客户站点没有IP地址,他们想从/ 24到/ 12networking掩码…坏主意?

我的一个客户站点要求我改变我在那里pipe理的Linux服务器的子网掩码,同时他们根据10.0.0.xscheme重新IP /更改其networking的networking掩码。

“你能把Linux服务器networking掩码从255.255.255.0更改为255.240.0.0吗?

你的意思是255.255.240.0?

“不,255.240.0.0”

你确定你需要这么多的IP地址吗?

“是的,我们永远不想用尽IP地址。”

针对Subnet Cheat Sheet的快速检查显示:

  • 一个255.255.255.0networking掩码,一个/ 24提供256个主机。 很明显,看到一个组织可以用尽这么多的IP地址。
  • 一个255.240.0.0networking掩码,一个/ 12提供1,048,576个主机。 这是一个<200用户的小站点。 我怀疑他们会分配超过400个IP地址,也许500,但是在那个时候,应该build立更多的子网/ VLAN。

我提出了一些提供较less主机的方法,例如分别为/ 22或/ 21(分别为1024和2048主机),但无法给出使用/ 12子网的具体原因。

这个客户应该关心什么吗? 有什么具体的原因,他们不应该在他们的环境中使用这样一个令人难以置信的大面具?

  • 正如在其他答案中所述,在广播域中有太多的主机可能真的开始使广播混乱。

    在它成为一个潜在的问题之前,他们需要在子网中进行大量的扩展。

  • 未来的增长计划变得一团糟。

    如果您已经在可用空间中放置了不必要的巨大空间,那么添加额外的网站和自己的IP空间会变得非常困难。

  • 内部networking安全边界变得不可能。

    为不同的用户组分配不同的子网,拆分服务器/存储/networking设备中安全性较低的服务器/高安全性服务器/受限制的pipe理接口。

    任何在家中捡到病毒的ol用户的笔记本电脑都可能使ARPnetworking中毒,并使服务器停机或中间人。 您无法将受感染的设备远离敏感的networking位置,例如服务器的带外pipe理接口。 在对networking设置进行无害重新configuration时,拼写错误可能会与IP上的其他设备发生冲突。

如果他们没有计划以任何方式增长,需要更多的子网,并且不打算增加networking的复杂性或安全性,那么就没有问题,因为它与当前的networkingconfiguration实际上是相同的 – 但是如果他们他们正在问这个问题,他们显然正在扩大规模。

在最坏的情况下是不必要的,严重的坏主意。

不,如果使用更大的掩码,如果内部主机的数量保持不变,则没有任何问题。

唯一的问题是这样做会导致networkingpipe理员变得懒惰,而不是做适当的子网划分,导致大量的主机在同一个广播域中。 例如,每个ARP请求都是一个广播,所有的机器(在同一个广播域中)都必须处理它(即使通常有一个响应)。 使用广播的其他协议也一样。

其他问题可能是地址空间,因为10/8只有16/12个networking的空间,如果他们继续他/ 12的请求,他们只能容纳15个。

一些安全软件(用port / pingscans)来发现现场主机将花费更多的时间,然后现在(如果他们有的话)。

否则,没关系。 如果只有两台主机,性能将与/ 30或a / 8相同 – networking的大小不会导致任何性能问题。

反对它的论点我可以看到你有一个更大的广播域,他们不会有更多的从10.XXX可用的子网

为了对抗广播的争议,如果他们只是为了未来的增长而计划,那么对当前networking的影响应该是微不足道的。 你也可以限制你的DHCP服务器只分配整个子网的一小部分来控制事情,直到真正需要更多的IP。

我个人还是会反对这样做,因为没有必要。 确定需要的主机地址的数量,并为未来的增长进行项目,而不是仅仅把一个巨大的子网放在那里。

以前的雇主有一个大的部门决定重新devise他们的部门networking在1/16左右。 即使这个特定的部门在相对较高的延迟链路上有多个站点(市政宽带)。 它为他们工作,这是十年前的时候,Gig链接在数据中心和分布式链接中只是常见的。

据我所知,他们从来没有任何广播问题的问题。 正如我所说,这是大约十年前,处理广播stream量的笨重设备。 现代设备不应该三思而后行。 这个特定的networking大约有两倍的节点。


也就是说, 只要你的networking能够处理这么大的子网就没有什么问题。