[megválaszolva] Privát IPv4-címtartomány kiválasztása

Hálózatok általános

A hosztok száma hamarosan meghaladja a 254-et.
Tudom, banális, de nem tudom, milyen címtartományt érdemes választani és miért?
A 172.16.0.0/12 (255.240.0.0), vagy a 192.168.0.0/16 (255.255.0.0) formát?

  • 6519 megtekintés

( slinky v | 2013. 09. 03., k – 07:11 )

Esetleg egy szofisztikaltan elhelyezett /23 netmask?

( Fisher v | 2013. 09. 03., k – 08:53 )

Addig, amíg nem ütközik egy partnercég VPN-jével, addig mindegy. Én nemrég cseréltem tartományt, mert ütköztünk.

A mókás az az, hogy pont emiatt a partner miatt már egyszer cseréltem egyik előző munkahelyemen, ehe. Érdemes tehát olyat választani ami "fura", pl. 172.26.96.0/20 vagy még nagyobb, és akkor elég nagy mozgástér van ha véletlenül mégis belógna valaki.

Update: javítottam, mert persze hogy elírtam, ehe.

- Nem csak partnercég VPN-je lehet vicces, de akár az ISP is a saját eszközeinek (pl kábel modemek) "admin" hálózatával.
- Azon kívül néhány ISP hajlandó publikus helyett eleve belső hálós IP-t adni.
- Ebben így hirtelen nem vagyok biztos, de lehetséges, hogy PtP -t használó interface is okozhat meglepit. Stb, stb, stb :)

( kallo | 2013. 09. 03., k – 07:18 )

Az első példádba több számítógép fér.
jelenleg mit használsz? lehet én a helyedben csak a maszkon állítanék.

Nem én használom, csak külsős beszállító vagyok. Amiket most látok, az egy vegyes IP-cím kiosztás, 255.255.0.0 netmaszkkal, 192.168.x.y default gateway-jel, 10.1.j.k proxyval, de a gépek száma még megengedné a C osztályú címkiosztást. Viszont, hamarosan belép 100-nál több új host, ami a rendszergazdát gondolkodóba ejtette. Nekem is igazodnom kell a szervereimmel és klienseimmel(CentOS, Fedora, Windows Embedded), szeretnék rá felkészülni és javaslatot tenni, ha megkérdeznek.

( uid_7086 | 2013. 09. 03., k – 07:21 )

Most milyet használsz?
(álcázott subs ;) )

<MORFONDÍR>
Értem, hogy "megválaszolva", de a második mondatod szerintem ellentmondásos. Ha ugyanis 255.255.0.0 a netmaszk, akkor az nem C osztályú tartomány, hanem egy olyan címtartomány, ami a CIDR előtti időkben a C-osztályba tartozott, jelenleg pedig "B-osztályként" viselkedik (helyesen /16-os hálózat). CIDR óta ugye nincs osztály.
De hogy mást mondjak: ha /16-os netmaszk van, akkor abból a kb 65e címből valószínűleg van még szabadon.
</MORFONDÍR>

( elod v | 2013. 09. 03., k – 08:04 )

Mivel nem minden esetben célszerű sok gépet egy alhálózaton tartani meg kéne vizsgálni hogy nem e jobb egy új VLAN létrehozása. Azon úgyis más címtartomány menne.

Minden géped ugyanazt a "munkát" végzi, ugyanolyan jogosultságokkal? Hány nyomtató van? Vendég gépek, IP telefonok, egyéb IP cuccok amit át lehetne helyezni más VLAN-ba és még jót is tenne nekik?

Persze lehet, hogy ezek után is arra jutsz, hogy elég még hozzácsapni egy blokkot az eredetihez, de nem árt végiggondolni.

Akkor magyarázd meg a routeremnek, hogy ő tulajdonképp nem is működik! :D

http://hu.wikipedia.org/wiki/Virtu%C3%A1lis_helyi_h%C3%A1l%C3%B3zat
Kis olvasnivaló. Bár tudom, hogy a wiki nem feltétlenül hiteles, de e témában talán elfogadható.

CISCO-nak meg vannak egyedi hülyeségei, nem igazán ismerem az eszközeiket, akár az is lehet, hogy az ő eszközeiken kötelező eltérő subnetet tenni a VLAN-okra, de ez nem jelenti azt, hogy általános érvényű.

Semmi extra. Egy SOHO router, rajta egyetlen címtartományba tartozó eszközök, de a mobilok számára külön virtuális wifi van beállítva, ez egy önálló VLAN-ként van bekonfigurálva. (nem, nem keverem a VLAN-t és a WLAN-t :) )
Más kérdés, hogy per pillanat nincs sok értelme, de ez csak a lustaságomnak köszönhető.
Ha végre eljutok odáig, hogy beüzemelem a RADIUS-t, akkor le fogom választani a mobilokat a hálózat többi részéről, csak ehhez még sokat kell olvasgatnom. Főleg hálózati témában, mert a routeremen a VLAN-ok megvalósítása... hát legalábbis érdekes. :)

Igazság szerint ez nem trükközés. Olyan esetben lehet értelme, ahol gépek egyforma címekre vannak valamiért felkonfigurálva és egy közös switchen kell lakniuk. Mondjuk több cluster, amiknek a belső tartományai egy eszközre vannak dugva. Mondjuk egy tanteremben (persze már mindenhol virtuális gépeken csinálnak democlustert, de ha azok egy virtuális bridge-en vannak, akkor a probléma ugyanaz).

( neutrino v | 2013. 09. 03., k – 10:52 )

Lehet triviális a felvetés, de feltételezem most egy 192.168.x.0/24 hálózatod van, mi az ami meggátol abban, hogy legyen egy 192.168.x+1.0/24 hálózatod?

Mondjuk nálunk már alapból külön hálózatok vannak a különféle eszközöknek (PC, VPN, Server, network).
-------------------------
A csapatjáték fontos. Nem csak téged lőhetnek!

( mekflaj | 2013. 09. 03., k – 11:01 )

Sajnos, egyaltalan nem banalis. Ha rosszul valasztol akkor sajat magadnak adsz a kesobbiekben plusz munkat.

Amit en tennek:
1. Igenyfelmeres
2. a jelenlegi topologia - vizsgalata, attekintese
3. topologia modositasa (tervezes) ha szukseges ( sok mas mellett, az elozoek figyelembevetelevel kivalasztani a megfelelo ip cim tartomanyt stb..)

Ami meg hasznos lehet szerintem a helyes netmask megvalasztasa:
- A osztalyhoz: /8 vagy kisebb subnet kivalasztasa pl. /8 /16 /24
- B osztalyhoz: /16 vagy kisebb subnet kivalasztasa pl. /16 /24
- C osztalyhoz: /24 - ha nem szukseges akkor ennel kisebb subnet kivalasztasat en nem javaslom

Tovabba megfontolnam a VLAN-ok bevezeteset, ha szukseges!
Javaslom, gondold vegig az elejetol a vegeig. ;)

Köszönöm, de sajnos a javaslatommal ("Cipőt a cipőboltból!") mindig visszapattanok, mert most nonprofit szervezetről van szó és vízzel kell főzni. Amikor még egészséges voltam, főállásomban részt vehettem a döntési folyamatokban, akkor az architektúra tervezésre tendert írtunk ki, jól megrágtuk, a nyertes cég ajánlatát megvalósítottuk és X évig egy támogatási szerződés keretében megelégedéssel használtuk. Ha kellett, bővítettük az új igényeknek megfelelően. Most azonban ennél a hálózatnál csak epizódszereplő vagyok, így a szál indításakor feltett kérdésben foglalhatok csak állást. Alma vagy körte?

Mint lejjebb Fisher leírta, tervezési metódus nincs, vannak általános ajánlások, hogy párszázon túllőni nem célszerű, de alapvetően a broadcast terheléstől függ az egész.

Ezt egy iptraf-al elég triviális megnézni hogy mennyi is.

Biztonsági okokból szokás leválasztani bizonyos dolgokat (IP telefonok) vagy védendő munkaállomásokat (pl. könyvelés, HR, stb), WiFi elérést is külön alhálózaton szokás kezelni.

( Fisher v | 2013. 09. 03., k – 17:23 )

Egyébként mivel a netmask 255.255.0.0 így marhára mindegy, valahol kapsz egy (vagy több) lyukat, és kész.

Nem a lyukakkal van a gond, azokból nincs hiány. Az IP-címek átállítása folyamatos működés mellett több előrelátást igényel. Azt feltételeztem például, hogy a hálózati eszközök terhelésére van befolyása a címtartomány kiválasztásának. A hozzászólások erre nem utaltak, ez növeli a választás szabadságát, így lehet logikai csoportokat képezni, a topológiát követni, stb.

Hátttőőőőő... ez elég meredek feltételezés volt. A nyomor ott van, hogy egy 192.168.255.255 broadcast üzi azért kopoghat ám ide-oda ha tényleg annyi IP cím van ami ezt a marha nagy tartományt indokolja. Mondjuk ha beszélgetős gépek vannak (nyomin felkonfigurált win7, ne adj isten XP munkaállomások, szerverek), akkor érdemes egy dumpot nyomni a hálózatra, másból se fog állni a forgalom, mint hogy egymással cseveg a csillió gép. Pl. az egyik unatkozó felkiált hogy tartsunk választást, és akkor az összes gép nekiáll nyüzsögni.

Tehát ez nem tartomány, hanem inkább üzemeltetési kérdés. Más az ábra persze ha lehangoló módon vannak a gépek konfigurálva, na akkor szoktak szegmentálni (logikailag és fizikailag - már amennyire pl. egy vlan fizikai - is), bezárva a zajos gépeket egy saját kis mocsárba, ahol kedvükre topoghatnak ide-oda.

A routernek mindegy hogy a 10.1.2.0/24-et kell ide-oda pöckölgetnie vagy a 192.168.99.0/24-et, pláne egy switchnek.