Jump to content
Калькуляторы

Деление сети на подсети Нужно ли это делать вообще? Если да, то почему?

Здравствуйте уважаемы user`s форума. Столкнулся с такой вещью как деление сети на подсети. Нашел информацию по этой теме, но так и не понял для чего это нужно. И как следствие не особо понял как рассчитывать эту штуку. Внутри сети используются серые IP адреса, и там можно назначить любой адрес с любой маской, применить любой диапазон. Например первому зданию моей сети (кампусная сеть из 3-х зданий) я назначаю 192.168.1.0 /24, второму 192.168.2.0 /24, и так далее. Тогда возникает вопрос, Зачем делить сеть на подсети?

Или вообще если есть интелектуальное устройство, например управляемый switch, то можно вообще организацию на VLAN поделить!

ИМХО насколько я понял деление на подсети может каким то не очень если честно понятным мне образом экономить IP адреса, если это действительно так, тогда деление сетей на подсети имеет смысл когд мы работаем скажем в сети провайдера, с Белыми IP адресами, которых действительно не так уж много и которые действительно стоит экономить.

Заранее благодарен за ответы! :)

Share this post


Link to post
Share on other sites

Да зачем вланы, сажайте всё в один влан. А если серые бесконечные IP кончатся чё будете делать?

Share this post


Link to post
Share on other sites

Ого! Вот это вопрос!

Да, действительно, вопрос большой получился. :)))

Ответ не подскажите? :)

 

Да зачем вланы, сажайте всё в один влан. А если серые бесконечные IP кончатся чё будете делать?

Ну внутри организации вряд ли можно будет почувствовать не достаток адресов.

Вопрос как может помочь деление сети на подсети, какие полюсы и как это рассчитывать.

Share this post


Link to post
Share on other sites

и как это рассчитывать.

это сложно обьяснить, но в какое то время чисто интуитивно жопой начинаешь чувствовать, что вот оно, уже на подходе, близко

Share this post


Link to post
Share on other sites

Вот тут всё написано

 

это сложно обьяснить, но в какое то время чисто интуитивно жопой начинаешь чувствовать, что вот оно, уже на подходе, близко

То что вы описали очень похоже на процесс дефекации, а ТС нужен нормальный манул. )))

Share this post


Link to post
Share on other sites

ИМХО насколько я понял деление на подсети может каким то не очень если честно понятным мне образом экономить IP адреса, если это действительно так, тогда деление сетей на подсети имеет смысл когд мы работаем скажем в сети провайдера, с Белыми IP адресами, которых действительно не так уж много и которые действительно стоит экономить.

 

Когда вы захотите сделать L3 сеть на микротиках, то не сможете это сделать, не разделив сеть на подсети.

 

Допустим у вас есть разные методы соединения микротиков между собой:

 

1. Соединение по VPN - тут первый адрес 10.10.10.1 на роутере, а остальные поштучно 10.10.10.2 , 10.10.10.3 и т.п. на подключенных клиентах, маски тут вообще нет или она /32.

2. Прямое соединение патчкордом или оптикой, тут вы на каждое выделяете сеть /30, на первом устройстве это например 10.10.10.1/30, на втором адрес 10.10.10.2/30.

3. Соединение через радиоканал точка-точка, тут вы на каждое соединение выделяете сеть /29, первый адрес 10.10.10.1/29 ставите на первом роутере, второй адрес 10.10.10.2/29 ставите на первой антенне, адрес 10.10.10.3/29 на второй антенне, приемной, и адрес 10.10.10.4/29 ставите на втором роутере.

4. Соединение нескольких устройств к роутеру через базовую станцию, тогда выделяете сеть /28, на роутере ставите 10.10.10.1/28, на БС ставите 10.10.10.2/28, на первом клиенте на антенне 10.10.10.3/28, на первом роутере абонента 10.10.10.4/28, на второго клиента адреса 10.10.10.5 и 10.10.10.6 соответственно.

5. Сети большие, где много устройств соединяется между собой, либо уже чисто адресация абонентского оборудования, это /27 и большие.

 

Особняком стоят абонентские белые адреса, например вам провайдер выдал сеть /24, то есть вы ее можете либо так раздать в одном большом сегменте, можете разбить на сети по /30, но тогда у вас будет только 64 абонентских адреса, то есть 3/4 адресов будет потрачено зря, можете выдать их поштучно, то есть с маской /32, тут уже ничего не потеряете.

 

Ведь если вы будете везде пихать сети /24, то адресное пространство быстро закончится, и не будет наглядности, когда только по виду сети уже понятно каким образом соединено оборудование.

 

Учитывая то, что при работе с коммутаторами, либо с офисными или подобными мелкими сетями, где нет резервирования, различных каналов в центр, такие вопросы не поднимаются, максимум что требуется, это повесить еще одну сетку /24.

 

Для учета подсетей создают табличку в экселе, заранее заполняют ее нужными подсетями, и по мере использования отмечают где заведена. Тогда можно один раз посчитать их, а в дальнейшем просто выбирать нужные и не забивать голову.

Share this post


Link to post
Share on other sites

Ого! Вот это вопрос!

Да, действительно, вопрос большой получился. :)))

Ответ не подскажите? :)

 

Вопрос разбивается на две части. Первая - зачем разбивать сеть на сегменты. Ответ простой - для того, что бы ограничить количество узлов в сети широковещательного доступа. И второй - какие для этого сегменты адресов использовать. Ответ простой - выбор делается исходя из собственных соображений и наличия доступных адресных пространств. Во, ответил. :)

Edited by vop

Share this post


Link to post
Share on other sites

Вопрос разбивается на две части. Первая - зачем разбивать сеть на сегменты. Ответ простой - для того, что бы ограничить количество узлов в сети широковещательного доступа.

 

Не верно, вы можете разбить сеть /24 на /30 и оставить все в одном L2 сегменте сети, а можете, используя сегментирование на доступе, ограничить прохождение трафика везде, кроме центрального устройства, и количество узлов тоже будет как бы ограничено, клиенты более одного мака увидеть не смогут.

С другой стороны, не разбивая сети на сегменты, можно везде вешать адреса с маской /24, но не все в одном месте, а управлять какие адреса где находятся можно уже маршрутами на базе L3 сети.

 

А чо микротик /31 не умеет на PtP? Зачем этот перерасход адресов.

 

Микротик при PTP по туннелю использует 2 адреса - адрес сервера и адрес клиента.

То, что вы пишите про соединение между портами патчкордом, то используется маска /30, это удобнее, чем везде на OSPF тип протокола с мультикаста на иной изменять.

Share this post


Link to post
Share on other sites

Эм. На линках точка точка вполне логично ставить нетворк тайп поинт ту поинт для исключение выборов. Как и /31, не убедили в общем.

 

Что и зачем микротику менять?

Edited by zhenya`

Share this post


Link to post
Share on other sites

Когда вы захотите сделать L3 сеть на микротиках.....

Сразу откажитесь от этой идеи )))

Почему сразу "откажитесь"?

 

Нужно взять три микротика...

small-25003-L1.jpg

Share this post


Link to post
Share on other sites

Когда вы захотите сделать L3 сеть на микротиках.....

Сразу откажитесь от этой идеи )))

Почему сразу "откажитесь"?

 

Нужно взять три микротика...

small-25003-L1.jpg

 

Ваша информация устарела, сейчас надо взять 5 микротиков

 

mmm.png

Share this post


Link to post
Share on other sites

Да нафиг это всё деление! Даешь один большой L2 сегмент. Один на весь мир :)

А давайте пофлудим.

 

Что страшного в большом броадкаст домене?

Вот я и лично видел в 2000 и больше машин L2 домене.

И ничего - жило.

 

Далее - представляем что сеть чистая звезда. на доступе везде умные свичи, те же длинки.

Включаем везде traffic_segmentation так, чтобы все видели только аплинк. Для приличия режем ACL-ами весь виндовый мусор.

 

Я вас не скажу за всю Одессу, но подобные броадкастовые домены вполне живучи, думаю будут работать и более 2000 машин в сети.

 

P.S. вовсе не призываю так делать, но оно вполне работоспособно.

Share this post


Link to post
Share on other sites

Столкнулся с такой вещью как деление сети на подсети.

Объясняю в двух словах.

1. Сеть делится на изолированные друг от друга L2 сегменты для того чтобы минимизировать проблемы в виде хакеров в локалке залезающих в бухгалтерию или дебила воткнувшего патчкорд обоими концами в свич и положившего сегмент (а если у тебя один L2 сегмент то у тебя вся сеть ляжет, а не отдельно взяты влан). Можно и без вланов, на тупорях просто к разным сетевухам на роутере подключать разные гирлянды.

2. Подсети нужны для того чтобы прибить их к разным вланам и маршрутизировать трафик между ними через роутер, а не корячится непойми как.

Всё.

Share this post


Link to post
Share on other sites

Negator

Ага, только нужно помнить, что LBD ловит трафик не сразу, а минимальный интервал на длинках - 1 секунда, т.е. в эту секунду абонент пришлёт мак-адрес шлюза, загадит fdb и у игроков в танчики бомбанёт не хило.

 

Ну т.е. оно теоретически и может жить, если мак шлюза прописывать статиком на аплике и добавлять его в ACL на юзерских портах. Ну т.е. главное, чтоб не допускались мак-флаппинги в этой вашей помойке на 2000 хостов

 

Я лично видел роутеры, которые при включении делают петлю

Share this post


Link to post
Share on other sites

SHAH0009, раньше использовалась классовая адресация, когда класс сети определялся первыми битами адреса и определял размер сети. Например класс А - 16777216 адресов, класс B - 65536 адресов, класс С - 256 адресов.

 

Через некоторое время умные люди посмотрели на это и решили что такой способ использования адресов не слишком экономный, т.к. даже если в сети у вас 4 компьютера - придется выделять им минимум аж 256 адресов.

 

Для решения этой проблемы придумали деление на подсети, сначала с маской фиксированной длины, а затем методом VLSM. Таким образом деление на подсети позволяет выделять столько адресов сколько реально необходимо а не фиксированные значения соответствующие классу.

 

Это если говорить об IP-адресах.

 

Если же вы имели ввиду зачем делить физическую сеть на сегменты - это делается когда вам по какой-то причине нужно изолировать кусочки сети друг от друга. Для фильтрации трафика, ограничения количества узлов в одном сегменте, и т.п.

Edited by avb1987

Share this post


Link to post
Share on other sites

Включаем везде traffic_segmentation так, чтобы все видели только аплинк. Для приличия режем ACL-ами весь виндовый мусор.

Это нечестно, даёшь виндовый netbios-срач!

 

Ну т.е. оно теоретически и может жить, если мак шлюза прописывать статиком на аплике и добавлять его в ACL на юзерских портах. Ну т.е. главное, чтоб не допускались мак-флаппинги в этой вашей помойке на 2000 хостов

Вывод: чистый л2, без хоть скольких нибудь фильтров, это адЪ!

Share this post


Link to post
Share on other sites

Вот я и лично видел в 2000 и больше машин L2 домене.

 

И я видел, только было это давно, интернет был медленный, троянов не было. Сейчас, достаточно нескольких часов, что бы такой сегмент перестал работать из-за вирусного трафика.

 

Ага, только нужно помнить, что LBD ловит трафик не сразу, а минимальный интервал на длинках - 1 секунда, т.е. в эту секунду абонент пришлёт мак-адрес шлюза, загадит fdb и у игроков в танчики бомбанёт не хило.

 

Не надо значит использовать такой длинк, который имеет какой-то интервал. На нормальном оборудовании мгновенно блокируется.

Share this post


Link to post
Share on other sites

Да нафиг это всё деление! Даешь один большой L2 сегмент. Один на весь мир :)

 

Есть небольшое ком.предложение... Если есть всякие -IX, есть такие фиговины как улучшитель кармы трафика, ну то есть бесполезные девайсы. Есть предложение намутить бесполезный L2 World IX. Я сгоняю к себе, скажем всех по eoip/tap/ovpn и т.д. Бриджую. Voila! L2 IX готов, можно пускать петли там, флудить арпами, кидаться друг в друга bpdu... А? Как вам такая штука? Будет ессно аренда полосы... Когда надоест копаться в песоянице, можно выпускать L2 IX в свою ЛВС, что бы пользователи могли спокойно обмениваться мусором.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.