Pull to refresh

Comments 23

>>мы экономно создали 4 подсети
Нет. Два адреса зря потратили. До 3021 похоже еще не добрались.
Вы про то, что для подсети маршрутизаторов, можно было брать /31 маску?
Очень хороший комментарий. Все дело в том, что не все вендоры поддерживают RFC3021, в котором и описано применение данной маски. Например, у меня дома стоит Zyxel и он не поддерживает маску /31. Даже на официальном сайте Zyxel, они написали по этому поводу. Привожу ссылку. Поэтому, если в сети применяется оборудование разных вендоров, то для соединения двух точек, лучше применять маску /30.
Честно говоря, сто лет их оборудование не встречал в дикой природе (не считая домашних устройств). Так вроде уже давно проблем не было на нормальном оборудовании с /31. В нынешних условиях /30 на point-to-point слишком накладно тратить. :(
Но ведь RFC3021 применим только для point-to-point линков. А на коммутаторе Zyxel, как мне кажется, таких технологий нет. Там только обычный Ethernet.
Был не прав. Некоторые вендоры (в частности Cisco) поддерживают маску /31 и для Ethernet интерфейсов.
Если коммутатор третьего уровня, то почему бы и нет?
Друзья, вопрос от «неосведомленного»: а зачем вообще делить на подсети? Речь про изоляцию, что бы я не могу работать с устройствами не из моей сети?
Какие плюшки дает деление(в локальных сетях), чем плохо дать маршрутизаторам ip-адреса с маской как у всех? Без обид, если задел делитантностью вопроса ;)
Приведу свой пример.

Мне провайдер выдал сеть на 256 адресов ( с маской /24 или 255,255,255,0 )

После моего маршрутизатора я имею несколько разных задач.
1) Свою небольшую сеть на на 20-30 хостов
2) Сеть товарища на 10-15 хостов
3) Сеть нескольких организаций у каждой от 5 до 30.

И каждый их них хочет иметь свой IP, сам назначать их устройсвам.

Вот пришлось мне свою подсеть на 256 адресов разделить на несколько поменьше и каждому раздать свою подсеть. И теперь каждых из моего списка имеет свои настройки

Вначале у меня было
1,2,3,0 / 24
А теперь

1.2.3.0 / 28
и т.д.

0-15, 16-31, 32-47, 48-63, 64-79, 80-95, 96-111, 112-127,
128-143, 144-159, 160-175, 176-191, 192-207, 208-223, 224-239, 240-255
Оконечные сетевые устройства (раб.станции, серверы) могут подключаться к хабам (устарело и неактуально), к свичам или к роутерам. Хабы, свичи и роутеры могут соединяться друг с другом в разных (почти произвольных) комбинациях. При этом они создают разную степень изолированности:
— хаб изолирует от физических поломок (и то не всех) — этим он лучше коаксиального кабеля (ещё более устарело);
— свич изолирует ещё и от лишнего трафика — пакеты обычно доставляются только туда, куда должны;
— свич с VLAN и/или STP — это отдельная тема, я тут её не рассматриваю;
— роутер изолирует ещё и от броадкастов (например, ARP).

Разделив сеть хабами и свичами, я получаю однородную сеть: у всех машин д.б. одинаковые номер сети и маска (можно сделать не так — но только если есть причины это делать и если есть понимание, как оно будет работать). Главная проблема — при некорректном назначении двум компьютерам одного адреса случится ARP-конфликт; особенно тяжко, если компьютеры администрируются разными людьми (как вариант — юзеры сами настраивают свои компы).
Особенно важно ставить роутер между разными организациями — соединять напрямую локальные сети категорически не рекомендуется.

Разделив сеть роутерами, я должен выделить каждому сегменту (внутри которого м.б. свичи и хабы) своё номер сети и маску. Роутер изолирует броадкасты, и если двум компам назначили один IP-адрес — то как минимум один из них находится в не той сети; ARP-конфликта не будет, а комп с несоответствующим IP-адресом сделает хуже только себе.

Кроме того, роутеры прозволяют (и даже одобряют) создание топологических колец — нескольких путей, соединяющих клиента с сервером. Если на роутерах запустить динамическую маршрутизацию — то роутеры сами выберут оптимальный маршрут доставки пакетов, а при обрыве кабеля сами переключат маршрут на самый лучший из оставшихся путей.

И наконец, роутеры существенно затрудняют MitM-атаку на базе ARP-poisoning: атаковать таким образом может только тот, кто находится в одном сегменте на пути пакетов.

Роутеры также применяют при соединение разнородных сетей — например, Ethernet, Arcnet, TokenRing, модемных соединений. Всяческие VPN-соединения тоже требуют маршрутизации, хотя она обычно настраивается не на выделенном роутере, а на компе юзера.

И наконец, функции фильтрации трафика (FireWall) работают именно на роутерах.

PS: Это я ответил очень кратко и не всегда математически чётко. Дальше смотрите по ключевым словам.
Просто так удобнее.
Вот Вы, к примеру — имеете сеть в своём офисе и рулите ею, не согласуясь особенно ни с кем — и никому при этом не мешая,
Это и есть подсеть в её «физическом» понимании.
И эту особенность надо как-то отразить в «логическом» смысле.
Обусловлено многими особенностями, начиная с технической стороны — больше лишнего трафика (arp запросов, бродкастов итд), заканчивая аминистративной — сегментация, возможность разделить сеть на различные типы сервисов, безопасность — контроль трафика между сегментами, сюда же можно отнести более легкую миграцию сегмента сети в другое место
Это самый понятный материал по самой непонятной мне теме.
Пойду распечатаю и повешу на стену.
Очень хорошие статьи. Жаль что так редко выходят. 4 статьи взахлеб читал.
Спасибо вам большое) Пришла недавно такая идейка, про то как изучить принципы работы сетей. И туту вы побликуете свои статьи, где разжеванно все очень удобно и понятно) Большое спасибо Вам! Удачи и дальнейщих успехов)
«Десятичный адрес» — на самом деле запись десятичных значений для четырёх байтов (ой, простите, октетов — но я не настоящий сварщик) ip-адреса. Именно по этому они разделяются точками.
На самом деле адрес ipv4 является 32-битным числом, и никаких точек в «в нём самом» не существует — соответственно, отсутствует необходимость ставить точки в двоичной записи адреса (а вот какой бит идёт в сеть первым — я, кажется, до сих пор не знаю.)
В ipv6 принята шестнадцатиричная форма записи адреса — и, соответственно, можно было бы вообще отказаться от разделителей — но там октетов-байт настолько дофига, что…
Все верно. Точки я ставил только в учебных целях, чтобы показать границы. А так да, это сплошной поток. В ipv6 используются хекстеты.

У меня слегка отвлечённый вопрос, но как раз на тему подсетей. Кто-нибудь знает хороший алгоритм для разложения произвольного диапазона IP-адресов на минимально достаточный набор подсетей? Т.е. на такой, который бы с одной стороны закрывал весь диапазон, а с другой — не покрывал бы ни одного лишнего адреса.

У автора Одом У. «Cisco. CCENT,CCNA. ICND1 100-101 — 2015» всё расписано куда проще и приведены запоминающиеся алгоритмы упрощенного расчета.
Без обид, автор.
Серия твоих статей мне в целом нравится, но данная понятна для начинающих (хотя и не везде), а при расчетах такой подход будет только утомлять.
Хорошо лишь для понимания как все устроено, и то у Одома проще, имхо.
Огромнейшее спасибо за этот материал. Все никак не мог разобраться с масками, а после Вашего материала просто как озарение нашло!
После этого задачки прорешались на ура. Прям чувствую как, где то рядом прозвучало «ачивка получена» )
Only those users with full accounts are able to leave comments. Log in, please.