更大网络子网的利与弊

tag-icon tag-icon networking local-area-network subnet ubiquiti unifi
更大网络子网的利与弊

我们有标准的 /24 子网供用户、计算机和其他设备使用。我们正处于拥有更多用户并希望为不同类型的设备使用多个子网的阶段。虽然这很容易实现,但让更多设备接入网络的另一种方法是将网络扩展为 /23 或 /22 掩码。

我从多个来源听说,不鼓励使用更大的子网,因为广播和其他问题这将由此产生。我试图为这些问题和麻烦找到合适的来源,但找不到一篇文章(也许我不擅长谷歌)能给我一个关于较大子网的明确利弊和潜在问题。虽然我知道较大的子网(如 /16 左右)对某些事情来说确实很糟糕,但我试图了解在比标准网络(/23 或 /22)稍大一点的子网中会出现什么问题。我也知道拥有 VLAN 会提供额外的安全性提升,但虽然我能理解拥有 VLAN 的优点,但我找不到较大子网的坏处以及它会对网络/设备产生什么影响。

当前的:

Address:   192.168.0.1           11000000.10101000.00000000 .00000001
Netmask:   255.255.255.0 = 24    11111111.11111111.11111111 .00000000
Wildcard:  0.0.0.255             00000000.00000000.00000000 .11111111
=>
Network:   192.168.0.0/24        11000000.10101000.00000000 .00000000 (Class C)
Broadcast: 192.168.0.255         11000000.10101000.00000000 .11111111
HostMin:   192.168.0.1           11000000.10101000.00000000 .00000001
HostMax:   192.168.0.254         11000000.10101000.00000000 .11111110
Hosts/Net: 254                   (Private Internet)

计划:

Address:   192.168.0.1           11000000.10101000.000000 00.00000001
Netmask:   255.255.252.0 = 22    11111111.11111111.111111 00.00000000
Wildcard:  0.0.3.255             00000000.00000000.000000 11.11111111
=>
Network:   192.168.0.0/22        11000000.10101000.000000 00.00000000 (Class C)
Broadcast: 192.168.3.255         11000000.10101000.000000 11.11111111
HostMin:   192.168.0.1           11000000.10101000.000000 00.00000001
HostMax:   192.168.3.254         11000000.10101000.000000 11.11111110
Hosts/Net: 1022                  (Private Internet)

如果有人能花时间对此给出一个很好的概述我将非常感激。

答案1

没有具体的大型网络的问题,它们可能正常工作。潜在可能出现的错误与 IP 地址范围(L3)无关,而是与单个广播域(即 L2)内在线的主机数量有关。

  1. 在同一个网段中,拥有192.168.0.0/24多个 IP 地址和拥有单个 IP 地址几乎没有区别(几乎没什么区别,因为如果有人设置了与默认网关冲突的 IP 地址,前者只会破坏一半的主机,而后者会破坏整个网络)。192.168.1.0/24192.168.0.0/23

  2. “广播量大”的说法已经过时了;任何单个主机都可以生成打破整个冲突域的洪水(从历史上看),除非被某种流量限制器(由许多交换机支持)阻止,而常规流量通常不会超出网络限制,

  3. 庞大的网络规模与其说是问题本身,不如说是另一个问题的症状:广播域太大

大型 L2 网络会带来实际问题:

  1. 某些交换机上可能会出现大量 MAC 地址溢出,
  2. 任何拓扑问题都可能影响整个网络(例如,一个环路可能会破坏整个 VLAN,除非被某个交换机上的环路检测阻止),
  3. 任何恶意 DHCP 服务器都可能干扰所有主机(除非阻止交换机上不受信任的 DHCP 服务器/端口),
  4. 较大的 L2 段通常意味着维护混乱,没有管理数据库或分配规则;最终处理大量主机时需要。

所以,如果你问这样的问题,唯一的答案是:不,大型 L3 网络不是问题,但它是是时候引入 VLAN 了在底层 L2 网络中

答案2

优点

  • 这很容易记住,我的意思是你可以添加/16,所有电脑、打印机、服务器都将在同一个网络上
  • 成本更低,您不需要路由器即可从一个网络路由到另一个网络
  • 如果您将来想要添加更多设备,您将已经拥有一个庞大的 IP 池

缺点

  • 安全,如果你在大学等地方,你不会想把教育网络和商业网络联系在一起
  • 更加混乱的是,要拥有这么大的 IP 池,你没有灵活的网络

答案3

网络是您的第一层防御。大型子网对于家庭来说很有趣,但对于企业来说,我强烈建议不要这样做。如果您想保护您的环境,网络分段是必须的。

似乎有这样一种新观点,即保护第 3、4 层上的网络就足够了,但是许多通信/数据交换是在第 2 层完成的,这就是子网划分如此重要的原因。

优点:

  • 大型子网的唯一真正优势是,如果路由器发生故障,同一网络上的设备可以继续相互通信。另一方面,如果您的路由器发生故障,我认为这并不能解决太多问题。
  • 更便宜的网络设备。

缺点:

  • 广播风暴,所有设备不断与同一网络中的所有设备通信。
  • ARP 扫描/中毒,您可以查找并操纵该子网内的所有设备。
  • 您可以看到同一子网上的设备之间有很多通信,其中可能包括公司/用户/API/密码/设备信息的数据字符串。
  • 中间人,如果服务器位于同一子网,您可以使用其 IP 广播您的设备,现在您就是所有客户端通信的服务器。
  • DHCP 欺骗,将您自己的 DHCP 放入其中,现在您可以欺骗任何您想要的东西,域控制器、DNS 服务器等等。
  • 恶意软件/勒索软件,大型子网=无病毒卡,您的公司可能是新闻中下一个被勒索软件完全加密的公司。
  • 黑客喜欢大型子网。这让黑客们轻松搞定一切。例如:有人在家中点击了钓鱼链接并运行应用程序,现在可以在他们的客户端上设置反向 TCP。第二天他们在工作时连接到子网,现在子网中的所有设备都受到了威胁

为什么要冒这些风险?IT 专业人员的工作之一就是网络设计,包括分段。通常,您会按设备功能进行分段。例如:

  • 用户客户端。
  • 打印机。
  • 网络电话。
  • IT 客户。
  • 非军事区。
  • 后端。

为什么?如果某台打印机存在 CVE,并且它与其他打印机位于同一子网中,那么现在所有设备都存在漏洞,而不仅仅是打印机。我甚至会将每个应用程序的前端和后端划分到各自的子网中,以使网络攻击与我的其他基础设施隔离开来。

大型子网对于家庭来说很有趣,但对于企业来说风险很大,说实话,我发现 VLAN/分段比 1 个大型子网的混乱更容易记录和设置。

相关内容