[SHAH0009]

Здравствуйте уважаемы user`s форума. Столкнулся с такой вещью как деление сети на подсети. Нашел информацию по этой теме, но так и не понял для чего это нужно. И как следствие не особо понял как рассчитывать эту штуку. Внутри сети используются серые IP адреса, и там можно назначить любой адрес с любой маской, применить любой диапазон. Например первому зданию моей сети (кампусная сеть из 3-х зданий) я назначаю 192.168.1.0 /24, второму 192.168.2.0 /24, и так далее. Тогда возникает вопрос, Зачем делить сеть на подсети?

Или вообще если есть интелектуальное устройство, например управляемый switch, то можно вообще организацию на VLAN поделить!

ИМХО насколько я понял деление на подсети может каким то не очень если честно понятным мне образом экономить IP адреса, если это действительно так, тогда деление сетей на подсети имеет смысл когд мы работаем скажем в сети провайдера, с Белыми IP адресами, которых действительно не так уж много и которые действительно стоит экономить.

Заранее благодарен за ответы! :)

[vop]

Ого! Вот это вопрос!

[Butch3r]

Да зачем вланы, сажайте всё в один влан. А если серые бесконечные IP кончатся чё будете делать?

[SHAH0009]

Ого! Вот это вопрос!

Да, действительно, вопрос большой получился. :)))

Ответ не подскажите? :)

 

Да зачем вланы, сажайте всё в один влан. А если серые бесконечные IP кончатся чё будете делать?

Ну внутри организации вряд ли можно будет почувствовать не достаток адресов.

Вопрос как может помочь деление сети на подсети, какие полюсы и как это рассчитывать.

[Liner's]

Зачем делить сеть на подсети?

в яндексе и гугле забанили?

в яндексе первый пост выдаёт сразу ответ

[t1bur1an]

Да нафиг это всё деление! Даешь один большой L2 сегмент. Один на весь мир :)

[Liner's]

и как это рассчитывать.

это сложно обьяснить, но в какое то время чисто интуитивно жопой начинаешь чувствовать, что вот оно, уже на подходе, близко

[pppoetest]

Вот тут всё написано

 

это сложно обьяснить, но в какое то время чисто интуитивно жопой начинаешь чувствовать, что вот оно, уже на подходе, близко

То что вы описали очень похоже на процесс дефекации, а ТС нужен нормальный манул. )))

[Antares]

http://xgu.ru/wiki/VLAN

[Saab95]

ИМХО насколько я понял деление на подсети может каким то не очень если честно понятным мне образом экономить IP адреса, если это действительно так, тогда деление сетей на подсети имеет смысл когд мы работаем скажем в сети провайдера, с Белыми IP адресами, которых действительно не так уж много и которые действительно стоит экономить.

 

Когда вы захотите сделать L3 сеть на микротиках, то не сможете это сделать, не разделив сеть на подсети.

 

Допустим у вас есть разные методы соединения микротиков между собой:

 

1. Соединение по VPN - тут первый адрес 10.10.10.1 на роутере, а остальные поштучно 10.10.10.2 , 10.10.10.3 и т.п. на подключенных клиентах, маски тут вообще нет или она /32.

2. Прямое соединение патчкордом или оптикой, тут вы на каждое выделяете сеть /30, на первом устройстве это например 10.10.10.1/30, на втором адрес 10.10.10.2/30.

3. Соединение через радиоканал точка-точка, тут вы на каждое соединение выделяете сеть /29, первый адрес 10.10.10.1/29 ставите на первом роутере, второй адрес 10.10.10.2/29 ставите на первой антенне, адрес 10.10.10.3/29 на второй антенне, приемной, и адрес 10.10.10.4/29 ставите на втором роутере.

4. Соединение нескольких устройств к роутеру через базовую станцию, тогда выделяете сеть /28, на роутере ставите 10.10.10.1/28, на БС ставите 10.10.10.2/28, на первом клиенте на антенне 10.10.10.3/28, на первом роутере абонента 10.10.10.4/28, на второго клиента адреса 10.10.10.5 и 10.10.10.6 соответственно.

5. Сети большие, где много устройств соединяется между собой, либо уже чисто адресация абонентского оборудования, это /27 и большие.

 

Особняком стоят абонентские белые адреса, например вам провайдер выдал сеть /24, то есть вы ее можете либо так раздать в одном большом сегменте, можете разбить на сети по /30, но тогда у вас будет только 64 абонентских адреса, то есть 3/4 адресов будет потрачено зря, можете выдать их поштучно, то есть с маской /32, тут уже ничего не потеряете.

 

Ведь если вы будете везде пихать сети /24, то адресное пространство быстро закончится, и не будет наглядности, когда только по виду сети уже понятно каким образом соединено оборудование.

 

Учитывая то, что при работе с коммутаторами, либо с офисными или подобными мелкими сетями, где нет резервирования, различных каналов в центр, такие вопросы не поднимаются, максимум что требуется, это повесить еще одну сетку /24.

 

Для учета подсетей создают табличку в экселе, заранее заполняют ее нужными подсетями, и по мере использования отмечают где заведена. Тогда можно один раз посчитать их, а в дальнейшем просто выбирать нужные и не забивать голову.

[Antares]

Когда вы захотите сделать L3 сеть на микротиках.....

Сразу откажитесь от этой идеи )))

[vop]

Ого! Вот это вопрос!

Да, действительно, вопрос большой получился. :)))

Ответ не подскажите? :)

 

Вопрос разбивается на две части. Первая - зачем разбивать сеть на сегменты. Ответ простой - для того, что бы ограничить количество узлов в сети широковещательного доступа. И второй - какие для этого сегменты адресов использовать. Ответ простой - выбор делается исходя из собственных соображений и наличия доступных адресных пространств. Во, ответил. :)

Изменено 14 декабря, 2015 пользователем vop

[zhenya`]

А чо микротик /31 не умеет на PtP? Зачем этот перерасход адресов.

[Saab95]

Вопрос разбивается на две части. Первая - зачем разбивать сеть на сегменты. Ответ простой - для того, что бы ограничить количество узлов в сети широковещательного доступа.

 

Не верно, вы можете разбить сеть /24 на /30 и оставить все в одном L2 сегменте сети, а можете, используя сегментирование на доступе, ограничить прохождение трафика везде, кроме центрального устройства, и количество узлов тоже будет как бы ограничено, клиенты более одного мака увидеть не смогут.

С другой стороны, не разбивая сети на сегменты, можно везде вешать адреса с маской /24, но не все в одном месте, а управлять какие адреса где находятся можно уже маршрутами на базе L3 сети.

 

А чо микротик /31 не умеет на PtP? Зачем этот перерасход адресов.

 

Микротик при PTP по туннелю использует 2 адреса - адрес сервера и адрес клиента.

То, что вы пишите про соединение между портами патчкордом, то используется маска /30, это удобнее, чем везде на OSPF тип протокола с мультикаста на иной изменять.

[pppoetest]

Разница м/у бродкаст доменами L2 и L3? Не, не слышал.

[zhenya`]

Эм. На линках точка точка вполне логично ставить нетворк тайп поинт ту поинт для исключение выборов. Как и /31, не убедили в общем.

 

Что и зачем микротику менять?

Изменено 14 декабря, 2015 пользователем zhenya`

[stas_k]

Когда вы захотите сделать L3 сеть на микротиках.....

Сразу откажитесь от этой идеи )))

Почему сразу "откажитесь"?

 

Нужно взять три микротика...

[Saab95]

Когда вы захотите сделать L3 сеть на микротиках.....

Сразу откажитесь от этой идеи )))

Почему сразу "откажитесь"?

 

Нужно взять три микротика...

 

Ваша информация устарела, сейчас надо взять 5 микротиков

 

[Negator]

Да нафиг это всё деление! Даешь один большой L2 сегмент. Один на весь мир :)

А давайте пофлудим.

 

Что страшного в большом броадкаст домене?

Вот я и лично видел в 2000 и больше машин L2 домене.

И ничего - жило.

 

Далее - представляем что сеть чистая звезда. на доступе везде умные свичи, те же длинки.

Включаем везде traffic_segmentation так, чтобы все видели только аплинк. Для приличия режем ACL-ами весь виндовый мусор.

 

Я вас не скажу за всю Одессу, но подобные броадкастовые домены вполне живучи, думаю будут работать и более 2000 машин в сети.

 

P.S. вовсе не призываю так делать, но оно вполне работоспособно.

[Ivan_83]

Столкнулся с такой вещью как деление сети на подсети.

Объясняю в двух словах.

1. Сеть делится на изолированные друг от друга L2 сегменты для того чтобы минимизировать проблемы в виде хакеров в локалке залезающих в бухгалтерию или дебила воткнувшего патчкорд обоими концами в свич и положившего сегмент (а если у тебя один L2 сегмент то у тебя вся сеть ляжет, а не отдельно взяты влан). Можно и без вланов, на тупорях просто к разным сетевухам на роутере подключать разные гирлянды.

2. Подсети нужны для того чтобы прибить их к разным вланам и маршрутизировать трафик между ними через роутер, а не корячится непойми как.

Всё.

[s.lobanov]

Negator

Ага, только нужно помнить, что LBD ловит трафик не сразу, а минимальный интервал на длинках - 1 секунда, т.е. в эту секунду абонент пришлёт мак-адрес шлюза, загадит fdb и у игроков в танчики бомбанёт не хило.

 

Ну т.е. оно теоретически и может жить, если мак шлюза прописывать статиком на аплике и добавлять его в ACL на юзерских портах. Ну т.е. главное, чтоб не допускались мак-флаппинги в этой вашей помойке на 2000 хостов

 

Я лично видел роутеры, которые при включении делают петлю

[avb1987]

SHAH0009, раньше использовалась классовая адресация, когда класс сети определялся первыми битами адреса и определял размер сети. Например класс А - 16777216 адресов, класс B - 65536 адресов, класс С - 256 адресов.

 

Через некоторое время умные люди посмотрели на это и решили что такой способ использования адресов не слишком экономный, т.к. даже если в сети у вас 4 компьютера - придется выделять им минимум аж 256 адресов.

 

Для решения этой проблемы придумали деление на подсети, сначала с маской фиксированной длины, а затем методом VLSM. Таким образом деление на подсети позволяет выделять столько адресов сколько реально необходимо а не фиксированные значения соответствующие классу.

 

Это если говорить об IP-адресах.

 

Если же вы имели ввиду зачем делить физическую сеть на сегменты - это делается когда вам по какой-то причине нужно изолировать кусочки сети друг от друга. Для фильтрации трафика, ограничения количества узлов в одном сегменте, и т.п.

Изменено 14 декабря, 2015 пользователем avb1987

[pppoetest]

Включаем везде traffic_segmentation так, чтобы все видели только аплинк. Для приличия режем ACL-ами весь виндовый мусор.

Это нечестно, даёшь виндовый netbios-срач!

 

Ну т.е. оно теоретически и может жить, если мак шлюза прописывать статиком на аплике и добавлять его в ACL на юзерских портах. Ну т.е. главное, чтоб не допускались мак-флаппинги в этой вашей помойке на 2000 хостов

Вывод: чистый л2, без хоть скольких нибудь фильтров, это адЪ!

[Saab95]

Вот я и лично видел в 2000 и больше машин L2 домене.

 

И я видел, только было это давно, интернет был медленный, троянов не было. Сейчас, достаточно нескольких часов, что бы такой сегмент перестал работать из-за вирусного трафика.

 

Ага, только нужно помнить, что LBD ловит трафик не сразу, а минимальный интервал на длинках - 1 секунда, т.е. в эту секунду абонент пришлёт мак-адрес шлюза, загадит fdb и у игроков в танчики бомбанёт не хило.

 

Не надо значит использовать такой длинк, который имеет какой-то интервал. На нормальном оборудовании мгновенно блокируется.

[tartila]

Да нафиг это всё деление! Даешь один большой L2 сегмент. Один на весь мир :)

 

Есть небольшое ком.предложение... Если есть всякие -IX, есть такие фиговины как улучшитель кармы трафика, ну то есть бесполезные девайсы. Есть предложение намутить бесполезный L2 World IX. Я сгоняю к себе, скажем всех по eoip/tap/ovpn и т.д. Бриджую. Voila! L2 IX готов, можно пускать петли там, флудить арпами, кидаться друг в друга bpdu... А? Как вам такая штука? Будет ессно аренда полосы... Когда надоест копаться в песоянице, можно выпускать L2 IX в свою ЛВС, что бы пользователи могли спокойно обмениваться мусором.