Podział na podsieci

[gremlin1616]

Cześć,
Mam pytanie dotyczące podziału na podsieci.
Dostałem z centrali firmy do wykorzystania sieć 10.10.0.0/20.
Mam ją u siebie lokalnie podzielic na 16 podsieci.

Schemat:
R_WAN - ASA - sw_L3 - hosty

gdzie:
R_WAN - router łaczacy sieć WAN z moja lokalizacją
ASA - firewall
sw_L3 - switch łączacy moje podsieci

Podzieliłem na podsieci:

10.10.0.0
10.10.1.0
10.10.2.0
10.10.3.0
10.10.4.0
10.10.5.0
10.10.6.0
10.10.7.0
10.10.8.0
10.10.9.0
10.10.10.0
10.10.11.0
10.10.12.0
10.10.13.0
10.10.14.0
10.10.15.0
maska /24

Czy może być tak że na interfejsie routera R_WAN od mojej strony jest ustawiony adres 10.10.0.1 /20,
czy powinien byc raczej ustawiony adres z którejś podsieci z maską /24?
To znaczy wiem że da się tak ustawić (pomiedzy ASA a sw_L3 dam zupełnie inna sieć np. 192.168.1.0 /24) i wtedy na interfejsach nie beda sie nakładały sieci,
ale czy takie adresowanie (pomiedzy R_WAN a ASA - zakres całej sieci 10.10.0.0/20) nie bedzie powodowało problemów w przyszłości ?

[frontier]

Czy może być tak że na interfejsie routera R_WAN od mojej strony jest ustawiony adres 10.10.0.1 /20

No w sume to moze ale po co?

[gremlin1616]

Dlatego, że ja nie mam dostępu do tego routera (R_WAN) i nie wiem czy może taki adres na interfejsie pozostać, czy lepiej żeby go admin zmienił ?

[dorvin]

Powinien go zmienić. Nie jest w tym momencie istotne, czy użyjesz którejś podsieci 10.10.x.0/24, czy dodatkowej sieci (np. 192.x.x.x/30), ale nie powinno tam być 10.10.0.0/20. Możliwe, że Ci to zadziała ze względu na zasadę najlepszego dopasowania tras routingu, ale to niebezpieczne założenie. RFC wyraźnie mówi, że jak adres docelowy znajduje się w tej samej podsieci co interfejs, to wysyła się pakiet bezpośrednio, a nie poprzez routowanie. Bądź grzeczny i rób zgodnie z zasadami.

[pogrom]

Na Cisco ma szansę zadziałać. Gdyby routing robił jakiś linux, to by nie działało - przeszedłem przez to.
Tak jak pisze dorvin - lepiej zmienić, bo potem mogą być problemy.

[Wheelwright]

Nie zawsze taki sztywny podział na podsieci (wyłącznie z maską /24) jest korzystny. W niektórych podsieciach może być np. tylko kilkanaście hostów i duża liczba adresów będzie leżała odłogiem. Może być sytuacja odwrotna, hostów będzie więcej niż 254 i zabraknie adresów. I jeszcze jeden przypadek - co będzie, gdy w przyszłości trzeba dodać jeszcze jedną podsieć, a tu nie ma już miejsca. Ja bym proponował stosować VLSM gdzie się da, żeby optymalnie wykorzystać cały przydzielony zakres. No i Dorvin ma rację - na routerze R_WAN nie powinien być adres z maską /20, może być z którejś podsieci, albo zupełnie inny (z maską /30).

[lxs]

A moim zdaniem kolega gremlin1616 nie zrozumiał tego, co centrala mu dała do zaimplementowania. Pierwsze pytanie jaki mi przychodzi do głowy, to czy kontaktowałeś się z centralą odnośnie sieci połączeniowej (peering do Twojego ASA)? Jakieś protokoły routingu dynamicznego (BGP? OSPF?) A może statyczny routing? Bo nie wierzę, że ktoś po drugiej stronie wpadł na pomysł, żeby zaadresować interfejs np. 10.10.0.1/20.

Jeżeli łącze do firmy nie będzie zaadresowane w innej sieci, to najlepiej wziąć z tej puli 10.10.0.0/30 i przypisać do interfejsu zewnętrznego.

Rozwiązanie, które chcesz zrobić może i zadziała, ale jest bez sensu.

[dorvin]

Wheelwright

Masz oczywiście rację, ale w tej sytuacji należy założyć, że autor pracuje w bardzo dużej firmie. W takich firmach priorytetem jest prostota, a nie efektywne wykorzystanie adresów. Jak będzie potrzebował kolejnej sieci, to dostanie z centrali kolejną pulę adresową. Robiąc w tym momencie podział na podsieci /24 (zakładam, że nie potrzebuje większych bo by sobie podzielił inaczej, a pewnie rzadko kiedy wykorzysta chociażby połowę z danej puli) ułatwia sobie i ewentualnie innym życie. Np. nie musi pamiętać, jaka maska jest w której sieci, co jest GW w danej podsieci (bo np. zawsze będzie .1), może porobić numery VLAN powiązane z trzecim oktetem adresu (ewentualnie dodając np. 100), co ułatwi mu przepinanie użytkowników z VLANu do VLANu i jeszcze parę innych rzeczy.

W sieciach zawsze obowiązuje naczelna zasada - robić najprościej jak się da.

[Wheelwright]

Dorvin

Pracuję w dużej firmie, gdzie mamy kilkaset pecetów, kilkanaście serwerów, WLAN-y i inne bajery. Mam przydzielony zakres /19 i więcej nie dostanę, i niestety bez VLSM w pewnych przypadkach nie dałbym rady - niektóre podsieci musiałem pociąć, inne zrobić /23. Zgadzam się z Tobą, że prostota przede wszystkim, ale nie idzie to w parze z optymalnym wykorzystaniem puli adresów, co mnie czasami trochę boli

[dorvin]

Masz 8k adresów do dyspozycji i nie mogłeś zmieścić kilkuset komputerów i kilkunastu serwerów? Musiałeś stworzyć sieć /23? Na co? Trzeba by się temu przyjrzeć, żeby powiedzieć na pewno, ale myślę, że dałoby się to poukładać.

[Wheelwright]

Patrząc na to z takiego punktu widzenia jak pisał gremlin1616, to miałbym 32 podsieci /24. Nie zagłębiając się zbytnio w szczegóły wygląda to w mojej firmie tak, że komputery w biurze (tak ze 350 sztuk) są w podsieci /23, inne na halach produkcyjnych (6 budynków) po 2 podsieci /24 (radio 2.4 i 5GHz), Out of Band Management /24, VoIP, CCTV, podsieci dla podwykonawców też kilka x /24, system kontroli dostępu i sporo innych. Podsumowując mam 51 VLAN-ów

[link]

Podsumowując mam 51 VLAN-ów

Ja mam 57 VLAN-ów, wszystkie z podsieci /24 i szczerze powiedziawszy nie mam wyrzutów sumienia "marnując" przestrzeń z puli prywatnej. Zgadzam się tu z podejściem typu KISS (jeżeli oczywiście nie ma innych ograniczeń), co rzeczywiście zmniejsza liczbę 'błędów ludzkich' i ułatwia zarządzanie (np. regułami dostępu) w przyszłości. Anyway, po przejściu na IPv6 podobne dylematy nie powinny nas już trapić

[Wheelwright]

Zgoda, jeśli ma się tyle miejsca, żeby wszystkie podsieci robić w /24. Gorzej, gdy wiadomo, że się nie zmieści, albo zacznie brakować miejsca. Dyskusję można prowadzić długo, bo wszystko zależy od specyfiki sieci. A co do IPv6, to oby nie było nowych, nieznanych problemów.

[dorvin]

Wheelwright,

Używając sieci 10.0.0.0/8 masz 65k x /24. To 16M adresów. Mało jest organizacji, które tyle potrzebują. Jeśli nie możesz dostać u siebie kolejnej puli to zwykle oznacza to błąd lub brak przewidywania na którymś wcześniejszym etapie projektowania sieci, a nie "specyfikę danej sieci". To nawet nie musi być przecież ciągła adresacja. Routing jest obecnie tani.

A co do Twojego przypadku, to mam wrażenie, że przydałoby Ci się podzielić userów w głównym budynku na kilka VLANów. Wrzucenie wszystkiego do jednego worka to potencjalne różnorodne problemy z wydajnością sieci i kontrolą dostępu.

[Wheelwright]

Nie chodzi o to, że nie dostanę kolejnej puli, bo już nie ma - podejrzewam, że w odpowiedzi dostałbym sugestię optymalizacji tego, co mam. Więc uważam, że należy optymalnie zarządzać tym, co się ma, a nie robić VLANy 255.255.255.0, a jak się pula skończy to poprosić o następną. O ile łatwiej jest w tym przypadku zarządzać podsieciami, o tyle trudniej routingiem z niespójnymi zakresami adresów.