Dvě sítě a počítače v ní

[Bla]

Ahoj,

mám síť dejme tomu 10.100.100.0 s maskou C.
Došly mi IPv4 adresy a potřeboval bych buď přeadresovat nebo změnit masku alespoň na 255.255.252.0

Tedy v souladu s kalkulačkou: http://ip-kalkulacka.nmonitoring.com/?zmena=4&ip1=10&ip2=100&ip3=100&ip4=0&netmask=21&mask_bits=0&max_subnets=0&max_addresses=0

Adresa sítě:    10.100.100.0 / 22
Použitelné IP adresy:    10.100.100.1 - 10.100.103.254
Broadcast:    10.100.103.255

Tím bych měl v síti dost místa.

Na druhou stranu kolega tvrdí, že to je zbytečné, že můžu používat dvě promíchané sítě v rámci jedné budovy a jediného subnetu fyzické sítě, takže tiskány a servery mohou být v síti 10.100.100.0/C a třeba DHCP pool pro počítače v síti 10.100.101.0/C.

Pravda je, že jsem si už několikrát všiml, že například Widlím je občas jedno, jestli je počítač ve stejné síti nebo není, pokud je ARP požadavek vyřízen, tak to vesele funguje, nicméně ....

No, nechám se poučit. Díky.

[Reklama]

[Mirek Prýmek]

Můžeš, ale je to docela prasárna.

[Filip Jirsák]

Použít to klidně můžete, komunikace bude vypadat, jakoby to byly dvě fyzicky oddělené sítě - tj. komunikace mezi sítěmi půjde přes router. (Windows nebudou posílat ARP požadavek na IP adresu z jiné sítě. Nedává žádný smysl, aby - když chcete komunikovat třeba se serverem Google - Windows zkusily ARP do lokální sítě, čekali na timeout a teprve pak začaly komunikovat přes bránu.) Nevýhoda je jen v tom, že ty sítě nejsou oddělené z hlediska bezpečnosti, takže záškodník z jedné sítě může klidně posílat pakety počítači v druhé síti, i když by mu to pravidla na firewallu zakazovala (router snadno obejde). Pokud ty sítě chcete oddělit i z hlediska bezpečnosti, používají se switche s VLANy - pak se to chová, jako byste měl opravdu dvě fyzicky oddělené sítě.
Záleží tedy spíš na tom, jakou chcete mít infrastrukturu - pokud vše v jedné síti, jenom rozšiřte masku. Pokud chcete mít sítě oddělené, s tím, že třeba v budoucnosti uděláte ze sítě se servery demilitarizovanou zónu a dáte před ně společný firewall, zvolte variantu se dvěma nebo více sítěmi.
Jinak v síti 10.0.0.0/8 se můžete pořádně rozšoupnout, tam opravdu není potřeba troškařit s /24 nebo /22. Klidně si vyhraďte /24 pro servery, /24 pro tiskárny a /22 nebo /20 pro osobní počítače.

[pet]

Pravda je, že jsem si už několikrát všiml, že například Widlím je občas jedno, jestli je počítač ve stejné síti nebo není, pokud je ARP požadavek vyřízen, tak to vesele funguje, nicméně ....

To už jsem viděl taky (před rokem 2000), ale tehdy widle používaly IPX, pro IP to bylo neprostupné. A mám pocit, že widle mají stále kromě IP ještě nějaké jiné protokoly.

[Bla]

Ahoj, dík za rady, bezpečnost s tím nemá co dělat, naopak je potřeba, aby to všechno komunikovalo bez sebemenších problémů.
Je to pouze k vůli rozšíření adresního prostoru.
Osobně to také považuji za prasárnu.
Dále, síť uvnitř je gigová a takhle to všechno z jedné sítě do druhé pojede přes router a to přes jediné jeho rozhraní, což si myslím, že bude jak zdroj problémů, úzké hrdlo a single point of failure.

Mimo to, takhle to není voňavé řešení.

Díky.

[Reklama]

[Fantomas]

Můžeš, ale je to docela prasárna.

Neni, je to zcela bezne rozporcovani fyzicke site na logicke celky.

Pravda je, že jsem si už několikrát všiml, že například Widlím je občas jedno, jestli je počítač ve stejné síti nebo není, pokud je ARP požadavek vyřízen, tak to vesele funguje, nicméně ....

Neni, dokonce i ve widlich tohle funguje podle sitovych protokolu. Navic, co znamena ve stejne siti?

Dále, síť uvnitř je gigová a takhle to všechno z jedné sítě do druhé pojede přes router a to přes jediné jeho rozhraní, což si myslím, že bude jak zdroj problémů, úzké hrdlo a single point of failure.

Pokud mas privedenou do firmy jednu lajnu s jednou verejnou ip adresou, tak to stejne jinak nepujde. Zalezi jaky router pouzijes, co v nem nastavis a na rychlosti pripojeni.

[Mirek Prýmek]

Neni, je to zcela bezne rozporcovani fyzicke site na logicke celky.

Bez VLAN to moc rozporcovani neni Navic OP tim nechce resit rozporcovani, ale nedostatek adres. Coz je proste flikovani a ne poradne reseni, na tom trvam Ne vsechno, co funguje, je taky dobre a ciste reseni...

[Filip Jirsák]

Dále, síť uvnitř je gigová a takhle to všechno z jedné sítě do druhé pojede přes router a to přes jediné jeho rozhraní, což si myslím, že bude jak zdroj problémů, úzké hrdlo a single point of failure.

Pokud mas privedenou do firmy jednu lajnu s jednou verejnou ip adresou, tak to stejne jinak nepujde. Zalezi jaky router pouzijes, co v nem nastavis a na rychlosti pripojeni.

S linkou do internetu to nijak nesouvisí. Pokud bude mít dvě oddělené sítě, půjde každá komunikace libovolného klienta s libovolným serverem přes router. Takže pokud má router dvě gigové síťovky, k jedné budou připojeny servery a k druhé klienti, a čtyři klienti budou ze čtyř serverů tahat data, budou se muset o to gigo podělit a každý dostane jen 250 Mbit/s. Pokud to bude jedna síť, půjde to přes switch, a každý klient tak může mít svůj 1 Gbit/s (4 Gbit/s snad zvládne uswitchovat i ten nejlevnější switch s gigovými porty).

[M.]

Pokud je to možno, tak bych volil pro to upravit ty masky na těch /22, je to čistčí řešení (ale to raíd člověk, co má v proovzu i jendu síť, kde je použit jedne segment /19 a fyzicky pomocí MPLS rotahán přes několik kontinentů :-) ). Pokud je ovšem plánováno přechod na oddělené sítě a VLANy, tak použít rovnou ty dva segmenty a pak se časem dokope infrastruktura, aby to fungovalo správně odděleně.

U té konfigurace s dvěma prefixama na jednom segmentu jen pozor na to, aby to opravdu tam i zpět šlo správně přes router. Pokud něco šlo asymetricky (napřod win klient na router, rout to dá serveru a server to bude snažit se přímo klientu odpovědět), tak to řada personálních firewallů špatně nese a musí se upravovat, aby neblokovaly spojení. Al to rychle se objeví v logu bláboly typu podvržená MAC adresa nebo falešná brána atd. Potom i router by měl mít potlačeno posílání ICMP redirect, že kontaktuj přímo, může to klienty trochu mást.

Windowsům je dokonce úplně jedno, jakou IP má brána. Takže třeba počítače mají IPčko/masku v síti 10.0.0.0/24 a jako IP adresu brány přidělenu 192.168.1.1 a mibnimálně po Win XP to funguje OK, protože nad IP adresou brány nepřemýšlí, jen jipoužije pro ARP dotaz najakou MACku mí posílat vše mimo lokální síť. Stejně tam wokna odpovídala na MAC dotaz v podstat ěkomukoliv, pokud v dotazu byla jejich MAC adresa a neřešily, že tázající IP adresa patří do zcela jiné sítě.

[j]

Premaskuj to na Bcko ... a interne si to rozdel na Ccka. Splni to ucel dostatku Ipcek (pro PC vyhrat klidne Ccek nekolik) a zaroven nejakyho administrativniho rozdeleni (servery maj .10.x, tiskarny .30.x, ...). Maskovani na mensi casti sice teoreticky problem neni, ale prakticky stale muzes narazit. Specielne u zarizeni, ktery neni urceno k provozu na verejny siti.

[Dotaz]

Mam otazku ak to bude "B" siet tak zvysi zasielanie broadcastov na sieti ak by som to rozdelil do niekolkych "c" sieti napr pre tlačiarne ... tak znizim reziu siete. Nakoľko je táto úvaha správna?

[Filip Jirsák]

Linkové broadcasty se budou šířit v celé fyzické síti, o IP adresách nad linkovou vrstvou nic neví. IP broadcasty se budou šířit  v celé fyzické síti nebo VLANě.

[M.]

Tak nějak. jeslti na jednom L2 segmentu vytvoím vedle sebe několik sítí /24, nebo z tní udělám jednu /22, či dikonce rovou /16, tak na množství broadcastu to má minimální vliv. Bude to vždy dáno počtem zařízení, které v té síti fyzicky budou připojney a budou mít potřebu brodcast/multicast posílat.

[j]

Mam otazku ak to bude "B" siet tak zvysi zasielanie broadcastov na sieti ak by som to rozdelil do niekolkych "c" sieti napr pre tlačiarne ... tak znizim reziu siete. Nakoľko je táto úvaha správna?

Jak bylo receno, na fyzicky/linkovy vrstve si nepomuzes, pokud neudelas vlany nebo to fyzicky nerozdelis. Na IPvrsve to temer nic nepouziva a na gigovy siti to za normalnich okolnosti ... vubec nema smysl resit. Pokud ti pak neco/nekdo zacne do site hromadne posilat broadcasty .... nejspis mas problem tak jako tak a musis ho resit.

[nikdo]

Tak to chci videt jak ty slepeny Ccka budou fungovat v praxi, 500 hostu komunikuje na L2 navzajem a kazdy bcast zahlti vsechny. Poreferuj az to udelas. Jinak pokud jde o skalovatelnost, tak tam dej router a novy subnet.

Btw. dost bych se divil kdyby host ze subnetu /24 komunikoval s hostem /23, je to jina sit a ze ten /24 je soucasti /23 neznamena, ze komunikace bude probihat.

Funguje to asi takhle host se podiva na subnet s maskou a kdyz je ten druhy host ve stejnem subnetu vyzada si pres ARP jeho mac adresu a komunikuji po L2. Kdyz neni posila zasila ARP dotaz na mac adresu brany a pak komunikuje po L3.

Nekdo tu psal, ze se musi udelat VLANy, tak to taky fungovat nebude protoze VLAN=samostatny subnet a mezi 2ma VLANy musi byt router nebo L3 switch. To neni tak, ze si ty site odsegmentujes do VLAN a tim sice izolujes bcasty, ale muzes dal komunikovat s jinou VLAN.