Можно ли частично изменить маску подсети в сети организации?

В организации используется сеть 10.0.100.0/23:
  • 10.0.100.1 – центральный роутер/NGFW;
  • 10.0.100.2–10.0.100.254 /23 – для хостов со статическим адресом;
  • 10.0.101.0–10.0.101.254 /23 – для DHCP.


Сейчас адресов не хватает, и сеть необходимо расширить до /22, но менять статику на большом количестве оборудования (например, станков) невозможно.

План действий:
  1. На роутере разрешить трафик от 10.0.100.0/22.
  2. Расширить DHCP, чтобы включить новые адреса.


Вопросы:
  1. Смогут ли хосты со старыми настройками (маска /23) выходить в интернет?
  2. Будет ли работать проброс портов с роутера на статический хост со старыми настройками?
  • Вопрос задан
  • 5079 просмотров
Пригласить эксперта
Ответы на вопрос 8
@asmelnik
Не стоит такого делать.
1. например 10.0.100.123 /23 никогда не свяжется с 10.0.102.123 /22
Причина -- 10.0.100.123 не ответит на ARP запросы из сети 10.0.102.... т.к. это НЕ его подсеть, а узлы из 10.0.102.../22 не пойдут на 10.0.100.../23 через шлюз, т.к. для этих узлов это "родная" сеть.

2. У этих сетей разный бродкаст.
Бродкаст 10.0.101.255 для 10.0.100.0/23 уже превращается в самый обычный IP для 10.0.100.0/22
И все, что завязано на бродкаст будет работать неизвестно как..
Причем это "неизвестно как" платформозависимо.
Например в одних реализациях в бродкаст пакете не проверяется IP, (только МАС проверяется). А в других IP тоже проверяется, вот и будет непоймичто.
Да, есть масса примеров из жизни "Я вот так делал, и у меня все работало..."
Поправочка -- вы не нарвались на то, что не работало.

В общем -- сделать можно, но при каждом глюкане начинать поиск решения с проверки -- а не тут ли собака порылась??
Ответ написан
@Zerg89
Может проще добавить еще один пул раздавемых адресов с /23 маской, прописать подсеть на роутере и настроить маршрутизацию между подсетями
Ответ написан
sergey-kuznetsov
@sergey-kuznetsov
Автоматизатор
Смогут ли хосты со старыми настройками выходить в интернет?

Да, хосты с маской /23 смогут выходить в интернет, если:
  • Шлюз настроен правильно (10.0.100.1).
  • Роутер настроен на работу с сетью 10.0.100.0/22.

Почему это работает:
  • Маска /22 охватывает сеть /23, поэтому роутер корректно маршрутизирует трафик от хостов с /23.
  • Хосты со старыми настройками продолжат считать, что их сеть состоит из 10.0.100.0–10.0.101.255, а для остального трафика обращаться к шлюзу.


Будет ли работать проброс портов с роутера на статический хост со старыми настройками?

Да, проброс портов будет работать при следующих условиях:
  • Роутер настроен на маску /22 и принимает трафик для всей сети 10.0.100.0/22.
  • Правила NAT и проброса портов корректно настроены.

Почему это работает:
  • Роутер с маской /22 считает, что хосты с маской /23 принадлежат этой сети.
  • Маска хоста не влияет на обработку трафика роутером, если тот маршрутизирует пакеты корректно.
Ответ написан
ky0
@ky0
Миллиардер, филантроп, патологический лгун
Что на конечных хостах - не так важно. Важны настройки на маршрутизаторе. Если новые устройства будут вне прописанного на старых хостах диапазона - просто трафик к ним поедет через шлюз, а не напрямую.
Ответ написан
@res2001
Developer, ex-admin
Есть смысл не расширять маску, а наоборот разбить сеть на несколько меньших сетей и настроить между ними маршрутизацию. Сетей может быть несколько, при этом каждую из них не делайте меньше 24. Таким образом останется адресное пространство для расширения в каждой отдельно взятой сети.
Ответ написан
@Dupych
Вот вы там накрутили.
Читаю комменты и офигеваю.
Возьми в руки лан калькулятор онлайн.
Первое что бросается в глаза это маска 23 у простой сети в 254 адреса она 24....!!!!
Нагорожено хрен знает что.
Как сделано у меня с учетом на будущее.
10.1.x.x - первый офис
10.2.х.х - второй офис и тд
Все офисы между собой соединены туннелями на микротах.
10.х.1.0/24 - сервера и коммутаторы. Unifi wifi
10.x.2.0/24 - Пк и принтеры
10.х.3.0/24 - все IP телефоны.
По DHCP Yealink считывает 135 парамет и сам прыгает в нужный VLAN.
10.х.4.0/25 СКУД, пожарка, видеонаблюдение
10.х.5.0/24 - WIFI с доступом в локалку.
10.х.15.0/24 - Гостеввой wifi с DHCP на микроте + DNS 8.8.8.8. блок на доступ в любую сеть.
Везде прописаны маршруты. Я в любой момент могу соединить офисы через туннель другого офиса.
Я могу манипулировать маршрутами.
Могу перекрыть доступ из одной чети в другую оперируя только маршрутами.
Делай вторую сеть 10.0.102.0/24 и пиши мартрут между сетями вот и все.
Ответ написан
@iontzev
Telecommunications engineer
И никто не обратил внимание, что в качестве центрального роутера используется NGFW. Между новыми и старыми хостами трафик будет ассиметричный, а для NGFW - это как красная тряпка для быка. Скорее всего такой трафик будет блокироваться. Еще и как идущий в сетку с адресацией интерфейса, с которого пришел
Ответ написан
Комментировать
saboteur_kiev
@saboteur_kiev Куратор тега Сетевое администрирование
software engineer
По сути, маска отвечает исключительно за то, трафик пойдет на другой айпишник напрямую или через гейтвей, поэтому можно просто расширить, но лучше перенастроить.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы