /24) i wtedy na interfejsach nie beda sie nakładały sieci,
ale czy takie adresowanie (pomiedzy R_WAN a ASA - zakres całej sieci 10.10.0.0/20) nie bedzie powodowało problemów w przyszłości ?
Re: Podział na podsieci
No w sume to moze ale po co?gremlin1616 pisze:Czy może być tak że na interfejsie routera R_WAN od mojej strony jest ustawiony adres 10.10.0.1 /20
Jeden konfig wart więcej niż tysiąc słów
-
- fresh
- Posty: 2
- Rejestracja: 26 mar 2014, 13:11
Powinien go zmienić. Nie jest w tym momencie istotne, czy użyjesz którejś podsieci 10.10.x.0/24, czy dodatkowej sieci (np. 192.x.x.x/30), ale nie powinno tam być 10.10.0.0/20. Możliwe, że Ci to zadziała ze względu na zasadę najlepszego dopasowania tras routingu, ale to niebezpieczne założenie. RFC wyraźnie mówi, że jak adres docelowy znajduje się w tej samej podsieci co interfejs, to wysyła się pakiet bezpośrednio, a nie poprzez routowanie. Bądź grzeczny i rób zgodnie z zasadami.
- Wheelwright
- member
- Posty: 23
- Rejestracja: 27 mar 2013, 07:06
Nie zawsze taki sztywny podział na podsieci (wyłącznie z maską /24) jest korzystny. W niektórych podsieciach może być np. tylko kilkanaście hostów i duża liczba adresów będzie leżała odłogiem. Może być sytuacja odwrotna, hostów będzie więcej niż 254 i zabraknie adresów. I jeszcze jeden przypadek - co będzie, gdy w przyszłości trzeba dodać jeszcze jedną podsieć, a tu nie ma już miejsca. Ja bym proponował stosować VLSM gdzie się da, żeby optymalnie wykorzystać cały przydzielony zakres. No i Dorvin ma rację - na routerze R_WAN nie powinien być adres z maską /20, może być z którejś podsieci, albo zupełnie inny (z maską /30).
A moim zdaniem kolega gremlin1616 nie zrozumiał tego, co centrala mu dała do zaimplementowania. Pierwsze pytanie jaki mi przychodzi do głowy, to czy kontaktowałeś się z centralą odnośnie sieci połączeniowej (peering do Twojego ASA)? Jakieś protokoły routingu dynamicznego (BGP? OSPF?) A może statyczny routing? Bo nie wierzę, że ktoś po drugiej stronie wpadł na pomysł, żeby zaadresować interfejs np. 10.10.0.1/20.
Jeżeli łącze do firmy nie będzie zaadresowane w innej sieci, to najlepiej wziąć z tej puli 10.10.0.0/30 i przypisać do interfejsu zewnętrznego.
Rozwiązanie, które chcesz zrobić może i zadziała, ale jest bez sensu.
Jeżeli łącze do firmy nie będzie zaadresowane w innej sieci, to najlepiej wziąć z tej puli 10.10.0.0/30 i przypisać do interfejsu zewnętrznego.
Rozwiązanie, które chcesz zrobić może i zadziała, ale jest bez sensu.
Wheelwright
Masz oczywiście rację, ale w tej sytuacji należy założyć, że autor pracuje w bardzo dużej firmie. W takich firmach priorytetem jest prostota, a nie efektywne wykorzystanie adresów. Jak będzie potrzebował kolejnej sieci, to dostanie z centrali kolejną pulę adresową. Robiąc w tym momencie podział na podsieci /24 (zakładam, że nie potrzebuje większych bo by sobie podzielił inaczej, a pewnie rzadko kiedy wykorzysta chociażby połowę z danej puli) ułatwia sobie i ewentualnie innym życie. Np. nie musi pamiętać, jaka maska jest w której sieci, co jest GW w danej podsieci (bo np. zawsze będzie .1), może porobić numery VLAN powiązane z trzecim oktetem adresu (ewentualnie dodając np. 100), co ułatwi mu przepinanie użytkowników z VLANu do VLANu i jeszcze parę innych rzeczy.
W sieciach zawsze obowiązuje naczelna zasada - robić najprościej jak się da.
Masz oczywiście rację, ale w tej sytuacji należy założyć, że autor pracuje w bardzo dużej firmie. W takich firmach priorytetem jest prostota, a nie efektywne wykorzystanie adresów. Jak będzie potrzebował kolejnej sieci, to dostanie z centrali kolejną pulę adresową. Robiąc w tym momencie podział na podsieci /24 (zakładam, że nie potrzebuje większych bo by sobie podzielił inaczej, a pewnie rzadko kiedy wykorzysta chociażby połowę z danej puli) ułatwia sobie i ewentualnie innym życie. Np. nie musi pamiętać, jaka maska jest w której sieci, co jest GW w danej podsieci (bo np. zawsze będzie .1), może porobić numery VLAN powiązane z trzecim oktetem adresu (ewentualnie dodając np. 100), co ułatwi mu przepinanie użytkowników z VLANu do VLANu i jeszcze parę innych rzeczy.
W sieciach zawsze obowiązuje naczelna zasada - robić najprościej jak się da.
- Wheelwright
- member
- Posty: 23
- Rejestracja: 27 mar 2013, 07:06
Dorvin
Pracuję w dużej firmie, gdzie mamy kilkaset pecetów, kilkanaście serwerów, WLAN-y i inne bajery. Mam przydzielony zakres /19 i więcej nie dostanę, i niestety bez VLSM w pewnych przypadkach nie dałbym rady - niektóre podsieci musiałem pociąć, inne zrobić /23. Zgadzam się z Tobą, że prostota przede wszystkim, ale nie idzie to w parze z optymalnym wykorzystaniem puli adresów, co mnie czasami trochę boli
Pracuję w dużej firmie, gdzie mamy kilkaset pecetów, kilkanaście serwerów, WLAN-y i inne bajery. Mam przydzielony zakres /19 i więcej nie dostanę, i niestety bez VLSM w pewnych przypadkach nie dałbym rady - niektóre podsieci musiałem pociąć, inne zrobić /23. Zgadzam się z Tobą, że prostota przede wszystkim, ale nie idzie to w parze z optymalnym wykorzystaniem puli adresów, co mnie czasami trochę boli
- Wheelwright
- member
- Posty: 23
- Rejestracja: 27 mar 2013, 07:06
Patrząc na to z takiego punktu widzenia jak pisał gremlin1616, to miałbym 32 podsieci /24. Nie zagłębiając się zbytnio w szczegóły wygląda to w mojej firmie tak, że komputery w biurze (tak ze 350 sztuk) są w podsieci /23, inne na halach produkcyjnych (6 budynków) po 2 podsieci /24 (radio 2.4 i 5GHz), Out of Band Management /24, VoIP, CCTV, podsieci dla podwykonawców też kilka x /24, system kontroli dostępu i sporo innych. Podsumowując mam 51 VLAN-ów
Ja mam 57 VLAN-ów, wszystkie z podsieci /24 i szczerze powiedziawszy nie mam wyrzutów sumienia "marnując" przestrzeń z puli prywatnej. Zgadzam się tu z podejściem typu KISS (jeżeli oczywiście nie ma innych ograniczeń), co rzeczywiście zmniejsza liczbę 'błędów ludzkich' i ułatwia zarządzanie (np. regułami dostępu) w przyszłości. Anyway, po przejściu na IPv6 podobne dylematy nie powinny nas już trapićWheelwright pisze:Podsumowując mam 51 VLAN-ów
- Wheelwright
- member
- Posty: 23
- Rejestracja: 27 mar 2013, 07:06
Wheelwright,
Używając sieci 10.0.0.0/8 masz 65k x /24. To 16M adresów. Mało jest organizacji, które tyle potrzebują. Jeśli nie możesz dostać u siebie kolejnej puli to zwykle oznacza to błąd lub brak przewidywania na którymś wcześniejszym etapie projektowania sieci, a nie "specyfikę danej sieci". To nawet nie musi być przecież ciągła adresacja. Routing jest obecnie tani.
A co do Twojego przypadku, to mam wrażenie, że przydałoby Ci się podzielić userów w głównym budynku na kilka VLANów. Wrzucenie wszystkiego do jednego worka to potencjalne różnorodne problemy z wydajnością sieci i kontrolą dostępu.
Używając sieci 10.0.0.0/8 masz 65k x /24. To 16M adresów. Mało jest organizacji, które tyle potrzebują. Jeśli nie możesz dostać u siebie kolejnej puli to zwykle oznacza to błąd lub brak przewidywania na którymś wcześniejszym etapie projektowania sieci, a nie "specyfikę danej sieci". To nawet nie musi być przecież ciągła adresacja. Routing jest obecnie tani.
A co do Twojego przypadku, to mam wrażenie, że przydałoby Ci się podzielić userów w głównym budynku na kilka VLANów. Wrzucenie wszystkiego do jednego worka to potencjalne różnorodne problemy z wydajnością sieci i kontrolą dostępu.
- Wheelwright
- member
- Posty: 23
- Rejestracja: 27 mar 2013, 07:06
Nie chodzi o to, że nie dostanę kolejnej puli, bo już nie ma - podejrzewam, że w odpowiedzi dostałbym sugestię optymalizacji tego, co mam. Więc uważam, że należy optymalnie zarządzać tym, co się ma, a nie robić VLANy 255.255.255.0, a jak się pula skończy to poprosić o następną. O ile łatwiej jest w tym przypadku zarządzać podsieciami, o tyle trudniej routingiem z niespójnymi zakresami adresów.