Плюсы и минусы больших сетевых подсетей

У нас есть стандартная /24 подсеть для пользователей, компьютеров и других устройств. Мы подошли к тому, что у нас больше пользователей и мы хотим использовать несколько подсетей для разных типов устройств. В то время как это просто реализовать, одним из других способов иметь больше устройств в сети было простое расширение сети до маски /23 или /22.

Я слышал из нескольких источников, что не рекомендуется использовать большие подсети из-за вещания и других проблем / проблем, которые могут возникнуть из-за этого. Я попытался найти подходящий источник для этих проблем и проблем и не смог найти ни одной статьи (может быть, я настолько плох в Google), которая дала бы мне четкие аргументы за и против для больших подсетей, потенциальных проблем. Хотя я понимаю, что большие подсети, такие как /16 или около того, были бы действительно плохими для некоторых вещей, я пытаюсь понять, что было бы таким проблематичным в тех, которые немного больше, чем стандартные сети (/23 или /22). Я также знаю, что наличие VLAN даст дополнительное повышение безопасности, но, хотя я могу понять преимущества наличия VLAN, я не могу найти, что плохого в больших подсетях и какое влияние это может оказать на сеть / устройства.

Текущий:

Address:   192.168.0.1           11000000.10101000.00000000 .00000001
Netmask:   255.255.255.0 = 24    11111111.11111111.11111111 .00000000
Wildcard:  0.0.0.255             00000000.00000000.00000000 .11111111
=>
Network:   192.168.0.0/24        11000000.10101000.00000000 .00000000 (Class C)
Broadcast: 192.168.0.255         11000000.10101000.00000000 .11111111
HostMin:   192.168.0.1           11000000.10101000.00000000 .00000001
HostMax:   192.168.0.254         11000000.10101000.00000000 .11111110
Hosts/Net: 254                   (Private Internet)

Планируемое:

Address:   192.168.0.1           11000000.10101000.000000 00.00000001
Netmask:   255.255.252.0 = 22    11111111.11111111.111111 00.00000000
Wildcard:  0.0.3.255             00000000.00000000.000000 11.11111111
=>
Network:   192.168.0.0/22        11000000.10101000.000000 00.00000000 (Class C)
Broadcast: 192.168.3.255         11000000.10101000.000000 11.11111111
HostMin:   192.168.0.1           11000000.10101000.000000 00.00000001
HostMax:   192.168.3.254         11000000.10101000.000000 11.11111110
Hosts/Net: 1022                  (Private Internet)

Был бы очень признателен, если бы кто-то нашел время и на самом деле дал хороший обзор для этого.

Источник

3 ответа

Решение

С большими сетями особых проблем нет, они могут работать правильно. Проблемы, которые могут возникнуть, связаны не с диапазонами IP-адресов (L3), а с количеством хостов, подключенных к сети в пределах одного домена широковещания (т. Е. L2).

  1. Там почти нет разницы между 192.168.0.0/24 плюс 192.168.1.0/24 в том же сегменте сети, чем один 192.168.0.0/23 (почти - потому что, если кто-то устанавливает IP, конфликтующий со шлюзом по умолчанию, в первом случае ломает только половину хостов, в то время как позже ломает всю сеть),

  2. аргумент "большого объема вещания" в основном устарел; любой отдельный хост может генерировать наводнения, разрушающие весь домен коллизий (исторически говоря), если он не заблокирован каким-либо ограничителем трафика (поддерживаемым многими коммутаторами), в то время как обычный трафик обычно не превышает сетевых ограничений,

  3. большой размер сети является скорее признаком другой проблемы, чем самой проблемы: слишком большой широковещательный домен.

Большая сеть L2 создает реальные проблемы:

  1. большое количество MAC-адресов может быть переполнено на некоторых коммутаторах,
  2. любая проблема топологии будет распространяться на всю сеть (например, один цикл может сломать всю VLAN, если он не заблокирован определением цикла на каком-либо коммутаторе),
  3. любой мошеннический DHCP-сервер может создавать помехи для всех хостов (если только он не блокирует ненадежные DHCP-серверы / порты на коммутаторах),
  4. большой сегмент L2 обычно означает хаос в обслуживании, отсутствие базы данных управления или правил назначения; которые в конечном итоге необходимы при работе с большим количеством хостов.

Таким образом, если вы задаете такой вопрос, единственный ответ: нет, большая сеть L3 не является проблемой, но настало время ввести VLAN в базовую сеть L2.

Источник

Pros

  • Его легко запомнить, я имею в виду, что вы можете добавить /16, и все ПК, принтеры, серверы будут в одной сети
  • При меньших затратах вам не понадобятся маршрутизаторы для маршрутизации из одной сети в другую.
  • У вас уже будет большой пул IP на будущее, если вы хотите добавить больше устройств

Cons

  • Безопасность, если вы учитесь в колледже и т. Д., Вы не хотите иметь образовательную и деловую сеть вместе
  • Больше хаоса, чтобы иметь такие большие пулы IP, у вас нет гибкой сети
Источник

Ваша сеть — это ваш первый уровень защиты. Большие подсети хороши для дома, но для бизнеса я бы настоятельно не рекомендовал этого делать. Сегментация сети необходима, если вы хотите защитить свою среду.

Кажется, появилась новая идея о том, что защиты вашей сети на уровнях 3 и 4 достаточно, но большая часть обмена данными/данными осуществляется на уровне 2, поэтому разделение на подсети так важно.

Плюсы:

  • Единственное реальное преимущество большой подсети заключается в том, что устройства в одной сети могут продолжать общаться друг с другом даже в случае сбоя маршрутизатора. С другой стороны, если ваш маршрутизатор выйдет из строя, я не думаю, что это что-то решит.
  • Более дешевые сетевые устройства.

Минусы:

  • Широковещательные штормы, все устройства постоянно общаются со всеми устройствами в одной сети.
  • Сканирование/отравление ARP позволяет находить и манипулировать всеми устройствами в этой подсети.
  • Вы можете увидеть много сообщений между устройствами в одной подсети, это может включать строки данных с информацией о компании/пользователе/API/паролях/устройстве.
  • Человек посередине, если сервер находится в той же подсети, вы можете транслировать свое устройство по его IP-адресу, и теперь вы являетесь сервером, с которым общаются все клиенты.
  • Подмена DHCP: добавьте туда свой собственный DHCP, и теперь вы можете подделывать все, что захотите: контроллеры домена, DNS-серверы и т. д.
  • Вредоносное ПО/программы-вымогатели, большая подсеть = карта без вирусов. Ваша компания может стать следующей в новостях, которая была полностью зашифрована программой-вымогателем.
  • Хакеры любят большие подсети. Делает это очень легко. Пример: кто-то нажал дома на фишинговую ссылку и запустил приложение, теперь на его клиенте можно настроить обратный TCP. На следующий день они на работе, подключены к подсети, теперь все устройства в подсети скомпрометированы.

Зачем идти на такой риск? Частью работы ИТ-специалиста является проектирование сети, включая сегментацию. Обычно вы сегментируете данные по функциям устройства. Пример:

  • Клиенты пользователей.
  • Принтеры.
  • VoIP.
  • ИТ-клиенты.
  • ДМЗ.
  • Бэкэнд.

Почему? Если для принтера известен CVE, если он находится в той же подсети, что и остальные, теперь уязвимо все, а не только принтеры. Я бы даже пошел так далеко, что сегментировал каждый интерфейс и серверную часть каждого приложения на отдельные подсети, чтобы изолировать кибератаку от остальной части моей инфраструктуры.

Большая подсеть интересна для дома, но очень рискованна для бизнеса, и, честно говоря, я считаю, что VLAN/сегментацию легче документировать и настраивать, чем хаос в одной большой подсети.

Источник
Другие вопросы по тегам