Маска подсети 255.255.0.0 для серверов со статическим ip?
759
LPChip
Короткий вопрос
Это плохая идея дать моим серверам, которые имеют статический ip, всю маску подсети с 255.255.0.0, превращая его из класса C в сеть класса B? IP-адреса серверов варьируются от 192.168.10.10 до 192.168.10.20, и всем разрешено видеть друг друга. Клиенты могут быть в том же диапазоне, или в 192.168.11.x
Длинный вопрос
Я играю с настройкой своего DHCP-сервера и решил, что мне нужна гибкость в моей сети. Иногда я меняю маршрутизаторы с разными конфигурациями, и всегда сложно предварительно сконфигурировать мои серверы, чтобы они соответствовали маршрутизатору, который я собираюсь использовать, тем более что иногда маршрутизатор также является моим модемом, а иногда - вторичным маршрутизатором.
В прошлом я пытался использовать DHCP-сервер для предоставления своим серверам своего IP-адреса через резервирование DHCP, но я обнаружил, что это сложно настроить, потому что вы не знаете, какой сервер имеет какой MAC-адрес, и мне нужно записать их, чтобы я мог настроить их позже.
Я решил, что буду использовать статические IP-адреса для своих серверов, что в любом случае является наилучшей практикой. Разные маршрутизаторы и разные модемы работают под разными диапазонами IP-адресов и не всегда могут быть полностью настроены по вкусу. Например, если мой модем работает в режиме моста, он будет настаивать на том, чтобы он всегда находился в диапазоне 192.168.100.x, что приводит к хаосу в сети моего маршрутизатора. Таким же образом, если модем не находится в режиме моста, он просто не примет 192.168.100.x в качестве диапазона.
Я решил, что 192.168.10.x будет тем диапазоном, в котором я размещу свои статические IP-адреса, и каждый маршрутизатор, когда это возможно, будет настроен на использование DHCP как 192.168.11.x с маской подсети 255.255.254.0. Это прекрасно работает.
Теперь у меня вопрос: действительно ли это вредно или это угроза безопасности, если я назначу своим статическим ip-устройствам маску подсети 255.255.0.0, в то время как DHCP раздает другую маску подсети?
Теоретически диапазоны будут перекрываться, так что устройства по-прежнему будут иметь возможность общаться без каких-либо проблем, и это позволит мне динамически увеличивать диапазон DHCP до более высокого размера в дальнейшем без необходимости изменения адресов всех фиксированных подсетей ip.
Итак, это хорошая идея, чтобы дать все мои статические IP-адреса, маска подсети 255.255.0.0? Если это вопрос мнения (например, это не имеет значения), то это тоже ответ, что для меня означает: да, это можно сделать. Если есть причина, почему это действительно плохо, то это другой ответ. Так что любой из двух. Если это большое нет, я ожидаю причину, почему я могу учиться на этом.
Заранее спасибо. :)
Я начал писать ответ, но хотя я понимаю, почему вы спрашиваете о том, что вы хотите сделать, я не понимаю, почему вы хотите это сделать. Если проблема заключается в ограничении устройства, то вы все равно столкнетесь с проблемами. Некоторые маршрутизаторы могут не разрешать маску подсети 255.255.254.0. Или другие маршрутизаторы могут не позволить вам выбрать диапазон 192.168.xx. Я просто говорю, что это не очень долгосрочное решение. Почему бы не подключить один работающий коммутатор маршрутизатора / L3 к вашей сети, и тогда вы можете просто настроить настройку на этом устройстве для всего, что вы подключаете перед ним?
Appleoddity 6 лет назад
0
Я бы сказал, что «диапазоны будут перекрываться, так что устройства по-прежнему смогут общаться без каких-либо проблем», это необязательно. Маска определяет, подключен ли ваш одноранговый узел напрямую или нет, если ваш сервер имеет адрес 192.168.0.0/16 (т. Е. Маску 255.255.0.0), то он будет считать весь этот диапазон локальным, но если маршрутизатор имеет 192.168.0.1/24 , он попытается перейти на сервер (например, 192.168.11.4) через свою DG. Асимметричные маски не всегда работают. Кроме этого, использование / 16 в приватном пространстве просто прекрасно.
Carlos Mendioroz 6 лет назад
0
@Appleoddity Теперь я использую маршрутизатор Mikrotik, поэтому DHCP с пользовательской подсетью не является проблемой. С другой стороны, у меня также есть контроллер домена, который я могу использовать для DHCP, который также может сделать собственную маску подсети. Я прошу это учиться, но и экспериментировать с. Если бы я сменил свой маршрутизатор на другой, я бы хотел настроить его как можно быстрее, поэтому, если я столкнусь с проблемой, когда мне нужно настроить статические IP-адреса моего сервера для одного маршрутизатора, то точка была побеждена. Я надеюсь избежать этого, используя 255.255.0.0 в качестве маски подсети, и сделать другую сеть близкой или находящейся в том же диапазоне.
LPChip 6 лет назад
0
1 ответ на вопрос
1
Tim_Stewart
Афаик, это не угроза безопасности.
Я думаю, что лучшим решением здесь были бы VLAN для вашей сети тестирования конфигурации. Вам нужен как коммутатор с поддержкой 802.1q, так и маршрутизатор. Это даст вам наибольшую гибкость. Вы также можете использовать традиционные подсети, если ваш маршрутизатор имеет несколько интерфейсов. (Не комбо-устройство потребительского уровня)
Насколько я знаю, на самом деле нет правильного или неправильного способа сделать маски подсети. Обычно вы хотите, чтобы он был достаточно мал, чтобы широковещательный трафик не вызывал беспокойства (слишком много устройств в одном условном сетевом пространстве или «широковещательном домене»). Кроме того, чтобы тратить личные адресные пространства, это вопрос мнения.
Я использую pfsense с vlans, он очень хорошо работает для настройки временных / домашних лабораторных сетей для конфигураций. После этого вы можете удалить членство в port-vlan, это также позволит вам очень жестко контролировать каждую виртуально разделенную сеть. (Правила трафика, настраиваемый DHCP для каждой подсети и т. Д.)
С уважением,
Привет и спасибо за ваш ответ. VLAN не то, что я ищу. Вся моя сеть и каждое устройство должно видеть каждое устройство. Моя цель здесь заключается в том, чтобы иметь возможность заменить маршрутизатор новой конфигурацией и работать как можно быстрее. Я делаю это в качестве теста, но я надеюсь выучить ценные навыки / знания в любом случае. :) Пока ваш ответ предполагает, что стратегия, которую я рассматриваю, не будет иметь никаких проблем.
LPChip 6 лет назад
0
Не уверен, что вы подразумеваете под «видеть»? Если вы имеете в виду межлановое общение по IP, оно все равно будет работать. Нет, это не будет проблемой. Если на серверах важна строгая безопасность, вы можете использовать традиционную подсеть через отдельные физические интерфейсы и списки ACL или взаимодействовать с ACL. Отсутствие строгих требований безопасности вам не нужно. Эти два метода просто дают вам централизованное управление всеми подсетями / трафиком.
Tim_Stewart 6 лет назад
0
Я имею в виду, что каждое устройство должно иметь возможность общаться с другим. Нет VLAN, только одна большая сеть с несколькими серверами и несколькими клиентами и т. Д.
LPChip 6 лет назад
0
Тогда у тебя все будет хорошо. Пока все устройства находятся в одном непрерывном сетевом пространстве / широковещательном домене. Они смогут общаться.
Tim_Stewart 6 лет назад
0