Economizando IPs ( IPv4 ) – Parte 2

Em muitas redes que vi, quando desenhadas, o responsável pela implementação escolheu por pular a mascara de rede de oito em oito bits. Quando uma mascara de 24 bits não era suficiente para acomodar todos, já pulou logo para uma mascara de 16 bits. Porem para muitas redes até uma rede de 24 bits já é muito grande, pois para reunir 254 equipamentos em uma única rede não é comum.

Não é que tem algum problema. Acredito que não tem certo e errado no desenho de uma rede, apenas em alguns casos há o desperdício de endereços. Se é uma rede local, de empresa pequena ou domestica, pode ser usada até mascara de oito bits sem ter nenhum problema. Mas se você estiver pensando em uma rede que vai ser espalhada por um numero de localidades, ficaria um tanto difícil de conseguir se organizar.

Indo logo ao ponto, o que vem a seguir pessoalmente indicaria para redes grandes, pois em redes pequenas seria um exagero. Porem a separação de redes por finalidade seria algo bem interessante principalmente em relação a segurança. Se você quiser ter uma rede mais segura, divida, mas não se esqueça que para isso os seus equipamentos de rede ( switches, wifi, etc. ) devem suportar VLANs.

Primeiramente devem ser levantadas as finalidades em quais a rede será dividida – as mais básicas seriam :

  • Usuários – usada pelas pessoas no desempenho das funções atribuídas, todos os desktops ficariam apenas a essa rede;

  • Visitantes – usada por pessoas externas, como visitantes que irão participar de uma reunião e não tem nenhum vinculo com a empresa. Nenhum usuário interno deve ter acesso a essa rede e os equipamentos aqui conectados não devem conseguir acessar os recursos da rede interna. Essa rede deve ser tratada como externa;

  • Servidores – todas as maquinas que executam um serviço que é usado pelos usuários, como compartilhamentos de arquivos, bancos de dados, etc.;

  • Internet – links contratadas com operadoras de telefonia para acesso a Internet;

  • Ativos de rede – equipamentos de conectividade, como switches, roteadores, equipamentos de wifi, câmeras de segurança. Os equipamentos dessa rede devem ser acessíveis somente para a equipe de gerencia da rede.

Em segundo lugar, devemos pensar sobre a numeração das VLANs, que poderia seguir o padrão a seguir ( é extremamente importante para a padronização entre as unidades para não enlouquecer os administradores de rede e não ser necessário fazer “gato” ) :

  • 1 a 99 – Gerencia e sistemas de segurança;

  • 100 a 199 – Redes para usuários;

  • 200 a 299 – Redes para servidores;

  • 300 a 399 – Redes de saída para Internet;

  • 400 a 499 – Interconexões entre filial – matriz;

  • 500 a 599 – Interconexões com parceiros;

Assim, seguindo o padrão, podemos definir:

  • Ativos de rede – VLAN 10. Mascara de 26 bits ( ate 62 hosts );

  • Usuários – VLAN100. Mascara de 23 bits ( até 510 hosts );

  • Visitantes – VLAN 101. Mascara de 26 bits ( ate 62 hosts );

  • Servidores – VLAN 200. Mascara de 25 bits ( ate 126 hosts );

  • Internet – VLAN 300. Será fornecido pela sua operadora.

Apenas como exemplo, usando a rede privada 192.168.0.0/255.255.0.0 e colocando em uma tabela:

Ativos de rede – VLAN 10 ( 192.168.0.0 – 192.168.49.254 )

Local

Rede

Mascara

Matriz

192.168.0.0

255.255.255.192

Filial 1

192.168.0.64

255.255.255.192

Filial 2

192.168.0.128

255.255.255.192

Filial 3

192.168.0.192

255.255.255.192

Usuários – VLAN100 ( 192.168.50.0 – 192.168.99.254 )

Local

Rede

Mascara

Matriz

192.168.50.0

255.255.254.0

Filial 1

192.168.52.0

255.255.254.0

Filial 2

192.168.54.0

255.255.254.0

Filial 3

192.168.56.0

255.255.254.0

Visitantes – VLAN 101 ( 192.168.100.0 – 192.168.149.0 )

Local

Rede

Mascara

Matriz

192.168.100.0

255.255.255.192

Filial 1

192.168.100.64

255.255.255.192

Filial 2

192.168.100.128

255.255.255.192

Filial 3

192.168.100.192

255.255.255.192

Servidores – VLAN 200 ( 192.168.150.0 – 192.168.159.0 )

Local

Rede

Mascara

Matriz

192.168.150.0

255.255.255.128

Filial 1

192.168.150.128

255.255.255.128

Filial 2

192.168.151.0

255.255.255.128

Filial 3

192.168.151.128

255.255.255.128

Sim, a faixa usada é de 16 bits, porem ela é dividida em redes menores e de cada uma das subfaixas também é dividida …

Repare que cada linha das tabelas se refere a mesma unidade. Assim, se colocar em uma planilha, na mesma linha estariam todas as redes de uma determinada localidade.

Agora, porque dividir as redes ? Alem do desperdício de endereços temos, entre outros as seguintes vantagens:

  • Algumas redes podem ser restritas e a entrada/saída pode ser para apenas determinadas pessoas. Como já disse anteriormente, qual seria o motivo de um visitante que não tem nenhum vinculo com a empresa poder acessar os mesmos recursos que um funcionário ???;

  • Em redes com muitos hosts ( principalmente Windows* ), o broadcast fica extremamente grande e pode consumir uma boa parte da banda disponível, mesmo que a rede seja de 1GB. Você até pode usar o storm control**, mas ele vai fazer a conexão do usuário cair ;

  • Fica mais fácil prevenir incidentes de segurança. Podemos usar o dhcp snooping** e assim prevenir que alguma pessoa resolva subir o seu próprio serviço de DHCP para fazer ataque de “Man-in-the-middle”;

  • Pode ser usado NAP/NAC e colocar as maquinas que não se enquadram na politica definida em rede de quarentena.

 

 

 

*  Não sou xiita anti-Windows. Defendo que cada SO deve ser usado para finalidades especificas. Tem serviços que devem ser executados em Windows, outros são melhores em Linux, terceiros em BSD e por ai vai. Tudo depende do contexto.

** No IOS da Cisco.