Início / server / Perguntas / 849712
Accepted
MadBoy
Asked: 2017-05-13 03:18:02 +0800 CST

Prós e contras de sub-redes de rede maiores

  • 772

Temos sub-rede padrão /24 para usuários, computadores e outros dispositivos. Estamos chegando ao ponto em que temos mais usuários e queremos usar várias sub-redes para diferentes tipos de dispositivos. Embora isso seja simples de implementar, uma das outras maneiras de ter mais dispositivos na rede era simplesmente expandir a rede para a máscara /23 ou /22.

Ouvi de várias fontes que não é recomendável usar sub-redes maiores devido à transmissão e outros problemas/problemas que surgirão disso. Eu tentei encontrar uma fonte adequada para essas questões e problemas e não consegui encontrar um artigo (talvez eu seja tão ruim no google) que me dê uma clara vantagem e desvantagem para sub-redes maiores, problemas potenciais. Embora eu entenda que sub-redes maiores, como /16 ou mais, seriam muito ruins para algumas coisas, estou tentando entender o que seria tão problemático nessas redes um pouco maiores que o padrão (/23 ou /22). Também estou ciente de que ter VLANs dará aumentos de segurança adicionais, mas embora eu possa entender os prós de ter VLANs, não consigo encontrar o que '

Atual:

Address:   192.168.0.1           11000000.10101000.00000000 .00000001
Netmask:   255.255.255.0 = 24    11111111.11111111.11111111 .00000000
Wildcard:  0.0.0.255             00000000.00000000.00000000 .11111111
=>
Network:   192.168.0.0/24        11000000.10101000.00000000 .00000000 (Class C)
Broadcast: 192.168.0.255         11000000.10101000.00000000 .11111111
HostMin:   192.168.0.1           11000000.10101000.00000000 .00000001
HostMax:   192.168.0.254         11000000.10101000.00000000 .11111110
Hosts/Net: 254                   (Private Internet)

Planejado:

Address:   192.168.0.1           11000000.10101000.000000 00.00000001
Netmask:   255.255.252.0 = 22    11111111.11111111.111111 00.00000000
Wildcard:  0.0.3.255             00000000.00000000.000000 11.11111111
=>
Network:   192.168.0.0/22        11000000.10101000.000000 00.00000000 (Class C)
Broadcast: 192.168.3.255         11000000.10101000.000000 11.11111111
HostMin:   192.168.0.1           11000000.10101000.000000 00.00000001
HostMax:   192.168.3.254         11000000.10101000.000000 11.11111110
Hosts/Net: 1022                  (Private Internet)

Realmente apreciaria se alguém tomasse um tempo e realmente desse uma boa visão geral para isso.

networking

3 respostas

  1. Prós

    • É fácil de lembrar, quero dizer, você pode adicionar /16 e todos os computadores, impressoras e servidores estarão na mesma rede
    • Menos custo, você não precisará de roteadores para rotear de uma rede para outra
    • Você já terá um grande pool de IPs para o futuro se quiser adicionar mais dispositivos

    Contras

    • Segurança, se você estiver em uma faculdade, etc., não deseja ter uma rede educacional e de negócios juntos
    • Mais caos, para ter esses grandes pools de IP você não tem rede flexível
    • 2
  2. Best Answer

    Não há problemas específicos com redes maiores, elas podem funcionar corretamente. Os problemas que podem surgir não estão relacionados com os intervalos de endereços IP (L3), mas com o número de hosts que estão online em um único domínio de transmissão (ou seja, L2).

    1. Quase não há diferença entre ter 192.168.0.0/24plus 192.168.1.0/24no mesmo segmento de rede, do que ter single 192.168.0.0/23(quase - porque se alguém definir IP conflitante com o gateway padrão, no primeiro caso quebra apenas a metade dos hosts, enquanto no posterior quebra toda a rede),

    2. o argumento do "grande volume de transmissão" está desatualizado; qualquer host único pode gerar inundação quebrando todo o domínio de colisão (historicamente falando), a menos que seja bloqueado por algum tipo de limitador de tráfego (suportado por muitos switches), enquanto o tráfego regular geralmente não excederia os limites da rede,

    3. tamanho de rede grande é mais um sintoma de outro problema, do que problema em si: domínio de transmissão muito grande .

    A grande rede L2 cria problemas reais:

    1. um grande número de endereços MAC pode transbordar em alguns switches,
    2. qualquer problema de topologia abrangeria toda a rede (por exemplo, um único loop pode quebrar a VLAN inteira, a menos que seja bloqueado pela detecção de loop em algum switch),
    3. qualquer servidor DHCP não autorizado pode interferir em todos os hosts (a menos que bloqueie servidores/portas DHCP não confiáveis ​​em switches),
    4. um segmento L2 grande geralmente significa que há um caos na manutenção, sem banco de dados de gerenciamento ou regras de atribuição; que eventualmente são necessários ao lidar com um grande número de hosts.

    Portanto, se você está fazendo essa pergunta, a única resposta é: não, uma rede L3 grande não é um problema, mas é hora de introduzir VLANs na rede L2 subjacente .

    • 2

  3. Sua rede é sua primeira camada de defesa. Grandes sub-redes são divertidas para casa, mas para negócios eu desaconselho isso. A segmentação de rede é obrigatória se você deseja proteger seu ambiente.

    Parece haver essa nova ideia de que proteger sua rede na camada 7 (protocolos de aplicativos) é suficiente, mas muita comunicação/troca de dados é feita nas camadas 2-6, por isso a sub-rede é tão importante.

    Prós:

    • A única vantagem real de uma grande sub-rede é que os dispositivos na mesma rede podem continuar conversando entre si se o roteador falhar. Por outro lado, se o seu roteador falhar, acho que isso não resolverá muito.
    • Dispositivos de rede mais baratos.

    Contras:

    • Tempestades de transmissão, todos os dispositivos falam com todos os dispositivos na mesma rede constantemente.
    • Varredura/envenenamento ARP, você pode encontrar e manipular todos os dispositivos nessa sub-rede.
    • Você pode ver muita comunicação entre dispositivos na mesma sub-rede, isso pode incluir sequências de dados com informações da empresa/usuário/dispositivo.
    • Man in the Middle, se um servidor estiver na mesma sub-rede, você pode transmitir seu dispositivo com seu IP e agora você é o servidor com o qual todos os clientes conversam.
    • DHCP Spoofing, coloque seu próprio DHCP lá e agora você pode falsificar o que quiser, controladores de domínio, servidores DNS, etc.
    • Malware/Ransomware, grande sub-rede = placa livre de vírus sua empresa pode ser a próxima a ser noticiada totalmente criptografada por ransomware.
    • Hackers, adoram grandes sub-redes. Torna muito fácil. Exemplo: Alguém clicou em um link de phishing em casa e executou um aplicativo, o tcp reverso agora pode ser configurado em seu cliente. No dia seguinte, eles estão no trabalho conectados à sub-rede, agora todos os dispositivos da sub-rede estão comprometidos .

    Por que correr esses riscos? Parte do trabalho de um profissional de TI é o design de rede, incluindo segmentação. Normalmente você segmenta por função do dispositivo. Exemplo:

    • Clientes usuários.
    • Impressoras.
    • VoIP.
    • Clientes de TI.
    • DMZ.
    • Processo interno.

    Por quê? Se houver um CVE conhecido por uma impressora, se estiver na mesma sub-rede que o resto, agora tudo estará vulnerável, em vez de apenas as impressoras. Eu chegaria a segmentar cada front-end e back-end de aplicativo em suas próprias sub-redes para manter um ataque cibernético isolado do restante da minha infraestrutura.

    Grande diversão de sub-rede para casa, muito arriscado para os negócios e, para ser honesto, acho VLANs/segmentação mais fáceis de documentar e configurar do que ter o caos de 1 sub-rede grande.

    • 2

relate perguntas