主页 / server / 问题 / 849712
Accepted
MadBoy
Asked: 2017-05-13 03:18:02 +0800 CST

大型网络子网的优缺点

  • 772

我们为用户、计算机和其他设备提供标准的 /24 子网。我们已经到了拥有更多用户并希望为不同类型的设备使用多个子网的地步。虽然这很容易实现,但在网络上拥有更多设备的其他方法之一是将网络简单地扩展到 /23 或 /22 掩码。

我从多个消息来源获悉,不鼓励使用更大的子网,因为广播和由此产生的其他问题/问题。我已经尝试为这些问题和问题找到合适的来源,但找不到一篇文章(也许我在 google 上那么糟糕)可以让我清楚地了解更大的子网、潜在问题的优缺点。虽然我知道较大的子网(例如 /16 左右)对于某些事情来说真的很糟糕,但我试图了解那些比标准网络(/23 或 /22)大一点的子网会有什么问题。我也知道拥有 VLAN 会带来额外的安全性提升,但是虽然我可以理解拥有 VLAN 的专业人士,但我找不到什么

当前的:

Address:   192.168.0.1           11000000.10101000.00000000 .00000001
Netmask:   255.255.255.0 = 24    11111111.11111111.11111111 .00000000
Wildcard:  0.0.0.255             00000000.00000000.00000000 .11111111
=>
Network:   192.168.0.0/24        11000000.10101000.00000000 .00000000 (Class C)
Broadcast: 192.168.0.255         11000000.10101000.00000000 .11111111
HostMin:   192.168.0.1           11000000.10101000.00000000 .00000001
HostMax:   192.168.0.254         11000000.10101000.00000000 .11111110
Hosts/Net: 254                   (Private Internet)

计划:

Address:   192.168.0.1           11000000.10101000.000000 00.00000001
Netmask:   255.255.252.0 = 22    11111111.11111111.111111 00.00000000
Wildcard:  0.0.3.255             00000000.00000000.000000 11.11111111
=>
Network:   192.168.0.0/22        11000000.10101000.000000 00.00000000 (Class C)
Broadcast: 192.168.3.255         11000000.10101000.000000 11.11111111
HostMin:   192.168.0.1           11000000.10101000.000000 00.00000001
HostMax:   192.168.3.254         11000000.10101000.000000 11.11111110
Hosts/Net: 1022                  (Private Internet)

如果有人花时间并对此进行了很好的概述,我将不胜感激。

networking

3 个回答

  1. 优点

    • 它很容易记住,我的意思是你可以添加 /16,所有的电脑、打印机、服务器都在同一个网络上
    • 成本更低,您无需路由器即可从一个网络路由到另一个网络
    • 如果您想添加更多设备,您将拥有一个庞大的 IP 池以供将来使用

    缺点

    • 安全性,如果您在大学等,您不想同时拥有教育和商业网络
    • 更混乱,有这么大的 IP 池你没有灵活的网络
    • 2
  2. Best Answer

    大型网络没有具体问题,它们可能正常工作。可能出现的问题与 IP 地址范围(L3)无关,而是与单个广播域(即 L2)内在线的主机数量有关。

    1. 在同一个网段中拥有192.168.0.0/24plus与拥有单个几乎没有区别(几乎 - 因为如果有人设置 IP 与默认网关冲突,在前一种情况下只破坏一半主机,而在后来破坏整个网络),192.168.1.0/24192.168.0.0/23

    2. “大播放量”的说法大多已经过时;任何单个主机都可以生成破坏整个冲突域的洪水(从历史上讲),除非被某种流量限制器(由许多交换机支持)阻止,而常规流量通常不会超过网络限制,

    3. 大的网络规模是另一个问题的症状,而不是问题本身:广播域太大

    大型 L2 网络会产生实际问题:

    1. 大量 MAC 地址可能会在某些交换机上溢出,
    2. 任何拓扑问题都会跨越整个网络(例如,单个环路可能会破坏整个 VLAN,除非在某些交换机上被环路检测阻止),
    3. 任何恶意 DHCP 服务器都可能干扰所有主机(除非阻止交换机上不受信任的 DHCP 服务器/端口),
    4. L2 段大通常意味着维护混乱,没有管理数据库或分配规则;在处理大量主机时最终需要这样做。

    所以,如果你问这样的问题,唯一的答案是:不,大型 L3 网络不是问题,但现在是在底层 L2 网络中引入 VLAN 的时候了

    • 2

  3. 您的网络是您的第一道防线。大型子网对家庭来说很有趣,但对于企业来说,我强烈建议不要这样做。如果您想保护您的环境,网络分段是必须的。

    似乎有一个新想法,即在第 7 层(应用程序协议)上保护您的网络就足够了,但是在第 2-6 层上完成了大量的通信/数据交换,这就是子网划分如此重要的原因。

    优点:

    • 大子网的唯一真正优势是,如果路由器出现故障,同一网络上的设备可以继续相互通信。另一方面,如果您的路由器出现故障,我认为这不会解决太多问题。
    • 更便宜的网络设备。

    缺点:

    • 广播风暴,所有设备不断与同一网络上的所有设备通信。
    • ARP 扫描/中毒,您可以找到并操纵该子网内的所有设备。
    • 您可以看到同一子网上的设备之间的大量通信,这可能包括带有公司/用户/设备信息的数据字符串。
    • 中间人,如果服务器在同一个子网中,您可以使用其 IP 广播您的设备,现在您是所有客户端与之通信的服务器。
    • DHCP 欺骗,把你自己的 DHCP 放在那里,你现在可以欺骗任何你想要的东西,域控制器,DNS 服务器等。
    • 恶意软件/勒索软件,大型子网 = 无病毒卡 您的公司可能是新闻中被勒索软件完全加密的下一个。
    • 黑客,喜欢大型子网。让它变得非常容易。示例:有人在家中单击网络钓鱼链接并运行应用程序,现在可以在其客户端上设置反向 tcp。第二天,他们在工作时连接到子网,现在子网中的所有设备都受到了威胁

    为什么要冒这些风险?IT 专业人员工作的一部分是网络设计,包括分段。通常,您按设备功能进行细分。例子:

    • 用户客户端。
    • 打印机。
    • 网络电话。
    • IT 客户。
    • 非军事区。
    • 后端。

    为什么?如果有一个打印机已知的 CVE,如果它与其他打印机位于同一子网中,那么现在一切都容易受到攻击,而不仅仅是打印机。我什至会将每个应用程序的前端和后端分割到它们自己的子网中,以使 Cyber​​attack 与我的其他基础设施隔离开来。

    大型子网对家庭来说很有趣,对企业来说非常危险,老实说,我发现 VLAN/分段比 1 个大型子网的混乱更容易记录和设置。

    • 2

相关问题