Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Jindřich M. 15. 03. 2015, 13:04:26
-
Chtěl bych se zeptat na doporučený rozsah IP adres. Když použiju 10.0.0.0/16, tak je to velké plýtvání adresami. Ale na druhou stranu - vadí to něčemu?
-
Jo, vadí. Např. ten, kdo se od tebe ze sítě bude připojovat někam přes OpenVPN, bude mít velkou radost.
-
Chtěl bych se zeptat na doporučený rozsah IP adres. Když použiju 10.0.0.0/16, tak je to velké plýtvání adresami. Ale na druhou stranu - vadí to něčemu?
záleží co to je za síť, jestli tam budes mit desitky tisic hostu, tak proc ne :)
Ale jak píše LP výše, blbě se pak routuje.
-
Pokud chceš nějaké dobře pamatovatelné adresy, tak radši spíš "10.něco.cosi.0/24", kde "něco.cosi" nebude "0.0" - pak je šance, že vše bude fungovat dobře a routing se neblázní. Při rozumně zvoleném rozsahu je šance, že natefíš na stejný rozsah, ale cizí, zhruba jedna ku pětašedesáti tisícům (a ještě by musel být hned v sousedství aby se to nenechalo jednoduše ošéfovat).
-
Když se bojíte konfliktů s koncovými rozsahy v síti, co takhle použít rozsahy pro CGN (100.64.0.0/10). Ty se pro takovéto použití přímo nabízejí...
P.
-
Nu, pokud je dotyčný tazatel ISPík a plánuje jaké IPčka použít v své síti, kde budou klienti za NATem, tak je 100.64.0.0/10 nejlepší aktuální volba. Pokud je někdo jiný, tak má riziko, že to jeho ISPík použije (už se to pomalu u nich začíná objevovat, ale nejčastější je stále, že tam mají něco z 10.0.0.0/8) a půjde konfliktu vstříc. :-)
Když tazatel nepíše blíže o jakou síť jde, jak velkou, kolik segmentů nebo poboček propojených přes VPNka bude, tak těžko radit. Ale pro LAN místo 10.0.0.0/8 má ještě k mání 172.16.0.0/12 a 192.168.0.0/16.
-
..100.64.0.0/10..
nejdriv jsem myslel ze preklep a ono to rfc6598.. neznal jsem, diky!
-
..100.64.0.0/10..
nejdriv jsem myslel ze preklep a ono to rfc6598.. neznal jsem, diky!
Svět má setvrvačnost. Ale už vidím, že ISPíci to dávají klientům na jejich rotuery v řadě míst. Docela vtipné je pak použití IP adresy 100.100.100.100 jako DNS server pro klienty, který ISPík provozuje (i když jsme i viděl, že místo vlastního serveru udělají přesměrování na 8.8.8.8 ), to se aspoň dobře pamatuje. :-)
Nicméně do LAN bych si to necpal, jednak kvůli teoreticky možnému konfliktu s IP na WAN straně od ISPíka a pak některé apliakce dle IPčka počítače usuzují, zda mají veřejnou nebo neveřejnou IP a dle toho se jinak chovají. A řada z nich má naučeny jen ty klasické 3 segmenty dle RFC1918 a ne tento 100.64/10. Třeba i Win7 s tím měl problém, ale tam už je to opraveno.
-
Chtěl bych se zeptat na doporučený rozsah IP adres. Když použiju 10.0.0.0/16, tak je to velké plýtvání adresami. Ale na druhou stranu - vadí to něčemu?
Je to v poradku, ty si tu /16 potom sam rozporcujes.
-
Doporučuju nepoužívat Cčkové masky, je to děsnej ojeb to pak přeadresovávat, když na to dojde.
Ve firmě když 10.0.0.0 tak 10.x.0.0/B
Co znamená přeadresování ve firmě:
- přemrcasit xy různejch technologickejch kravinek
- přemrcasit docházový systém
- předělat ty srágory jako SQL/Sharepoint/WSUS....
- předělat tiskárny
- předělat rozsahy DHCP a servery, to je taky celkem oser
.....
FUJ!
Ale zase lepší než jet IPv6 v koncernu.
-
A nebo Cčkovou masku sklidně, ale neadresovat to jako magor 10.10.1.x/C pro jednu pobočku, 10.10.2.x/C pro druhou pobočku, to je totiž pěkně debilní.
-
Proč je to debilní?
-
protože pro "core network" si nechám třeba 10.10.1-15, pro pobočku1 10.10.16-31, pro pobočku2 10.10.32-47.... třeba. Potom na pobočce jednu /24 síť používám pro běžná PCčka, další třeba pro "síťová zařízení" (tiskárny, kamery...), další třeba pro nějakou výrobní technologii (pokud ve firmě takové věci jsou). Není vyjímkou že se (mj. z bezpečnostních důvodů) dělá oddělená VLAN pro účtárnu/HR/mzdovku...
Pokud někomu ve firmě dojdou adresy v /24 a řeší to změnou masky tak je to nejspíše idiot. Nepřipadá mi dobrý nápad mít stovky zařízení v jednom subnetu, v jedné broadcastové doméně...
-
Jo takhle.
Mne zas prijde prehlednejsi mit treba
10.1.1.x pro PC v prvni pobocce
10.1.2.x pro tiskarny v prvni pobocce
...
10.2.1.x pro PC v druhy pobocce
atd.
Lip se to pamatuje.
-
protože pro "core network" si nechám třeba 10.10.1-15, pro pobočku1 10.10.16-31, pro pobočku2 10.10.32-47.... třeba. Potom na pobočce jednu /24 síť používám pro běžná PCčka, další třeba pro "síťová zařízení" (tiskárny, kamery...), další třeba pro nějakou výrobní technologii (pokud ve firmě takové věci jsou)
Je to jako vždy - tazatel si chce něco nastavit a zeptá se na jednoduchou otázku. Přijde troll a začne nastavovat obří sítě a tvářit se že ostatní jsou debilové a idioti protéže má kompex. Jako z toho co píšeš to vypadá, že chceš na jednu "pobočku" naroubovat patnáct c sítí a celé rozsahy přidělovat podle druhu zařízení?? ... no viděl jsem hodně, ale tohle je šílenství. Neříkám, že mít pro specielní důvody druhou sít je špatný nápad. Ale dávat na jiný segment stanice a na jiný tiskárny? Nehledě na fakt, že právě tiskárny a kamery nikdo normální nellete ani na stejné switche - důvod je bezpečnostní i datová zátěž. No ... .
A k původnímu dotazu. Být tebou bych nebláznil protože tohle bude průšvih. Podle mě když budeš v síti 10.0.0.0/8 tak si vlastně nepingneš na jakýklliv rozsah začínající 10 který bude mimo tvůj router - pro příklad když připojíš vpn klienta do sítě která začíná deset.cokoliv (třeba 10.9.8.0/24 a dáš ping na adresu 10.9.8.7 tak se bude adresa hledat v tvé síti kvůli masce 8 a počítač za vpn nebude dostupnej. Pokud chceš hodně adres tak vem B rozsah kde je jěnaká šance že to poběží. Je to tak?
-
Jo takhle.
Mne zas prijde prehlednejsi mit treba
10.1.1.x pro PC v prvni pobocce
10.1.2.x pro tiskarny v prvni pobocce
Jak mezi sebou ty rozsahy C sítí routuješ?
-
Pokud někomu ve firmě dojdou adresy v /24 a řeší to změnou masky tak je to nejspíše idiot. Nepřipadá mi dobrý nápad mít stovky zařízení v jednom subnetu, v jedné broadcastové doméně...
Idiot jsi sám ;D protože máš pocit, že router je to stejné co firewall.
Koukni se na idioty, co přišli s IPv6.
Teoreticky to je krásné, prakticky to stojí za hovno.
Teoreticky je krásné mít každé oddělení v jiné síti, ale prakticky to je hrozný vojeb!
No a když jsi sám na fabriku jako kráva, máš gigabitovou síť a broadcasty tě netrápí, jsi rád, že můžeš vzít switch a jebnout ho místo druhého.
Tak vím, že by bylo lepší tu síť rozdělit na menší celky, routovat to tam, nastavit tam nějaká pravidla a honit si péro u toho, jak je to krásný. Prakticky na to není čas a jsem rád, že mám oddělené WIFI ve výrobě, WIFI pro návštěvy, WIFI lokální a místní síť.
Na tomhle fóru se taky objevuje spousta teoretiků, kteří jsou schopni dát dokupy síť a tvrdit, že to je jednoduché, fajn, ale jsou ty lidi schopný přenastavit MOXA za pět minut, kdy stojí linka? Pak běžet a řešit posraný makro v Excelu? Zvednout se a jít přenastavit volby na ústředně?
Teoreticky je krásných hodně věcí, prakticky to bývá o kompromisech a cestě nejmenšího odporu.
Představ si, že jsme spolu v jedné místnosti, stojíme proti sobě a já ti řeknu: "Za deset vteřin ti dám pěstí a abys nedostal, takhle to vykryješ." Teoreticky víš, jak se krýt a víš, když to přijde.
Prakticky ti tou pěstí dám a ty budeš čumět jako debil.
Klidně si to můžeme vyzkoušet, názorně pochopíš rozdíl mezi teorií a praxí.
-
Pokud někomu ve firmě dojdou adresy v /24 a řeší to změnou masky tak je to nejspíše idiot. Nepřipadá mi dobrý nápad mít stovky zařízení v jednom subnetu, v jedné broadcastové doméně...
Tak vím, že by bylo lepší tu síť rozdělit na menší celky, routovat to tam, nastavit tam nějaká pravidla a honit si péro u toho, jak je to krásný. Prakticky na to není čas a jsem rád, že mám oddělené WIFI ve výrobě, WIFI pro návštěvy, WIFI lokální a místní síť.
Přesně máš pravdu, teorie a praxe je něco jiného.
Ono je taky k zamyšlení proč ty segmenty oddělovat. Hlavní důvod bude zabezpečení a zátěž sítě. A tady narážíme na problém, že by to taky chtělo oddělenou infrastrukturu. Když mám účetní oddělení které má být super zabezpečené a má jiný segment a já ho plácnu do switche k ostatnímu tak to nemá cenu. Když mám výrobní technologii kde se obávám nějakého rušení nebo něčeho tak zase potřebuji oddělené dráty. A když mám kamery kde chci zajistit jejich nedosažitelnost běžným uživatelem a nechci aby jejich streamování ovlivnilo výkon sítě tak zas potřebuji všechno zvlášt až do routeru. Ale oddělovat třeba tiskárny od počítačů je nesmysl který nedává smysl. Tak že ono nakonec to všechno srojí hrozný peníze a čas který nikdo nechce platit a přistupuje se ke kompromisům. Neříkám, že nejsou firmy co zaplatí cokoliv, ale v praxi většinou moc platit nechtěj.
Nedávno jsem něco podobného řešil a máme zvlášt účetní oddělení což je dobrý nápad kvůli bezpečnksti, zvlášt kamery pro vysokou zátěž sítě a pak celý zbytek sítě (počítače, technologie, tiskárny, docházku) v B s tim, že kde bylo potřeba něco oddělit tam se daly optické konvertory.
-
Podle mě když budeš v síti 10.0.0.0/8 tak si vlastně nepingneš na jakýklliv rozsah začínající 10 který bude mimo tvůj router - pro příklad když připojíš vpn klienta do sítě která začíná deset.cokoliv (třeba 10.9.8.0/24 a dáš ping na adresu 10.9.8.7 tak se bude adresa hledat v tvé síti kvůli masce 8 a počítač za vpn nebude dostupnej. Je to tak?
Není to tak. V tomto případě ping na adresu 10.9.8.7 půjde skrz VPN, při spuštěné VPN naopak budou nedostupné IP adresy 10.9.8.0/24 v lokální síti. Při routování totiž vyhrává nejdelší prefix sítě, takže 10.9.8.0/24 má větší prioritu než 10.0.0.0/8.