Subnetting su indirizzi privati.

[gabmar]

Salve a tutti.

Ho da farvi una domanda derivante dalla mia ignoranza caprina.

Ho ben compreso il senso del subnetting se applicato ad un indirizzo di rete di classe A,B,C (quelli assegnati dallo IANA, non quelli privati riservati)

Non ho ben capito, però, perchè molti fanno subnetting su indirizzi privati, cioè prendono ...che ne so ...una 192.168.0.0 e la subnettano.

Ma se ho due sottoreti, una trust e una dmz per esempio, non potrei banalmente utilizzare due reti di classe C private....192.168.0.0 e 192.168.1.0 ? E se ho più di 200 host in una rete (cosa non molto performante mi pare di capire) non porei utilizzare due indirizzi privati di classe B?

Grazie e perdonate l'ignoranza.

[Didoz]

Quote:

Originariamente inviato da gabmar

Salve a tutti.

Ho da farvi una domanda derivante dalla mia ignoranza caprina.

Ho ben compreso il senso del subnetting se applicato ad un indirizzo di rete di classe A,B,C (quelli assegnati dallo IANA, non quelli privati riservati)

Non ho ben capito, però, perchè molti fanno subnetting su indirizzi privati, cioè prendono ...che ne so ...una 192.168.0.0 e la subnettano.

Ma se ho due sottoreti, una trust e una dmz per esempio, non potrei banalmente utilizzare due reti di classe C private....192.168.0.0 e 192.168.1.0 ? E se ho più di 200 host in una rete (cosa non molto performante mi pare di capire) non porei utilizzare due indirizzi privati di classe B?

Grazie e perdonate l'ignoranza.

Ciao,

provo a rispondere alla tua domanda.

Il subnetting degli indirizzi ip privati, in determinati ambienti, è fondamentale.

In genere questa tecnica viene utilizzata per razionalizzare lo spazio di indirizzamento in funzione del design di rete e destinazione d'uso della stessa.

Non solo, spesso per questioni di sicurezza è obbligatorio subnettare e associare a ciascuna subnet una vlan distinta .

I vantaggi non si limitano unicamente alla sicurezza, design e razionalizzazione ma si estendono anche alla maggiore elasticità durante le fasi di troubleshooting.

In ambienti piccoli, talvolta anche medio-piccoli, mi è capitato di vedere situazioni in cui veniva utilizzare una singola subnet. Questo approccio può anche funzionare correttamente, i problemi cominciano quando vuoi scalare verso l'alto e magari espandere la rete con altre postazioni o servizi supplementari ( voip , virtualizzazione, ecc ).



Grazie

[gabmar]

Quote:

Originariamente inviato da Didoz

Ciao,

provo a rispondere alla tua domanda.

Il subnetting degli indirizzi ip privati, in determinati ambienti, è fondamentale.

In genere questa tecnica viene utilizzata per razionalizzare lo spazio di indirizzamento in funzione del design di rete e destinazione d'uso della stessa.

Non solo, spesso per questioni di sicurezza è obbligatorio subnettare e associare a ciascuna subnet una vlan distinta .

I vantaggi non si limitano unicamente alla sicurezza, design e razionalizzazione ma si estendono anche alla maggiore elasticità durante le fasi di troubleshooting.

In ambienti piccoli, talvolta anche medio-piccoli, mi è capitato di vedere situazioni in cui veniva utilizzare una singola subnet. Questo approccio può anche funzionare correttamente, i problemi cominciano quando vuoi scalare verso l'alto e magari espandere la rete con altre postazioni o servizi supplementari ( voip , virtualizzazione, ecc ).



Grazie

Sei stato chiaro, utilizzato per più comoda gestione .... ma continuo ad avere dei dubbi....
Immagina di avere tre piani....invcece di subnettare un indirizzo privato....non potrei semplicemente utilizzare
diversi indirizzi di rete privata per diverse destinazioni d'uso? NON voglio utilizzare una sola subnet!

192.168.0.0 Piano Terra
192.168.1.0 Primo Piano
192.168.2.0 Secondo Piano
192.168.3.0 host che si connettono da una VPN.
192.168.4.0 DMZ

Con subnet di default 255.255.255.0
??

O alternativamente, se ho necessità di tanti host,

172.16.0.0 Primo Piano
172.17.0.0 Secondo Piano
172.18.0.0 Terzo piano
172.19.0.0 host che si connettono da una VPN.
172.20.0.0 DMZ

con subnet di default 255.255.0.0

a che serve subnettare visto che ho diversi indirizzi di rete privati "gratis"?

[Didoz]

Quote:

Originariamente inviato da gabmar

Sei stato chiaro, utilizzato per più comoda gestione .... ma continuo ad avere dei dubbi....
Immagina di avere tre piani....invcece di subnettare un indirizzo privato....non potrei semplicemente utilizzare
diversi indirizzi di rete privata per diverse destinazioni d'uso? NON voglio utilizzare una sola subnet!

192.168.0.0 Piano Terra
192.168.1.0 Primo Piano
192.168.2.0 Secondo Piano
192.168.3.0 host che si connettono da una VPN.
192.168.4.0 DMZ

Con subnet di default 255.255.255.0
??

O alternativamente, se ho necessità di tanti host,

172.16.0.0 Primo Piano
172.17.0.0 Secondo Piano
172.18.0.0 Terzo piano
172.19.0.0 host che si connettono da una VPN.
172.20.0.0 DMZ

con subnet di default 255.255.0.0

a che serve subnettare visto che ho diversi indirizzi di rete privati "gratis"?

Ciao,

certamente , puoi farlo, non esiste alcun divieto specifico.

Eventualmente potresti subnettare ulteriormente per ottimizzare ma sei libero di gestire la rete come meglio preferisci.

[gabmar]

Quote:

Originariamente inviato da Didoz

Ciao,

certamente , puoi farlo, non esiste alcun divieto specifico.

Eventualmente potresti subnettare ulteriormente per ottimizzare ma sei libero di gestire la rete come meglio preferisci.

Ok, grazie!

Credo che anche a livello prestazionale sia ok...sicuramente meglio che mettere tutto sotto un unico dominio di broadcast

[Didoz]

Quote:

Originariamente inviato da gabmar

Ok, grazie!

Credo che anche a livello prestazionale sia ok...sicuramente meglio che mettere tutto sotto un unico dominio di broadcast

Ciao,

tieni presente che se non implementi le vlan, anche se i sistemi stanno su reti distinte ma sul medesimo dominio di broadcast, riceveranno comunque traffico di broadcast da parte anche delle altre macchine.

Ovviamente verrà droppato dalla stazione ricevente ma verranno comunque impiegate risorse fino al livello 3 della iso/osi.

[gabmar]

Quote:

Originariamente inviato da Didoz

Ciao,

tieni presente che se non implementi le vlan, anche se i sistemi stanno su reti distinte ma sul medesimo dominio di broadcast, riceveranno comunque traffico di broadcast da parte anche delle altre macchine.

Ovviamente verrà droppato dalla stazione ricevente ma verranno comunque impiegate risorse fino al livello 3 della iso/osi.

Beh certo, nella mia ipotesi le reti sono interconnesse da router, su due interfacce di rete diverse, quindi sono su due domini di broadcast diversi....perchè c'è qualcuno che collega due reti/sottoreti su un unico dominio?

[stepvr]

Quote:

Originariamente inviato da gabmar

172.16.0.0 Primo Piano
172.17.0.0 Secondo Piano
172.18.0.0 Terzo piano
172.19.0.0 host che si connettono da una VPN.
172.20.0.0 DMZ

con subnet di default 255.255.0.0
a che serve subnettare visto che ho diversi indirizzi di rete privati "gratis"?

Naaa ... con quella network mask non vai da nessuna parte. Correggi.

[banzo]

Quote:

Originariamente inviato da gabmar

Sei stato chiaro, utilizzato per più comoda gestione .... ma continuo ad avere dei dubbi....
Immagina di avere tre piani....invcece di subnettare un indirizzo privato....non potrei semplicemente utilizzare
diversi indirizzi di rete privata per diverse destinazioni d'uso? NON voglio utilizzare una sola subnet!

192.168.0.0 Piano Terra
192.168.1.0 Primo Piano
192.168.2.0 Secondo Piano
192.168.3.0 host che si connettono da una VPN.
192.168.4.0 DMZ

Con subnet di default 255.255.255.0
??

O alternativamente, se ho necessità di tanti host,

172.16.0.0 Primo Piano
172.17.0.0 Secondo Piano
172.18.0.0 Terzo piano
172.19.0.0 host che si connettono da una VPN.
172.20.0.0 DMZ

con subnet di default 255.255.0.0

a che serve subnettare visto che ho diversi indirizzi di rete privati "gratis"?

personalmente per casa mia ho scelto un falso subnetting.
mi spiego: ho scelto una classe 10 ed ho fatto cosi':
10.100.0.0 firewall/access point
10.100.1.0 server
10.100.2.0 client
10.100.3.0 wifi
10.100.4.0 vm

sono su una /16 però, tutti possono comunicare con tutti facendo parte della stessa rete
255.255.0.0

tutto gestito da un unico dhcp

[Didoz]

Quote:

Originariamente inviato da stepvr

Naaa ... con quella network mask non vai da nessuna parte. Correggi.

Ciao,

che subnet mask occorre utilizzare a tuo parere ?

grazie

[banzo]

Quote:

Originariamente inviato da Didoz

Ciao,

che subnet mask occorre utilizzare a tuo parere ?

grazie

per essere coerente con il tuo ragionamento di cui sopra una /24 o volgarmente 255.255.255.0

[stepvr]

Quote:

Originariamente inviato da Didoz

Ciao, che subnet mask occorre utilizzare a tuo parere ? grazie

Sulle reti office 172.16.x.x --> 172.31.x.x il network mask corretto è: 255.240.0.0 o /12.

[banzo]

Quote:

Originariamente inviato da stepvr

Sulle reti office 172.16.x.x --> 172.31.x.x il network mask corretto è: 255.240.0.0 o /12.

non ho capito il tuo post, non stiamo parlando di subnet?

[stepvr]

Certo che sì, ma una sottorete usando il network 172.16.x.x --> 172.31.x.x parte dal mask /12 e non da /16.
/12 indica un monoblocco di IP molto più ampio.

pongo questo quesito:

rete 1: 172.19.x.x/16
rete 2: 172.20.x.x/16

Ammettiamo che il gateway sia sulla rete 172.23.x.x. Come imposto il mask del gateway affinché entrambe le reti lo possano usare?

[Didoz]

Quote:

Originariamente inviato da stepvr

Certo che sì, ma una sottorete usando il network 172.16.x.x --> 172.31.x.x parte dal mask /12 e non da una /16.
/12 indica un monoblocco di IP molto più ampio.

pongo questo quesito:

rete 1: 172.19.x.x/16
rete 2: 172.20.x.x/16

Come imposto il gateway affinché entrambe le reti lo possano usare?

Ciao,
scusa, la mia è solo curiosità, non fraintendere.

Per quale ragione dovresti utilizzare questo genere di configurazione ?

Solitamente le interface dei router risiedono su subnet distinte, poi sarà il router ( in base ovviamente alla config ) a gestire il traffico tra le due reti.

Grazie

[stepvr]

Proprio perché semplifichi la configurazione del/dei router se ci sono.

La mia osservazione era riferita all'esempio sopra:
172.16.0.0 Primo Piano
172.17.0.0 Secondo Piano
172.18.0.0 Terzo piano
172.19.0.0 host che si connettono da una VPN.
172.20.0.0 DMZ

Servono router?
Se usi /16 le reti non si vedono, possono avere gateway comune usando /12 e non servono router
Se usi /12 le reti si vedono, possono avere gateway comune usando /12 e non servono router

Grosso modo diciamo le stesse cose con qualche dettaglio in più.

[Didoz]

Quote:

Originariamente inviato da stepvr

Proprio perché semplifichi la configurazione del/dei router se ci sono.

La mia osservazione era riferita all'esempio sopra:
172.16.0.0 Primo Piano
172.17.0.0 Secondo Piano
172.18.0.0 Terzo piano
172.19.0.0 host che si connettono da una VPN.
172.20.0.0 DMZ

Servono router?
Se usi /16 le reti non si vedono, possono avere gateway comune usando /12 e non servono router
Se usi /12 le reti si vedono, possono avere gateway comune usando /12 e non servono router

Grosso modo diciamo le stesse cose con qualche dettaglio in più.

Ok,

grazie per il chiarimento, ha perfettamente senso.

Effettivamente dipende da "cosa vuoi fare" e da come imposti il design della tua rete.

[banzo]

Quote:

Originariamente inviato da stepvr

Certo che sì, ma una sottorete usando il network 172.16.x.x --> 172.31.x.x parte dal mask /12 e non da /16.
/12 indica un monoblocco di IP molto più ampio.

pongo questo quesito:

rete 1: 172.19.x.x/16
rete 2: 172.20.x.x/16

Ammettiamo che il gateway sia sulla rete 172.23.x.x. Come imposto il mask del gateway affinché entrambe le reti lo possano usare?

a. se fai un /16 subnetti quindi puoi tranquillamente usare anche la 172.xx
b. non puoi avere il gw sulla 172.23, le altre due reti sono su due net diverse, per farle comunicare fra di loro servono regole di routing

[stepvr]

Quote:

Originariamente inviato da banzo

a. se fai un /16 subnetti quindi puoi tranquillamente usare anche la 172.xx

Se usi 172.23.x.x/16 sul gateway le 2 reti non possono usare quel gateway nemmeno se imposti regole di routing. Sono 3 network, o sottoreti, diversi e tra loro non si parlano. Serve che il gateway supporti gli IP Alias oppure in mezzo ci vogliono router o degli switch level 3.

Quote:

Originariamente inviato da banzo

b. non puoi avere il gw sulla 172.23, le altre due reti sono su due net diverse, per farle comunicare fra di loro servono regole di routing

Se usi 172.23.x.x/12 sul gateway le 2 reti possono usare il gateway direttamente senza alcuna regola aggiuntiva

[banzo]

Quote:

Originariamente inviato da stepvr

Se usi 172.23.x.x/16 sul gateway le 2 reti non possono usare quel gateway nemmeno se imposti regole di routing. Sono 3 network, o sottoreti, diversi e tra loro non si parlano. Serve che il gateway supporti gli IP Alias oppure in mezzo ci vogliono router o degli switch level 3.


Se usi 172.23.x.x/12 sul gateway le 2 reti possono usare il gateway direttamente senza alcuna regola aggiuntiva

per il primo punto se ho un fw con tre interfacce dovrei fare routing senza problemi e generalmente i fw hanno molte interfacce che collegano più reti

per il secondo punto credo che basti una netmask /13
HostMin: 172.16.0.1
HostMax: 172.23.255.254