Subneting Why?

[habarbash]

ב"ה

היי, אני לומד כרגע על Network+, ובדיוק סיימתי את הפרקים שעוסקים ב Subnetting, אבל דבר בסיסי לא בדיוק הבנתי למה לי לבצע את זה, אם ראוטר יכול לקשר שתי רשתות נפרדות אז אני יכול למשל לחבר ביציאה אחת של הראוטר רשת 192.168.5.0 וביציאה השניה 172.10.6.0 , וזה עדיין אמור לעבוד.

לכן אני מחפש תשובות לשאלות הבאות:

1. אני מחפש סיבה טובה למה לבצע Subnetting, ז"א אם יש איזה דוגמה.

2. רואטר כבר שובר את הודעת הBroadcast , אז מה זה משנה אם הרשת היא אותה אחת לוגית או לא?

כפי ששמים לב השאלות בעצם דיי דומות ובאות ממקור אחד וזה שלא הבנתי את ההקשר בין הראוטר לבין Subnetting .

תודה רבה.

[ירח אפל]

נניח שקנית 256 כתובות (רשת קלאס C לצורך העניין)

אבל יש לך עסק עם 3 סניפים ובכל סניף 10 מחשבים.

איך תיתן להם כתובות אמיתיות בלי subnetting?

[RLM]

סיבה נוספת - ואולי גם יותר ריאלית ושימושית, היא האפשרות לביצוע summarization של רשתות,

מה שברשתות גדולות מקטין מאוד את טבלת הניתוב ומקל מאוד על ביצוע הניתוב עצמו.

ליותר פרטים חפש מידע בגוגל, מה שבגדול זה אומר, זה שאם הרשת בנויה בצורה היררכית נכונה,

כל ראוטר מפרסם את כל הרשתות שתחתיו ע"י רשומת ניתוב אחת.

משמע אם יושבות תחתיו 2 רשתות - אחת 192.168.1.0/26 והשניה 192.168.1.63/26.

לראוטר הבא ברשת הוא צריך לפרסם רק את השורה 192.168.1.0/24, וזה בעצם יפנה את כל התעבורה הדרושה אליו.

בניגוד למצב בו מוגדרות תחתיו שני רשתות בpools שונים לחלוטין, ואז הוא חייב לפרסם שתי רשומות.

הדבר מקטין גם את המידע העובר בזמן העדכונים של טבלאות הניתוב,

וגם מקטין את הזמן שלוקח לראוטרים לבצע חיפוש בטבלאות הניתוב (פעולה שמתרחשת המון פעמים בשניה - וכל קיצור כאן, מייעל את עבודת הראוטר)

[habarbash]

נניח שקנית 256 כתובות (רשת קלאס C לצורך העניין)

אבל יש לך עסק עם 3 סניפים ובכל סניף 10 מחשבים.

איך תיתן להם כתובות אמיתיות בלי subnetting?

קצרה דעתי, אתה יכול להרחיב את הדוגמא הזאת?

אוסיף עוד שאלה, האם לראוטר אני יכול לחבר שתי רשתות שונות ( לא Subnets ), נניח Class A ו C ?

תודה רבה.

[multicore]

מה שהוא מדבר הוא רשתות שהן classless.

נתב בדיוק מיועד לחבר בין רשתות שונות וגם לעבוד עם פרוטוקולים שונים.

[Mentally ill]

למה? יש המון סיבות..

הראשונה לדעתי, היא אבטחה.

לדוגמא, דמיין לעצמך כיתה, עם 10 כיסאות ו-9 ילדים, אם יתגנב עוד ילד פנימה ויתיישב בכיסא, הוא יהיה חלק מהכיתה נכון? ואם אוציא את הכיסא הנותר?

אף אחד לא יוכל להכנס לכיתה.

בדיוק אותו הדבר subnetting,

רצית דוגמא?

רשת עם 13 19 ו-54 משתמשים על כתובת רשת מסויימת (ניקח 192.168.1.0)

בהנחת יסוד שלך אפשר לקחת את הכתובת הזאת ולהשתמש בה בצורה הבאה

192.168.1.0 = רשת עם 13 משתמשים

192.168.2.0 = רשת עם 19 משתמשים

192.168.3.0 = רשת עם 54 משתמשים

תחשוב כמה loss יש לך, 255 בכל רשת פחות כמות המשתמשים באותה רשת... המון ביזבוז וסיכוי לפריצות גדול יותר.

עכשיו ניקח את הרשת ונסדר אותה באופן עדיף

192.168.1.0-63 (255.255.255.192) רשת עם 54 משתמשים

192.162.1.64-95 (255.255.255.224) רשת עם 19 משתמשים

192.168.96-111 (255.255.255.240) רשת עם 13 משתמשים

תחשוב שברשתות בclass b ו-class a המשוואה משתנה משמעותית.

בנוסף,

כפי ש RLM אמר, summry, ברגע שתפרסם ב-Core למשל, ניתוב כוזב אתה יכול בטעות להרוס תקשורת בין המון מקומות..

עוד סיבה?

הפרדה לוגית בין רשתות ,

רשת למשל ללא ראוטר ואתה רוצה להפריד אותה (עזוב לרגע VLAN).

היררכיה נכונה לרשת ועוד המון סיבות כאלו ואחרות..

מקווה שבהרנו את הנקודה,

יום נעים ידידי.

[shlomi6]

בעבר שאלתי בפורום הזה שאלה בנוגע לרשת של מצלמות אבטחה, והדיון הזה נוגע בדיוק בנושא ששאלתי אז.

לאחר עזרה מחברי הפורום ועקב מגבלות של שימוש בחומרה הקיימת בשטח, פתרתי את הבעיה על ידי תצורת רשת כזו:

192.168.1.0 = רשת עם 13 משתמשים

192.168.2.0 = רשת עם 19 משתמשים

192.168.3.0 = רשת עם 54 משתמשים

אני מבין שהפתרון הבא הוא יותר נכון:

192.168.1.0-63 (255.255.255.192) רשת עם 54 משתמשים

192.162.1.64-95 (255.255.255.224) רשת עם 19 משתמשים

192.168.96-111 (255.255.255.240) רשת עם 13 משתמשים

השאלה היא האם ניתן ליצור את הפתרון השני בנתב סטנדרטי, או שצריך נתב מיוחד או שבכלל צריך שרת.

[Mentally ill]

כאשר אתה מנתב סטטי (אין לי כ'כ מושג לגביי ניתוב סטטי אל יוזר ספציפי אחד.. פה זה כבר שלב של ACL אם אינני טועה) אתה מנתב לכתובת אב.

ז"א שאם אתה רוצה לקבל ניתוב סטטי לתוך הרשת עם 19 משתמשים למשל אתה תנתב אותו ל-192.168.1.64 לכתובת אב עצמה.

תהיה ספציפי יותר בשאלה ומה ביקשת, אנסה לעזור.

[dotcom1]

למה? יש המון סיבות..

הראשונה לדעתי, היא אבטחה.

לדוגמא, דמיין לעצמך כיתה, עם 10 כיסאות ו-9 ילדים, אם יתגנב עוד ילד פנימה ויתיישב בכיסא, הוא יהיה חלק מהכיתה נכון? ואם אוציא את הכיסא הנותר?

אף אחד לא יוכל להכנס לכיתה.

ומה אם אני אגנוב לילד כסא בזמן שהוא לא יושב עליו והמבין יבין.......

SUBNETING לא משמש בשום אופן לאבטחה נקודה.

[Nizar]

אין שום קשר בין אבטחה ל- Subnetting.

Subnetting נוצר לפני ה- NAT (כתובות פרטיות). כיום כל ארגון מקבל כתובת שכורה\אמיתית אחת, מה שביטל ברמה משמעותית את החשיבות של Subnetting.

עדיין - בתוך ארגונים גדולים רבים משתמשים ל- Subnetting כדי לחלק ל- Broadcast Domains נפרדים קטנים יותר. אין צורך ששאילתת ARP או בקשת DHCP שלי תגיע לכל הרשת. בין הרשתות הלוגיות משתמשים בנתב, או באופן אידאלי ב- Switch Layer 3 שיושב יותר נמוך בהיררכיה.

יותר חשוב מביצועים ונוחיות אדמניסטרטיבית, עם זאת, זה חסכון בכתובות IP. תחשוב על זה ככה - כשמחליטים על תקציב של חברה גדולה - מחליטים איך לחלק את התקציב למחלקות השונות. יותר מזה, מחליטים כמה כל מחלקה תקבל. אם מבצעים את החלוקה עצמה בצורה יעילה, חוסכים כסף. כסף שחסכת זה כסף שהרווחת.

אותו דבר עם כתובות IP. הארגונים שהם בעלי הכתובות (IANA וה- RIRs האזוריים) צריכים לחלק בלוקים של כתובות ל- ISPs ברחבי העולם. ככל שהחלוקה תהיה יעילה יותר, יחסכו וירויחו יותר כתובות IP. עובדה זו חשובה מכיוון שכתובות IP זהו משאב שבאמת צפוי לאזול עוד כשנתיים (למרות שנתון זה כל הזמן משתנה). אם לא היה לנו פתרונות למצוקת כתובות ה- IP (כגון Subnetting, NAT, אף DHCP ברמה מסוימת) היו נגמרות לנו הכתובות מזמן והיינו מוכרחים לעבור ל- IPv6 מוקדם יותר.

IPv6 הוא פתרון מצוין, אבל מנהלי רשת מפחדים ממנו. ההבנה של IPv4 היא מצוינת בשוק. IPv6 פחות. יותר מזה, פחות נוח לעבוד עם IPv6 מכיוון שבצורה הפשוטה ביותר - קשה לבטא את הכתובות הללו. תנסה לדבר עם איש צוות שלך בטלפון ולהגיד לו שיש בעית קישוריות עם 2001:AAAA:BBBB:CCCC:1234:5678:9102 - לא נוח במיוחד

[ariebel]

כאשר אתה מנתב סטטי (אין לי כ'כ מושג לגביי ניתוב סטטי אל יוזר ספציפי אחד.. פה זה כבר שלב של ACL אם אינני טועה) אתה מנתב לכתובת אב.

ז"א שאם אתה רוצה לקבל ניתוב סטטי לתוך הרשת עם 19 משתמשים למשל אתה תנתב אותו ל-192.168.1.64 לכתובת אב עצמה.

תהיה ספציפי יותר בשאלה ומה ביקשת, אנסה לעזור.

א. ניתוב ליוזר ספציפי מסויים הוא אפשרי, קוראים לזה Gateway, שלנסח את זה כניתוב ליוזר אחד זה בעייתי,

היה וניתוב הוא בין רשתות ולא בין כתובות IP בודדות.

אתה יכול לנתב תעבורה לרשת מסויימת דרך Gateway, שהוא כתובת אחת ולא Network ID.

ב. ACL וניתוב זה ממש לא קשור אחד לשני. נכון, שניהם צריכים להיות מוגדרים בציוד של Cisco(למען האמת לא עבדתי עם נתבים אירגוניים של חברה אחרת),

צריך להבין שהמושג ניתוב הוא בפירוש קישור בין רשתות שונות, זה בפועל WAN.

ACL זה משהו שמגדירים בתוך הראוטר בכדי שהוא יאפשר בכלל גישה, כי בברירת המחדל שלו הוא לא מאפשר,

שזה כבר כן סוג של אבטחה.

[Nizar]

אם הגדרת ניתוב אז הנתב אמור להעביר הכל (או לחליופין: כל מה שהוא מכיר).

ACL מגדירים דווקא לחסום תעבורה, לא לאפשר.

[ariebel]

ב-Cisco, הוא בברירת המחדל שלו חוסם, אלא אם כן אתה מגידר acl permit.

[RLM]

Lev0 - לדעתי אתה מתבלבל עם NAT.

כשמגדירים NAT דינאמי, או overload, באמת צריך להגדיר לו איזה כתובות יתורגמו ע"י ACL.

בהגדרה של static route או כל ניתוב אחר, אין צורך בACL.

[DOGMA]

וואי וואי איזה סלט.

NAT =! ניתוב.

לNAT אין קשר לסאבנטים.

ACL לא ממומש בשום תקן תקשורת כלשהו זה פיטשר שתלוי בדגם וביצרן, ACL = stateless firewall, כלומר רשימה של חוקים סטטים מי יכול לגשת לאן ברמת רשת, כתובת IP ספיציפית או סוקט\פורט ספציפיים שוב תלוי בציוד התקשורת הספציפי. אכן כפי שנאמר זהו פיטשר אבטחתי גרדיא ואין לו שום קשר לניתוב(אם לקוח בעל כתובת 10.0.0.154/24 לא יכול לצאת לרשת 10.0.2.0/24 כי לא מוגדר ניתוב בצורה כלשהי גם אם זה יאופשר בACL זה לא יתממש) או לכל תקן תקשורת אחר שמממש הנתב או הסוויצ'(ולא חסרים סוויצ'ים שהם L2 עם ACL), וכמו כל פיטשר אבטחתי ההגדרה הדיפולטית לפחות בכל ציוד תקשורת נורמאלי היא תחסום הכל כל עוד זה לא מאושר גם אם קיימים ניתובים או גישורים שיאפשרו תקשורת תקינה.

עכשיו בקשר לדיון הראשי קודם כל אין קשר היום בsubnet לקלאס, לפי ההגדרה של IANA רשת שמתחיל ב10.0.0.0 למשל גם אם היא מסובנטת כקלאס C לא נחשב קלאס C. כל התקשורת בIPv4 מתבססת על Classless Inter-Domain Routing שמתבססת על הקצאת כתובות וחלוקה לרשתות על בסיס VSLM שמאפשר סאבנט בגודל משתנה ה/24/16/4 וכדומה שאתה מכיר היום בתור "קלאסים" לצערי למרות שיש רק 3 קלאסים בשימוש לרשתות תקשורת תקינות וכולם מוגדרים כLegacy ואינם בשימוש כפי שהוגדרו בתקן. לכל כתובת וניתוב יש CIDR prefix כאשר בכתובת הCIDR בעצם מתאר את הSubnet mask הקלאסי ומראה על כמה כתובות יש ברשת שאליה שייכת הכתובת וכאשר יש CIDR prefix על רשומה בטבלאת הניתובים היא מצהירה לאיזה רשתות אותה רשומה יכולה לנתב(וזה לא אומר שבאמת קיים משהו, בניתובים "סטטים"(וההגדרה של ניתוב ססטי הוא ניתוב שאיננו מבוסס על ידע כלשהו להקמת הניתוב, כלומר אתה לא באמת יודע מה יש מעבר לרגל שלך מעבר לאולי הכתובת בקצה השני), כלומר לא BGP למשל))

לדוגמא הניתוב 0.0.0.0/0 הוא הDefault Gateway כיוון שהוא מאפשר גישה לכל הרשתות הפונציאליות שIPv4 מאפשר.

לעומת זאת הLocal Loop back שלך יהיה n.n.n.n/32 כיוון שהוא איננו מוביל לשום רשת אחרת. בנוסף לזה גם P2P מסובנט לפי התקן שלו /31 וכו' וכו'.

NAT הוא המרה של כתובת רשת אחת באחרת, או ברמה של נתב ביתי מכירים NAT שהוא יותר מתבסס על PAT שהוא המרה של סוקט 1 לסוקט אחר(PAT כולל בתוכו גם PortTrigerring שלא ממומש בכל נתב ביתי).

בכל מקרה לבחור שקשקש על IPv6 לא עוברים לIPv6 כי אין סיבה, רוב ציוד התקשורת לא תומך בזה בצורה נורמאלית וגם ציוד שכן נחנק בעבודה בIPv6 יותר מאשר JumboFrames, אין לו שום ייתרון ברשתות LAN כי אין צורך בגילוי אוט' של משאבים ברשת(יש "broadcast אוט'" של נתבים, gateways, שרתי DNS ועוד הרבה דברים אחרים בתקן, כלומר ברגע שמחברים מחשב לרשת IPv6 הוא מקבל אוט' את כל ההגדרות הנחוצות לעבוד באותה רשת ללא שום שרות נוסף כמו DHCP, בנוסף לזה יש משא ומתן בין כל ציודי התקשורת באותה הרשת, כלומר אם הרמתם רשת WIFI מקומית בIPv6 ולאחד המחשבים מחובר גם מודם סלולארי המחשבים ברשת אוט' יגדירו אותו בדור הdfg שלהם, זה נשמע אחלה לWAN עירוני אבל זה סיוט לLAN קטן). ספקיות אינטרנט לא מחלקות כתובות IPv6 ללא טאנל, ובהתחשב שIPV6 לא תומך בNAT ובסופו של דבר בשביל להתחבר לעולם האמיתי אתה צריך NAT אז אתה בבעיה וכל הפרוטוקולים המגוחכים שהמיצאו בשביל לאפשר NAT על בסיס TUNNEL של IPv6tIPv4 הם בדיחה לרשתות נורמאליות.

בכל מקרה אם נחזור לנושא המקורי עושים סאנבטים בשביל לעשות סדר, ליעל תקשורת וניתובים תקינים ולהקל על הOverhead של ניהול הרשת והכתובות.

כאשר הספקית שלך קונה טווח כתובות היא קונה "קלאס B" כלומר היא למשל קנתה את 84.101.0.0 עד ל 81.101.255.255 אתה מבין שכאשר מדובר על 65025(טוב תהרגו אותי שיש פה גם כמה כתובות שהם reserved) לנהל ניתובים לכזאת כמות של כתובות זה בלתי אפשרי? גם ברמת הביצועים של החומרה אם אתה מגדיר לרשת כזאתי Dfg1 ולא יכול להיות יותר מdefault gateway 1 בטבלאת הניתובים(כן כל המימושים של fail over links לא ממש תקניים ומבוצעים ברמה של מעבר לתקן הניתוב המדובר, וגורמים לנפילת ההתקשרות הקיימת) ולאתה לא רוצה לתת לכולם תמיד בדיוק אותו ניתוב כי אם יש לך לקוח עסקי לדוגמא שקנה ממך כתובת ורוצה ניתוב לרשת מסויימת אתה צריך להתחיל לנהל P2P links, וכאשר אתה צריך לעשות את ל65 אלך כתובות זה יוצר מצב בלתי אפשרי בעליל גם מבחינה טכנית וגם מבחינה מנהלתית. הדרך הנחמדה יותר היא Classless subneting של הפול המקורי שקנית, כן אתה מאבד 2 כתובות על כל סאנבט שאתה מוסיף אבל אתה מקבל רשת שאפשר להקים אותה גם מבחינה של ביצועים בשטח וגם מבחינה של ניהול, כי למשל במקום 65 אלף כתובות הרבה יותר נוח לחלק את הפול שלך ל254 רשתות כאשר לכל רשת יש 253 לקוחות(2 על BC וכתובת רשת ועוד כתובת לDefault Gateway של אותה הכתובת) וכאשר למשל יש לך לקוחות שדורשים ניתוב פרטי אתה יוצר רשת 1 או 2 שבה אתה צריך לנהל P2P links או כל דבר אחר.