Рекомендации по оптимальному планированию адресного пространства IPv4

Недавний вопрос от Craig Constantine касался IPv6, но многие люди еще не находятся на переднем крае IPv6 и все еще несут ответственность за новые или улучшенные развертывания IPv4.

Я хотел бы проверить правильность собственного адресного пространства IPv4 для собственного предприятия в отношении любых общедоступных документов или рекомендаций, приведенных непосредственно здесь. Адресация имеет некоторые уникальные потребности между DC и Campus, которые в идеале должны быть рассмотрены.

Я специально смотрю, какие лучшие практики существуют для планирования private (RFC1918) присвоений IP-пространства для регионов, городов, кампусов, зданий, этажей, восходящих линий, WAN-соединений, loopbacks и т. д. Проводной и беспроводной. Внутренние сети против гостевых сетей. * Я знаю, что это само по себе может быть немного открытым вопросом, поэтому я ищу конкретные ссылки или примеры для доказанных и продуманных планов аналогично ответам IPv6. Рекомендуемые блоки CIDR были бы полезны при распределении пространства.

Агрегация для маршрутизации, конечно же, желательна, а также возможность упрощения списков ACL. В ACL есть компромисс с желанием объединить все подсетей сотрудников, например, будь то проводные или беспроводные, а также объединение всех беспроводных пользователей независимо от того, являются ли они сотрудниками, подрядчиками или гостями.

14 голосов | спросил generalnetworkerror 2 J0000006Europe/Moscow 2013, 12:22:00

2 ответа


8

Будучи в полумаленькой компании, мы сломали нашу частную сеть несколько либерально так:

/24 за Влан /16 на место

Vlans распределены, пропуская 10 /24s per. Номер Vlan соответствует третьему октету. Местоположения последовательны, начиная с 10/16 с.

то есть.

  • 10.10.1.0/24 - Местоположение A, Management Vlan 1

  • 10.10.11.0/24 - Местоположение A, Wireless Vlan 11

  • 10.11.11.0/24 - Местоположение B, Wireless Vlan 11

  • 10.11.81.0/24 - Местоположение B, SAN Vlan 81

  • 10.11.101.0/24 - Местоположение B, проводной офис Vlan 101

Примеры Vlan:

  • 1 - управление

  • 2 - управление для беспроводной связи

  • 11 - беспроводной доступ

  • 21 - гости

  • 31 - мобильные устройства

  • 41 - заводское оборудование

  • 51 - SAN

  • 61 - VoIP

  • 71 - Проводной доступ

И так далее.

Преимущества, которые мы видели с этим:

  • Легко обращаться ко всему местоположению через /16. Мы используем это довольно часто для VPN ACL.

  • Легко группировать типы устройств вместе для веб-фильтрации.

  • Любой Vlan в течение следующих 10 /24s принадлежит к тому же типу, что и предыдущий корень.

    • Итак, например, заводское оборудование ... Vlan 31, для некоторых поставщиков, у которых есть 24/7 удаленный доступ, мы предоставили им собственный Vlan, 32 или 33 или 34, до 40. Их лимиты доступа к VPN их к оборудованию, которое они поддерживают, не получая детализации по IP /ACE. Если производственной группе необходимо отказаться от большего количества оборудования, нам не нужно обновлять списки ACL VPN. Это также включает в себя списки доступа ACL /ACE между Vlans.

    • Другой пример: SAN Vlans, мы используем два из них как минимум для избыточности. Поэтому они всегда 81 и 82.

    • Последний пример: управление беспроводной связью разбивается на собственный Vlan, 2. Мы делаем это, потому что у нас достаточно AP, для чего нужен контроллер WLAN, но нет бюджета для контроллеров. Этот Vlan использует параметры tftp и dhcp для автоматической настройки и загрузки точек доступа из центрального конфигурационного репо, и мы не хотим, чтобы другое оборудование автоматически загружалось, чтобы вытащить беспроводные конфиги.

Эта настройка дает нам простой способ взглянуть на IP-адрес и узнать местоположение и тип оборудования, к которому он принадлежит. Это означает, что ACLs /ACEs в файлах конфигурации для нас, особенно у ограниченных пользователей VPN. У нас также есть передышка для расширения в случае, если у нас заканчиваются IP-адреса в Vlan, или потому, что нам нужно дополнительно сегрегировать трафик. И поскольку мы небольшая компания, мы еще не разбились на трехзначные номера нумерации. Множество номеров для отдыха.

ответил some_guy_long_gone 2 J0000006Europe/Moscow 2013, 15:43:18
8

Учитывая, что IPv4 существует так долго, существует миллион различных способов, которые люди выбирают для размещения своего пространства IPv4.

Для нас (ISP) мы используем наименьший размер подсети на чистых транзитных ссылках (обычно 30), а затем с точки зрения клиентов это зависит от того, каковы их потребности, из-за того, насколько короткими являются все на IPv4, означает, что вместо этого используя правило одеяла, вы должны принять каждого клиента в качестве своего собственного лица и соответствующим образом выполнить свои требования.

Это все, конечно, если вы имели в виду пространство PUBLIC IPv4, то с точки зрения внутреннего RFC1918, тогда планируйте свои распределения так, чтобы вы строили пространство для расширения (например, в здании всего 50 человек, не давайте им /26 только потому, что его подсеть следующего размера, но, возможно, дает им /24 для расширения.

Еще одна хорошая практика заключается в том, чтобы выделить агрегат, то есть, если у вас есть здание с 10 этажами, выделите a /20 (или больше) для здания, а затем выделите подсетей для каждого этажа /отдела из этого /20, что вы можете рекламировать только /20 для остальной части вашей сети, а не для всех отдельных подсетей для каждого этажа.

ответил David Rothera 2 J0000006Europe/Moscow 2013, 14:19:34

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132