我们在办公室里开始了一场小辩论,而我已经没有足够的技术知识来继续下去了。
是否存在 IP 地址过多的情况?我并不是建议我们使用整个私有 10.* A 类地址,但如果我们愿意的话,我认为我们也可以这样做。
我确实认为“子网碎片化”是一种过时的思维方式,但我想继续技术讨论。
目前,我们的主要子网掩码配置为使用 4 个 B 类,这对于我们的小型企业而言,在可用 IP 地址的绝对数量方面实在是太多了。
但问题是,拥有广阔的私有 IP 空间会带来什么问题(如果有的话)?
答案1
遵守各种标准将变得不可能,保护网络安全变得更加困难,病毒将更容易传播,服务质量变得更加困难,MAC/CAM 表将变得满满的。
如果把所有东西都归为一类,仍旧存在各种各样的问题。
另外,不要忘记,随着 LAN 速度的提高,其使用率也会提高。尤其是在数据中心。许多地方的中继利用率超过 50%。我见过一些地方的 10gig 中继利用率一直高于 65%。告诉这些人增加不必要的流量。
如果您的公司规模很小,不需要超过 2 个 VLAN,那么除了“您可以”之外,使用大型子网是没有问题的。一旦您离开小型企业界,就会发现事情变得相当复杂。
另一个明显的原因是阻止 CAM 表填充,这可能会导致中断,具体取决于固件中如何处理交换机表填充的实现。
答案2
唯一的问题是连接到合作伙伴的网络或合并/收购期间可能会发生冲突。其中一些问题可以通过在边缘设备上使用源和目标 NAT 来缓解。此外,仅仅因为您使用 10.1.0.0/24 并不意味着您不会遇到完全相同的问题。
答案3
并非如此 - 只要您将实际设备的数量限制为网络可以处理的量...但话又说回来,如果您不会全部使用它们,为什么该网络中会有如此大量的可能节点呢?
分段网络有很多好处,包括提供逻辑结构和概述、通过将角色和/或位置划分为不同的网络来加强安全性等等。
人们通常不会想到的一件事是将打印机和其他高度脆弱且不受保护的网络设备分离到他们自己的网络中 - 只能访问特定的打印服务器。然后还有所有常见的情况,具体取决于您组织的信息安全需求。
安全性具有层次性,网络分段是帮助降低设备受到安全问题(=访问、完整性和可用性)影响的众多措施之一。
答案4
除了与通过 VPN 连接的合作伙伴网络可能存在冲突之外,没有问题。
我通常建议使用 /24 块,无论您将它们拆分成哪个范围。假设您将 10.27.1/24 分配给办公室,将 10.27.2/24 分配给数据中心的 DB 子网,将 10.27.3/24 分配给数据中心的应用程序子网,将 10.27.100/24 分配给 VPN 客户端,等等。