SHAH0009 Posted December 14, 2015 · Report post Здравствуйте уважаемы user`s форума. Столкнулся с такой вещью как деление сети на подсети. Нашел информацию по этой теме, но так и не понял для чего это нужно. И как следствие не особо понял как рассчитывать эту штуку. Внутри сети используются серые IP адреса, и там можно назначить любой адрес с любой маской, применить любой диапазон. Например первому зданию моей сети (кампусная сеть из 3-х зданий) я назначаю 192.168.1.0 /24, второму 192.168.2.0 /24, и так далее. Тогда возникает вопрос, Зачем делить сеть на подсети? Или вообще если есть интелектуальное устройство, например управляемый switch, то можно вообще организацию на VLAN поделить! ИМХО насколько я понял деление на подсети может каким то не очень если честно понятным мне образом экономить IP адреса, если это действительно так, тогда деление сетей на подсети имеет смысл когд мы работаем скажем в сети провайдера, с Белыми IP адресами, которых действительно не так уж много и которые действительно стоит экономить. Заранее благодарен за ответы! :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vop Posted December 14, 2015 · Report post Ого! Вот это вопрос! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Butch3r Posted December 14, 2015 · Report post Да зачем вланы, сажайте всё в один влан. А если серые бесконечные IP кончатся чё будете делать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SHAH0009 Posted December 14, 2015 · Report post Ого! Вот это вопрос! Да, действительно, вопрос большой получился. :))) Ответ не подскажите? :) Да зачем вланы, сажайте всё в один влан. А если серые бесконечные IP кончатся чё будете делать? Ну внутри организации вряд ли можно будет почувствовать не достаток адресов. Вопрос как может помочь деление сети на подсети, какие полюсы и как это рассчитывать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Liner's Posted December 14, 2015 · Report post Зачем делить сеть на подсети? в яндексе и гугле забанили? в яндексе первый пост выдаёт сразу ответ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
t1bur1an Posted December 14, 2015 · Report post Да нафиг это всё деление! Даешь один большой L2 сегмент. Один на весь мир :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Liner's Posted December 14, 2015 · Report post и как это рассчитывать. это сложно обьяснить, но в какое то время чисто интуитивно жопой начинаешь чувствовать, что вот оно, уже на подходе, близко Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted December 14, 2015 · Report post Вот тут всё написано это сложно обьяснить, но в какое то время чисто интуитивно жопой начинаешь чувствовать, что вот оно, уже на подходе, близко То что вы описали очень похоже на процесс дефекации, а ТС нужен нормальный манул. ))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Antares Posted December 14, 2015 · Report post http://xgu.ru/wiki/VLAN Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 14, 2015 · Report post ИМХО насколько я понял деление на подсети может каким то не очень если честно понятным мне образом экономить IP адреса, если это действительно так, тогда деление сетей на подсети имеет смысл когд мы работаем скажем в сети провайдера, с Белыми IP адресами, которых действительно не так уж много и которые действительно стоит экономить. Когда вы захотите сделать L3 сеть на микротиках, то не сможете это сделать, не разделив сеть на подсети. Допустим у вас есть разные методы соединения микротиков между собой: 1. Соединение по VPN - тут первый адрес 10.10.10.1 на роутере, а остальные поштучно 10.10.10.2 , 10.10.10.3 и т.п. на подключенных клиентах, маски тут вообще нет или она /32. 2. Прямое соединение патчкордом или оптикой, тут вы на каждое выделяете сеть /30, на первом устройстве это например 10.10.10.1/30, на втором адрес 10.10.10.2/30. 3. Соединение через радиоканал точка-точка, тут вы на каждое соединение выделяете сеть /29, первый адрес 10.10.10.1/29 ставите на первом роутере, второй адрес 10.10.10.2/29 ставите на первой антенне, адрес 10.10.10.3/29 на второй антенне, приемной, и адрес 10.10.10.4/29 ставите на втором роутере. 4. Соединение нескольких устройств к роутеру через базовую станцию, тогда выделяете сеть /28, на роутере ставите 10.10.10.1/28, на БС ставите 10.10.10.2/28, на первом клиенте на антенне 10.10.10.3/28, на первом роутере абонента 10.10.10.4/28, на второго клиента адреса 10.10.10.5 и 10.10.10.6 соответственно. 5. Сети большие, где много устройств соединяется между собой, либо уже чисто адресация абонентского оборудования, это /27 и большие. Особняком стоят абонентские белые адреса, например вам провайдер выдал сеть /24, то есть вы ее можете либо так раздать в одном большом сегменте, можете разбить на сети по /30, но тогда у вас будет только 64 абонентских адреса, то есть 3/4 адресов будет потрачено зря, можете выдать их поштучно, то есть с маской /32, тут уже ничего не потеряете. Ведь если вы будете везде пихать сети /24, то адресное пространство быстро закончится, и не будет наглядности, когда только по виду сети уже понятно каким образом соединено оборудование. Учитывая то, что при работе с коммутаторами, либо с офисными или подобными мелкими сетями, где нет резервирования, различных каналов в центр, такие вопросы не поднимаются, максимум что требуется, это повесить еще одну сетку /24. Для учета подсетей создают табличку в экселе, заранее заполняют ее нужными подсетями, и по мере использования отмечают где заведена. Тогда можно один раз посчитать их, а в дальнейшем просто выбирать нужные и не забивать голову. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Antares Posted December 14, 2015 · Report post Когда вы захотите сделать L3 сеть на микротиках..... Сразу откажитесь от этой идеи ))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vop Posted December 14, 2015 (edited) · Report post Ого! Вот это вопрос! Да, действительно, вопрос большой получился. :))) Ответ не подскажите? :) Вопрос разбивается на две части. Первая - зачем разбивать сеть на сегменты. Ответ простой - для того, что бы ограничить количество узлов в сети широковещательного доступа. И второй - какие для этого сегменты адресов использовать. Ответ простой - выбор делается исходя из собственных соображений и наличия доступных адресных пространств. Во, ответил. :) Edited December 14, 2015 by vop Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted December 14, 2015 · Report post А чо микротик /31 не умеет на PtP? Зачем этот перерасход адресов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 14, 2015 · Report post Вопрос разбивается на две части. Первая - зачем разбивать сеть на сегменты. Ответ простой - для того, что бы ограничить количество узлов в сети широковещательного доступа. Не верно, вы можете разбить сеть /24 на /30 и оставить все в одном L2 сегменте сети, а можете, используя сегментирование на доступе, ограничить прохождение трафика везде, кроме центрального устройства, и количество узлов тоже будет как бы ограничено, клиенты более одного мака увидеть не смогут. С другой стороны, не разбивая сети на сегменты, можно везде вешать адреса с маской /24, но не все в одном месте, а управлять какие адреса где находятся можно уже маршрутами на базе L3 сети. А чо микротик /31 не умеет на PtP? Зачем этот перерасход адресов. Микротик при PTP по туннелю использует 2 адреса - адрес сервера и адрес клиента. То, что вы пишите про соединение между портами патчкордом, то используется маска /30, это удобнее, чем везде на OSPF тип протокола с мультикаста на иной изменять. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted December 14, 2015 · Report post Разница м/у бродкаст доменами L2 и L3? Не, не слышал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted December 14, 2015 (edited) · Report post Эм. На линках точка точка вполне логично ставить нетворк тайп поинт ту поинт для исключение выборов. Как и /31, не убедили в общем. Что и зачем микротику менять? Edited December 14, 2015 by zhenya` Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stas_k Posted December 14, 2015 · Report post Когда вы захотите сделать L3 сеть на микротиках..... Сразу откажитесь от этой идеи ))) Почему сразу "откажитесь"? Нужно взять три микротика... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 14, 2015 · Report post Когда вы захотите сделать L3 сеть на микротиках..... Сразу откажитесь от этой идеи ))) Почему сразу "откажитесь"? Нужно взять три микротика... Ваша информация устарела, сейчас надо взять 5 микротиков Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Negator Posted December 14, 2015 · Report post Да нафиг это всё деление! Даешь один большой L2 сегмент. Один на весь мир :) А давайте пофлудим. Что страшного в большом броадкаст домене? Вот я и лично видел в 2000 и больше машин L2 домене. И ничего - жило. Далее - представляем что сеть чистая звезда. на доступе везде умные свичи, те же длинки. Включаем везде traffic_segmentation так, чтобы все видели только аплинк. Для приличия режем ACL-ами весь виндовый мусор. Я вас не скажу за всю Одессу, но подобные броадкастовые домены вполне живучи, думаю будут работать и более 2000 машин в сети. P.S. вовсе не призываю так делать, но оно вполне работоспособно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted December 14, 2015 · Report post Столкнулся с такой вещью как деление сети на подсети. Объясняю в двух словах. 1. Сеть делится на изолированные друг от друга L2 сегменты для того чтобы минимизировать проблемы в виде хакеров в локалке залезающих в бухгалтерию или дебила воткнувшего патчкорд обоими концами в свич и положившего сегмент (а если у тебя один L2 сегмент то у тебя вся сеть ляжет, а не отдельно взяты влан). Можно и без вланов, на тупорях просто к разным сетевухам на роутере подключать разные гирлянды. 2. Подсети нужны для того чтобы прибить их к разным вланам и маршрутизировать трафик между ними через роутер, а не корячится непойми как. Всё. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted December 14, 2015 · Report post Negator Ага, только нужно помнить, что LBD ловит трафик не сразу, а минимальный интервал на длинках - 1 секунда, т.е. в эту секунду абонент пришлёт мак-адрес шлюза, загадит fdb и у игроков в танчики бомбанёт не хило. Ну т.е. оно теоретически и может жить, если мак шлюза прописывать статиком на аплике и добавлять его в ACL на юзерских портах. Ну т.е. главное, чтоб не допускались мак-флаппинги в этой вашей помойке на 2000 хостов Я лично видел роутеры, которые при включении делают петлю Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
avb1987 Posted December 14, 2015 (edited) · Report post SHAH0009, раньше использовалась классовая адресация, когда класс сети определялся первыми битами адреса и определял размер сети. Например класс А - 16777216 адресов, класс B - 65536 адресов, класс С - 256 адресов. Через некоторое время умные люди посмотрели на это и решили что такой способ использования адресов не слишком экономный, т.к. даже если в сети у вас 4 компьютера - придется выделять им минимум аж 256 адресов. Для решения этой проблемы придумали деление на подсети, сначала с маской фиксированной длины, а затем методом VLSM. Таким образом деление на подсети позволяет выделять столько адресов сколько реально необходимо а не фиксированные значения соответствующие классу. Это если говорить об IP-адресах. Если же вы имели ввиду зачем делить физическую сеть на сегменты - это делается когда вам по какой-то причине нужно изолировать кусочки сети друг от друга. Для фильтрации трафика, ограничения количества узлов в одном сегменте, и т.п. Edited December 14, 2015 by avb1987 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted December 14, 2015 · Report post Включаем везде traffic_segmentation так, чтобы все видели только аплинк. Для приличия режем ACL-ами весь виндовый мусор. Это нечестно, даёшь виндовый netbios-срач! Ну т.е. оно теоретически и может жить, если мак шлюза прописывать статиком на аплике и добавлять его в ACL на юзерских портах. Ну т.е. главное, чтоб не допускались мак-флаппинги в этой вашей помойке на 2000 хостов Вывод: чистый л2, без хоть скольких нибудь фильтров, это адЪ! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 14, 2015 · Report post Вот я и лично видел в 2000 и больше машин L2 домене. И я видел, только было это давно, интернет был медленный, троянов не было. Сейчас, достаточно нескольких часов, что бы такой сегмент перестал работать из-за вирусного трафика. Ага, только нужно помнить, что LBD ловит трафик не сразу, а минимальный интервал на длинках - 1 секунда, т.е. в эту секунду абонент пришлёт мак-адрес шлюза, загадит fdb и у игроков в танчики бомбанёт не хило. Не надо значит использовать такой длинк, который имеет какой-то интервал. На нормальном оборудовании мгновенно блокируется. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tartila Posted December 14, 2015 · Report post Да нафиг это всё деление! Даешь один большой L2 сегмент. Один на весь мир :) Есть небольшое ком.предложение... Если есть всякие -IX, есть такие фиговины как улучшитель кармы трафика, ну то есть бесполезные девайсы. Есть предложение намутить бесполезный L2 World IX. Я сгоняю к себе, скажем всех по eoip/tap/ovpn и т.д. Бриджую. Voila! L2 IX готов, можно пускать петли там, флудить арпами, кидаться друг в друга bpdu... А? Как вам такая штука? Будет ессно аренда полосы... Когда надоест копаться в песоянице, можно выпускать L2 IX в свою ЛВС, что бы пользователи могли спокойно обмениваться мусором. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...