Y a-t-il une telle chose comme trop d'adresses IP?

Nous avons lancé un petit débat au bureau et j'ai atteint le point où je n'ai plus les connaissances techniques pour continuer.

Y a-t-il une telle chose comme avoir trop d'adresses IP? Je ne suggère pas que nous utilisons l'intégralité du 10. * Classe A, mais je ne vois pas pourquoi nous ne pourrions pas si nous le voulions aussi.

Honnêtement, je pense que la "fragmentation des sous-réseaux" est une façon de penser dépassée, mais je veux continuer la discussion technique.

Actuellement, notre masque de sous-réseau principal est configuré pour utiliser 4 classes B, ce qui est beaucoup trop en termes de nombre d'adresses IP disponibles pour notre petite entreprise.

Mais la question est, quels problèmes (le cas échéant) crée un large espace IP privé?

La conformité à diverses normes deviendra impossible, la sécurisation des réseaux devient plus difficile, un virus se propage plus facilement, la qualité de service devient plus difficile, les tables MAC / CAM sont pleines.

Il y a toujours toutes sortes de problèmes avec le fait de tout mettre dans un seul seau.

N'oubliez pas non plus que la vitesse sur les LAN augmente, tout comme les utilisations. Surtout en ce qui concerne le centre de données. De nombreux endroits fonctionnent avec 50 +% d'utilisation sur leurs troncs. J'en ai vu certains qui tournent plus de 65% en permanence sur des troncs de 10gig. Dites à ces personnes d'ajouter du trafic inutile.

L'utilisation de grands sous-réseaux sans autre raison que «vous pouvez» est très bien lorsque vous êtes un petit endroit qui n'a vraiment pas besoin de plus de 2 VLAN. Une fois que vous quittez le monde des petites entreprises, vous constaterez que la complexité des choses augmente un peu.

L'autre raison évidente serait d'empêcher vos tables CAM de se remplir, ce qui peut être une panne en fonction de la mise en œuvre dans le micrologiciel de la façon dont les choses sont gérées avec les remplissages de la table des commutateurs.

Le seul problème est les conflits possibles lors de la connexion aux réseaux des partenaires ou lors de fusions / acquisitions. Certains de ces problèmes peuvent être atténués en utilisant le NAT source et de destination sur les périphériques périphériques. De plus, ce n'est pas parce que vous utilisez 10.1.0.0/24 que vous ne rencontrerez pas exactement les mêmes problèmes.

Pas vraiment - tant que vous limitez la quantité de périphériques réels à quelque chose que le réseau gérera ... mais encore une fois, pourquoi avoir une telle quantité de nœuds possibles dans ce réseau si vous ne les utilisez pas tous?

La segmentation des réseaux est bonne à bien des égards, notamment en fournissant une structure logique et une vue d'ensemble, en renforçant la sécurité en divisant les rôles et / ou les emplacements en différents réseaux et ainsi de suite.

Une chose à laquelle les gens ne pensent généralement pas est de séparer les imprimantes et autres périphériques réseau hautement vulnérables et non protégés dans leur propre réseau - avec un accès uniquement à un serveur d'impression spécifique. Et puis il y en a tous les habituels en fonction des exigences de sécurité de votre organisation.

La sécurité est fournie avec des couches, la segmentation du réseau est l'une des nombreuses pour aider à rendre les choses moins vulnérables aux problèmes de sécurité (= accès, intégrité et disponibilité).

Le problème que je vois avec autant d'IP ne limite pas le domaine de diffusion. D'un autre côté, avec des commutateurs 1 Go, je ne peux pas vraiment dire que cela compte beaucoup, à moins que vous n'essayiez de creuser dans les journaux des commutateurs et des pare-feu.

À part les conflits potentiels avec les réseaux partenaires connectés via VPN, aucun problème.

Ce que je recommande généralement, c'est d'utiliser / 24 morceaux de toute façon, quelle que soit la plage dans laquelle vous les séparez. Donc, disons, vous affectez 10.27.1 / 24 au bureau, 10.27.2 / 24 au sous-réseau DB au centre de données, 10.27.3 / 24 au sous-réseau des applications au centre de données, 10.27.100 / 24 pour le VPN clients, etc.

Selon la taille de vos diffusions de sous-réseau peut être un problème, bien que cela ne soit pas le cas selon la vitesse de votre réseau.

Cependant, un inconvénient est que vous limitez votre future capacité d'extension. Vous n'avez peut-être besoin que d'un sous-réseau maintenant, mais qui peut dire que vous n'en aurez plus besoin à l'avenir? Vous pouvez développer, vous pouvez configurer des sous-réseaux distincts pour certaines parties de votre réseau, etc.

Je laisserais également tomber la pensée de "classe" et utiliserais CIDR pour vos sous-réseaux. Les cours n'existent plus vraiment en dehors des cours universitaires et des livres d'histoire, et le CIDR vous donne juste beaucoup plus de flexibilité.

Une bonne règle de base avec ces choses est de prendre ce dont vous pensez avoir besoin et de le doubler, donc si vous avez 50 hôtes (et n'oubliez pas d'inclure des serveurs, des imprimantes, des commutateurs, etc. ici) un masque de réseau 25 bits (vous donnant 128 hôtes, moins 2 pour le réseau et la diffusion) couvriront ce dont vous avez besoin et vous donneront une certaine marge.

Eh bien, le commutateur connecté à votre serveur Uber-IP a un nombre limité d'entrées disponibles dans la table ARP. De plus, vous verriez beaucoup d'ARP gratuit sur votre Broadcast Domin.

Aucun que je puisse penser autre que d'être un peu plus difficile à configurer (et éventuellement à administrer). Et puis il y a le problème des quantités décroissantes d'adresses IP (jusqu'à IPV6).

Un réseau dont j'ai hérité était plein de / 16s. Ie 10.1.xx, 10.2.xx.

C'était bien pour regrouper des plages d'adresses IP et vous pouvez regarder une adresse IP et savoir exactement ce que c'était .. Oh les 10.4.20.X sont toutes des bases de données, etc ... MAIS ...

Finalement, nous avons dû le nettoyer, et trouver toutes les adresses IP aléatoires était une corvée.

Il est beaucoup plus facile de faire un scan ping nmap de a / 24 que de / 16.

Dans la refonte, nous nous sommes installés sur / 22s. (1024 ips)

Je pense qu'une règle générale d'allocation de ce dont vous avez besoin aujourd'hui avec des frais généraux sains pour se développer est une bonne pratique.

Je commencerais par le nombre maximum d'appareils qui seraient sur un réseau, je le doublais ou le triplais, puis je voyais si j'avais assez de réseaux. En utilisant le réseau TEN, il ne devrait pas être difficile de trouver un équilibre. Par exemple, disons que 100 appareils étaient le maximum. Si vous avez choisi / 22 comme masque, vous auriez 16 384 réseaux qui pourraient avoir 1022 appareils:

Mask:255.255.252.0   Host/Net - 1022
Network          Broadcast
10.0.0.0         10.0.3.255
10.0.4.0         10.0.7.255
10.0.8.0         10.0.11.255
10.0.12.0        10.0.15.255
10.0.16.0        10.0.19.255
10.0.20.0        10.0.23.255
10.0.24.0        10.0.27.255
10.0.28.0        10.0.31.255
10.0.32.0        10.0.35.255
10.0.36.0        10.0.39.255
10.0.40.0        10.0.43.255