[megválaszolva] Privát IPv4-címtartomány kiválasztása

 ( ristenes | 2013. szeptember 2., hétfő - 23:45 )

A hosztok száma hamarosan meghaladja a 254-et.
Tudom, banális, de nem tudom, milyen címtartományt érdemes választani és miért?
A 172.16.0.0/12 (255.240.0.0), vagy a 192.168.0.0/16 (255.255.0.0) formát?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Köszönöm, hasznos linkek!

Esetleg egy szofisztikaltan elhelyezett /23 netmask?

Jó ötlet, köszönöm!

Addig, amíg nem ütközik egy partnercég VPN-jével, addig mindegy. Én nemrég cseréltem tartományt, mert ütköztünk.

A mókás az az, hogy pont emiatt a partner miatt már egyszer cseréltem egyik előző munkahelyemen, ehe. Érdemes tehát olyat választani ami "fura", pl. 172.26.96.0/20 vagy még nagyobb, és akkor elég nagy mozgástér van ha véletlenül mégis belógna valaki.

Update: javítottam, mert persze hogy elírtam, ehe.

Hasznos információ, köszönöm! Nem én vagyok a rendszergazda, csak egy külsős, aki szeretné a szoftvereit a kapott infrastruktúrán futtatni. A VPN-re rá fogok kérdezni.

- Nem csak partnercég VPN-je lehet vicces, de akár az ISP is a saját eszközeinek (pl kábel modemek) "admin" hálózatával.
- Azon kívül néhány ISP hajlandó publikus helyett eleve belső hálós IP-t adni.
- Ebben így hirtelen nem vagyok biztos, de lehetséges, hogy PtP -t használó interface is okozhat meglepit. Stb, stb, stb :)

Azért vannak ezek külön szegmensben, routerrel leválasztva, onnantól tehet az ISP amit akar a hálózatára.

A VPN-ek azért jelenthetnek gondot mert a gép ami csatlakozik egyszerre látja és kommunikál mindegyik hálózaton, így simán ütközhet két azonos subnet.

Az első példádba több számítógép fér.
jelenleg mit használsz? lehet én a helyedben csak a maszkon állítanék.

Nem én használom, csak külsős beszállító vagyok. Amiket most látok, az egy vegyes IP-cím kiosztás, 255.255.0.0 netmaszkkal, 192.168.x.y default gateway-jel, 10.1.j.k proxyval, de a gépek száma még megengedné a C osztályú címkiosztást. Viszont, hamarosan belép 100-nál több új host, ami a rendszergazdát gondolkodóba ejtette. Nekem is igazodnom kell a szervereimmel és klienseimmel(CentOS, Fedora, Windows Embedded), szeretnék rá felkészülni és javaslatot tenni, ha megkérdeznek.

Akkor ez egy B-re maszkolt hálózat ami nem telik meg 254 hosttól, 255*255 fér bele, szóval az még messze van, ha jól tévedek.

Most milyet használsz?
(álcázott subs ;) )

Előző válaszomban írtam. Egyébként, én a hosztjaimhoz kaptam egy saját C osztályú tartományt (192.168.x.0), a 255.255.0.0 netmaszk pedig a cégnél az előírás.

<MORFONDÍR>
Értem, hogy "megválaszolva", de a második mondatod szerintem ellentmondásos. Ha ugyanis 255.255.0.0 a netmaszk, akkor az nem C osztályú tartomány, hanem egy olyan címtartomány, ami a CIDR előtti időkben a C-osztályba tartozott, jelenleg pedig "B-osztályként" viselkedik (helyesen /16-os hálózat). CIDR óta ugye nincs osztály.
De hogy mást mondjak: ha /16-os netmaszk van, akkor abból a kb 65e címből valószínűleg van még szabadon.
</MORFONDÍR>

Számomra a "saját" 192.168.x.0/16 is kissé furcsa megfogalmazás ;)

Nem az. Megkapta 192.168.x.0-255-ig (lánykori nevén C osztályú tartomány), de a cég a 192.168.0.0-192.168.255.255 tartományban van.

Mivel nem minden esetben célszerű sok gépet egy alhálózaton tartani meg kéne vizsgálni hogy nem e jobb egy új VLAN létrehozása. Azon úgyis más címtartomány menne.

Minden géped ugyanazt a "munkát" végzi, ugyanolyan jogosultságokkal? Hány nyomtató van? Vendég gépek, IP telefonok, egyéb IP cuccok amit át lehetne helyezni más VLAN-ba és még jót is tenne nekik?

Persze lehet, hogy ezek után is arra jutsz, hogy elég még hozzácsapni egy blokkot az eredetihez, de nem árt végiggondolni.

A VLAN-nak mi köze az IP címekhez?

Az, hogy ha szétválasztod a hálózatodat több VLAN-ra mindegyikben külön címtartomány fog lakni. 254 elhasznált címnél már el lehet gondolkozni a daraboláson.

Semmi sem kötelez rá, hogy két VLAN eltérő IP tartományt használjon. Általában így szokás, de semmi közük egymáshoz.

Aha. Magyarázd el légy szíves hogy működik, mert a Cisco Academy-n ezt nekünk nem tanították.

Akkor magyarázd meg a routeremnek, hogy ő tulajdonképp nem is működik! :D

http://hu.wikipedia.org/wiki/Virtu%C3%A1lis_helyi_h%C3%A1l%C3%B3zat
Kis olvasnivaló. Bár tudom, hogy a wiki nem feltétlenül hiteles, de e témában talán elfogadható.

CISCO-nak meg vannak egyedi hülyeségei, nem igazán ismerem az eszközeiket, akár az is lehet, hogy az ő eszközeiken kötelező eltérő subnetet tenni a VLAN-okra, de ez nem jelenti azt, hogy általános érvényű.

Írd le kérlek pár szóban a te hálózatod topológiáját, mert engem ez meghalad.

Első tippem az lenne, hogy a proxy arp alapból be van kapcsolva. Ettől függetlenül +1, engem is érdekel az a topológia:)

Semmi extra. Egy SOHO router, rajta egyetlen címtartományba tartozó eszközök, de a mobilok számára külön virtuális wifi van beállítva, ez egy önálló VLAN-ként van bekonfigurálva. (nem, nem keverem a VLAN-t és a WLAN-t :) )
Más kérdés, hogy per pillanat nincs sok értelme, de ez csak a lustaságomnak köszönhető.
Ha végre eljutok odáig, hogy beüzemelem a RADIUS-t, akkor le fogom választani a mobilokat a hálózat többi részéről, csak ehhez még sokat kell olvasgatnom. Főleg hálózati témában, mert a routeremen a VLAN-ok megvalósítása... hát legalábbis érdekes. :)

Ahogy feljebb írták már, proxyarp nélkül gép-gép kommunikáció nem működhet ebben az esetben.

Maradjunk annyiban, hogy működik, a hogyanról fogalmam sincs, mert csak a webes admin felületen látom, hogy mi hol van és nem látom át teljesen.
Az biztos, hogy a két wifi két külön vlan-t használ elméletileg.
A gyakorlati kivitelezést meg rábíztam a routerre.

De. Megfelelő, host-host routinggal bármikor. Vagy összebridge-elve is működhet. Vagy bridge-üzemmódban működő stealth packet filterrel is. Esetleg papucs orrán pamutbojt...

Akkor valamit félreértettél :D

A külön vlan nem jelent külön tartományt. Általában, az esetek 99 (vagy több) százalékában így van, de semmi se tiltja, akadályozza, hogy legyen négy, tíz, száz vlan-od, teljesen egyező ip tartománnyal.

Tudom, hogy elvileg hogy lehetne trükközni, csak azt nem értem, hogy ez kinek és milyen körülmények közt érdeke.

Igazság szerint ez nem trükközés. Olyan esetben lehet értelme, ahol gépek egyforma címekre vannak valamiért felkonfigurálva és egy közös switchen kell lakniuk. Mondjuk több cluster, amiknek a belső tartományai egy eszközre vannak dugva. Mondjuk egy tanteremben (persze már mindenhol virtuális gépeken csinálnak democlustert, de ha azok egy virtuális bridge-en vannak, akkor a probléma ugyanaz).

Azonos cím alatt azt értjük hogy bitre azonos IPV4/6 cím?

Az IPv6-ban nem vagyok teljesen biztos, de v4 esetén igen. Mondjuk a cluster manager a 172.16.0.100 a node-ok 101-től 107-ig 7db, előtte a lb (cluster), stb. stb. És ebből az egész hóbelevancból mondjuk 10 db. egy teremben/gépen.

Miután a vlan layer2-be tartozik, szerintem az IPv6-ban is biztos lehetsz. :)
Vagy megint rosszul tudok valamit?

Az IPv6 link local címei szerintem nem fognak egyezni, mert mintha random része is lenne. De mivel az IPv6-hoz sík hülye vagyok, ezért inkább nem foglalok állást :D

Bocs, akkor félreértettelek: azt hittem, arra gondolsz, hogy lehetséges-e, hogy két eltérő VLAN-on két azonos IPv6 cím legyen. :)

ez nem trukkozes. ket VLAN-ban levo adatforgalomnak _semmi_ koze egymashoz, nem kell hozza kulon IP subnet, semmi.

nyilvan az, hogy a VLAN-ok _kozott_ hogy kommunikalsz, az mar teljesen mas kerdes, es sok esetben nem is fontos.

Persze, ez teljesen világos is. Ha nem kell kommunikálni akkor tökmindegy a kicsi hálózatán ki mit művel.

Úgy kb Ádámig és Éváig visszavezetve és nagyon lecsupaszítva a dolgokat: ha eleve külön subneteket használsz, akkor minek VLAN? :P

Lehet triviális a felvetés, de feltételezem most egy 192.168.x.0/24 hálózatod van, mi az ami meggátol abban, hogy legyen egy 192.168.x+1.0/24 hálózatod?

Mondjuk nálunk már alapból külön hálózatok vannak a különféle eszközöknek (PC, VPN, Server, network).
-------------------------
A csapatjáték fontos. Nem csak téged lőhetnek!

"mi az ami meggátol abban, hogy legyen egy 192.168.x+1.0/24 hálózatod"
esetleg ha x=255 ? :)

Akkor legyen x-1 :D
-------------------------
A csapatjáték fontos. Nem csak téged lőhetnek!

Menj biztosra: (x+1)%256 :D

Sajnos, egyaltalan nem banalis. Ha rosszul valasztol akkor sajat magadnak adsz a kesobbiekben plusz munkat.

Amit en tennek:
1. Igenyfelmeres
2. a jelenlegi topologia - vizsgalata, attekintese
3. topologia modositasa (tervezes) ha szukseges ( sok mas mellett, az elozoek figyelembevetelevel kivalasztani a megfelelo ip cim tartomanyt stb..)

Ami meg hasznos lehet szerintem a helyes netmask megvalasztasa:
- A osztalyhoz: /8 vagy kisebb subnet kivalasztasa pl. /8 /16 /24
- B osztalyhoz: /16 vagy kisebb subnet kivalasztasa pl. /16 /24
- C osztalyhoz: /24 - ha nem szukseges akkor ennel kisebb subnet kivalasztasat en nem javaslom

Tovabba megfontolnam a VLAN-ok bevezeteset, ha szukseges!
Javaslom, gondold vegig az elejetol a vegeig. ;)

/off 2013-ban már azért CDIR:) /on

Amennyiben nem szükséges, hogy a gépek egy subnetben legyenek érdemes darabolni őket, a nagy broadcast domain nem jó főleg ha felesleges is.

/off meg 2013-ban is az optimalis megoldast valasztom es nem pedig a trendi dolgokat. ;) /on

A tobbi meg az "igenyektol" fugg. Mivel semmit nem ismerunk a fent emlitett halozatrol eleg meresz dolog lenne barmifele konkret kijelentest tenni. ;)

Köszönöm, de sajnos a javaslatommal ("Cipőt a cipőboltból!") mindig visszapattanok, mert most nonprofit szervezetről van szó és vízzel kell főzni. Amikor még egészséges voltam, főállásomban részt vehettem a döntési folyamatokban, akkor az architektúra tervezésre tendert írtunk ki, jól megrágtuk, a nyertes cég ajánlatát megvalósítottuk és X évig egy támogatási szerződés keretében megelégedéssel használtuk. Ha kellett, bővítettük az új igényeknek megfelelően. Most azonban ennél a hálózatnál csak epizódszereplő vagyok, így a szál indításakor feltett kérdésben foglalhatok csak állást. Alma vagy körte?

Minden esetben a minimális tartományt plussz egy kis ráadást. Ha nem akartok VLAN-ozni és egy alhálózatban maradnak a gépek akkor a 192.168.0.0/16-os tartományból egy tetszőleges /22 jó választás lehet.

Köszönöm az ésszerű tanácsot, ezt fogom javasolni a rendszergazdának.
Nem tudom, VLAN-t terveznek-e, az nyilván változtat a leányzó fekvésén.
(Valamiért azt hittem, hogy van egy tervezési metódus, ami segít optimális megoldást találni.)

Mint lejjebb Fisher leírta, tervezési metódus nincs, vannak általános ajánlások, hogy párszázon túllőni nem célszerű, de alapvetően a broadcast terheléstől függ az egész.

Ezt egy iptraf-al elég triviális megnézni hogy mennyi is.

Biztonsági okokból szokás leválasztani bizonyos dolgokat (IP telefonok) vagy védendő munkaállomásokat (pl. könyvelés, HR, stb), WiFi elérést is külön alhálózaton szokás kezelni.

Köszönöm, ez nagyon hasznos válasz. A biztonságra gondoltunk, a védendő munkaállomások elszeparált hálózaton működnek.
Az elszaporodó multifunkciós irodai gépek és a kamerák valóban nagy terhelést jelentenek a hálózatra. Újratervezés...

Egyébként mivel a netmask 255.255.0.0 így marhára mindegy, valahol kapsz egy (vagy több) lyukat, és kész.

Nem a lyukakkal van a gond, azokból nincs hiány. Az IP-címek átállítása folyamatos működés mellett több előrelátást igényel. Azt feltételeztem például, hogy a hálózati eszközök terhelésére van befolyása a címtartomány kiválasztásának. A hozzászólások erre nem utaltak, ez növeli a választás szabadságát, így lehet logikai csoportokat képezni, a topológiát követni, stb.

Hátttőőőőő... ez elég meredek feltételezés volt. A nyomor ott van, hogy egy 192.168.255.255 broadcast üzi azért kopoghat ám ide-oda ha tényleg annyi IP cím van ami ezt a marha nagy tartományt indokolja. Mondjuk ha beszélgetős gépek vannak (nyomin felkonfigurált win7, ne adj isten XP munkaállomások, szerverek), akkor érdemes egy dumpot nyomni a hálózatra, másból se fog állni a forgalom, mint hogy egymással cseveg a csillió gép. Pl. az egyik unatkozó felkiált hogy tartsunk választást, és akkor az összes gép nekiáll nyüzsögni.

Tehát ez nem tartomány, hanem inkább üzemeltetési kérdés. Más az ábra persze ha lehangoló módon vannak a gépek konfigurálva, na akkor szoktak szegmentálni (logikailag és fizikailag - már amennyire pl. egy vlan fizikai - is), bezárva a zajos gépeket egy saját kis mocsárba, ahol kedvükre topoghatnak ide-oda.

A routernek mindegy hogy a 10.1.2.0/24-et kell ide-oda pöckölgetnie vagy a 192.168.99.0/24-et, pláne egy switchnek.

Köszönöm, ilyen válaszra vártam, mint nem villamosmérnök.
A "csacsogást" már tapasztaltam, az elszaporodó multifunkciós irodai gépek és a kamerák megjelenésével, a válaszidők jelentősen megnőttek az utóbbi időben.

Az én szakmám fémforgácsoló :D

(Najó, az egyik :D)

/OFF
Rokon lelkek vagyunk, nekem meg gépgyártástechnológus (a másik). :)
Már két gyárat eladtak és kitelepítettek alólam. :(
A hálózatok nem az én világom, ezért is kérdeztem itt, a HUP-on...
/ON