Spung zwischen IP-Klassen nachteilig oder nicht?

Started by bread, June 25, 2024, 12:31:09 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 25, 2024, 12:31:09 PM
Hi,

bisher habe ich alle drei IP-Klassen im internen Netzwerk gebraucht und den Gedanken, dass sie für die jeweilige Größe der Netzwerktopografie gedacht sind ignoriert.

Dadurch gabs aus meiner Sicht eine größere Übersicht: VPN auf 10, Server auf 172, Rest auf 192 oder so etwas.

Dadurch, dass ich jetzt bei einer neuen Firewall und den Umstieg auf OPNsense ein Problem bekommen habe zu 172 zu verbinden, kam ich auf die Frage:

Hat es Nachteile, wenn man mehrere IP-Klassen gebraucht? Muss die FW dadurch vielleicht mehr arbeiten?

Denn man könnte wegen der Übersichtlichkeit natürlich einfach den 192er nehmen (in kleinere nNetzwerken) und aufsteigend verteilen (nur die Standardbereich von Fritz und Co. meiden):
192.168.100.1 WAN
192.168.101.1 LAN
192.168.102.1 DNS-Server
192.168.103.1 DMZ
192.168.104.1 VPN

Es ist aus meiner Sicht nicht übersichtlich genug, aber gehen würde es ja und die Frage ist, hat es irgendwelche Vor- und Nachteile in Bezug auf die Verarbeitungsgeschwindigkeit der FW oder auf sonst was?

Der Nachteil bei Netzwerkwachstum ist mir klar, aber das schließ ich jetzt mal aus.

Grüße
bread
June 25, 2024, 12:35:11 PM #1
IP Klassen gibts nicht mehr, aber man kann die Konvention durchaus vernünftig nutzen, vielleicht:

- geroutete Netze 10/8
- Kundennetze 172.16/12
- isolierte Netze / Koppelnetze 192.168/16

oder so ähnlich.
June 25, 2024, 12:46:06 PM #2
ah, stimmt, da war mal was.

Aber gibts denn irgendwelche auch nur minimale Mehrbelastungen für die FW, DNS-Server oder sonst was, wenn mehrere Netze verwendet werden? Vermutlich nicht.
June 25, 2024, 12:52:18 PM #3
Aus welchen Bereichen die Adressen stammen ist völlig wurst. Natürlich macht es einen Unterschied, ob man 2 Interfaces hat oder 6. Oder 10 Regeln oder 100.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
June 25, 2024, 12:55:32 PM #4
ok, danke. Also die Last entsteht eher durch Regeln und zusätzliche Interfaces,w as verständlich ist.
June 25, 2024, 01:02:14 PM #5
Die Last entsteht dadurch, dass ein Paket zur Firewall reintröpfelt und weitergeleitet werden muss oder nicht.

Also je mehr Paket pro Sekunde desto mehr Last.
Je mehr Regeln pro Paket angeguckt werden müssen desto mehr Last.
Je mehr Interfaces und/oder statische Routen angeguckt werden müssen, um die Zielrichtung zu bestimmen, desto mehr Last.

Dadurch dass da einfach Regeln oder Interfaces "da sind" und die Firewall da irgendwo eingeschaltet in der Ecke steht, entsteht keine Last - wodurch denn? Das Gerät tut etwas (Pakete weiterleiten). Je mehr es das tun muss und je aufwendiger jedes einzelne Paket verarbeitet wird, desto mehr Arbeit.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
June 25, 2024, 01:16:48 PM #6
Das war mir klar. Es war mir nicht klar, ob auch Last entsteht, weil verschiedene IP-Netze (ehemals Klassen) angeschaut werden müssen.
Print
Go Up Pages1
User actions