我的一个客户打电话要求我更改我所管理的 Linux 服务器的子网掩码,同时他们根据 10.0.0.x 方案重新设置 IP/更改其网络的网络掩码。
“您能将 Linux 服务器网络掩码从 255.255.255.0 更改为 255.240.0.0 吗?”
您的意思是 255.255.240.0?
“不,255.240.0.0。”
您确定需要那么多 IP 地址吗?
“是的,我们永远不想耗尽 IP 地址。”
快速检查子网备忘单显示:
- A255.255.255.0网络掩码,/24 提供 256 个主机。很明显,一个组织可以耗尽那么多 IP 地址。
- A255.240.0.0网络掩码,/12 提供 1,048,576 个主机。这是一个小型网站,用户数不到 200。我怀疑他们分配的 IP 地址永远都不会超过 400 个……也许 500 个,但那时应该建立更多的子网/VLAN。
我建议提供更少的主机,例如 /22 或 /21(分别为 1024 和 2048 个主机),但无法给出具体原因反对使用 /12 子网。
这位顾客有什么需要担心的吗?有什么具体原因让他们不应该在自己的环境中使用如此大的面罩吗?
答案1
正如其他答案所述,广播域中的主机太多确实会使广播变得混乱。
在它成为潜在问题之前,他们需要对子网进行大量扩展。
未来增长规划变得一团糟。
当您已经在可用空间中留下了不必要的巨大空间时,添加具有自己 IP 空间的额外站点会变得困难。
内部网络安全边界变得不可能。
将不同的子网分配给不同的用户组以及分割低安全性服务器/高安全性服务器/服务器/存储/网络设备的受限管理接口都已不复存在。
任何在家中感染病毒的老用户的笔记本电脑都可能使网络受到 ARP 毒害,并使服务器瘫痪或造成中间人攻击。您无法将受感染的设备远离敏感的网络位置,例如服务器的带外管理接口。在无意识的网络设置重新配置中输入错误可能会与网络上的任何其他设备发生 IP 冲突。
如果他们不打算以任何需要更多子网的方式发展,也不打算增加网络的复杂性或安全性,那么就没问题,因为它实际上与他们当前的网络配置相同 - 但是如果他们要求这样做,他们显然计划扩展。
在最好的情况下,这是毫无必要的;在最坏的情况下,这是个很糟糕的想法。
答案2
不,如果里面的主机数量保持不变,使用更大的掩码没有任何问题。
唯一的问题是,这样做会导致网络管理员变得懒惰,不进行正确的子网划分,从而导致大量主机处于同一广播域中。例如,每个 ARP 请求都是一个广播,所有机器(在同一个广播域中)都必须处理它(即使通常只有一台机器响应)。其他使用广播的协议也是如此。
另一个问题可能是地址空间,因为 10/8 只能容纳 16 /12 网络,并且如果他们继续其 /12 请求,则只能容纳另外 15 个。
一些通过端口/ping 扫描来发现活动主机的安全软件将比现在花费更多的时间(如果他们有的话)。
否则,这无关紧要。如果您只有两台主机,则 /30 或 /8 的性能将相同 - 网络大小不会导致任何性能问题。
答案3
我看到的反对意见是,这样你就有了更大的广播域,而且他们不会有那么多来自 10.XXX 的额外子网可用
为了反驳广播论点,如果他们只是为未来的增长做规划,那么对当前网络的影响应该可以忽略不计。您还可以限制 DHCP 服务器仅分发整个子网的一小部分来控制事情,直到真正需要更多 IP。
我个人仍然反对这样做,因为没有必要。确定所需主机地址的数量,并规划未来的增长,而不是简单地在那里建立一个庞大的子网。
答案4
之前雇主的一个大部门决定围绕 /16 重新设计其部门网络。尽管这个特定部门有多个站点,这些站点的延迟相对较高(城市区域宽带)。这对他们来说很有效,而且这是十年前的事情了,当时千兆链路仅在数据中心和分发链路中很常见。
据我所知,他们从未遇到过广播问题。正如我所说,这是大约十年前的事情了,当时处理广播流量的设备要愚蠢得多;现代设备根本不应该考虑这个问题。这个特定的网络拥有大约两倍于你的节点数。
也就是说,这么大的子网没有什么问题,只要你的网络可以处理。