Как вы выбираете IP-адресацию?

В жизни системного администратора всегда будет момент, когда необходимо определить IP-подсеть. Будь то ваша небольшая домашняя локальная сеть или бесконечная компания WAN, где безумие скрывается в глубине неизвестных маршрутов, IP-адреса всегда должны быть выбраны, разделены и назначены на какое-то устройство, заслуживающее этого или нет. И, находясь в «реальном мире» общедоступного Интернета, вам придется просто подчиняться заказам вашего интернет-провайдера, вы можете выбрать свой путь и свою конечную судьбу, когда речь заходит о вашей собственной частной сети.

Как известно (или должен знать), могучий RFC 1918 утверждает, что IP-адреса частной сети могут попасть только в три больших блока:

192.168.0.0/16
172.16.0.0/12
10.0.0.0/8

Какой ваш любимый? Насколько велика вы обычно выбираете подсеть, независимо от того, сколько устройств вам нужно действительно , чтобы подключиться к ней?
Считаете ли вы, что это должно быть сведено к минимуму, или должно ли оно быть таким же великим и славным, насколько возможно?
Верите ли вы в закон и порядок «круглых» подсетей (/8, /16, /24), или вы предпочитаете анархию и ползаете хаос «неосновных»? Вы следуете за Священной Школой наших ворот. Должно быть .1, Нечестивый Храм Не должно быть .254, или богохульные учения Ордена Его заканчиваются тем, что мы хотим, чтобы это закончилось?
Чувствуете ли вы в своем сердце, что серверы должны иметь «низкие» адреса, а клиенты должны использовать «высокие»? Или будет только Fate определить, как сервер и клиент должны быть вызваны?
Вы всегда используете (или пытаетесь использовать) те же конечные числа во всех подсетей, которыми вы управляете, чтобы вы могли найти свой шлюз и ваш DNS в час вашей большой потребности?
Вы верите в DHCP или в статическую адресацию? И вы верите в своего гибридного ребенка, DHCP With Reservations, даже для не-клиентских машин, таких как сетевые принтеры, или, может, все боги простит вас, серверы?

"Take this and divide it; this is my 2^32 address space,
 which shall be endlessly fragmented for all your addressing needs,
 until IPv6 may finally come."
12 голосов | спросил 2 revs
Massimo
1 Jam1000000amThu, 01 Jan 1970 03:00:00 +030070 1970, 03:00:00

6 ответов


13

Я поклоняюсь при изменении 00001010/11111111. Боги разозлились бы, если бы не жаждали самой большой из сетей. Это обеспечивает максимальную гибкость и минимальные конфликты с сетями плеба.

Я считаю, что хороший /24 - идеальный размер для большинства сетей, у вас есть возможность растянуться, пусть у вас есть передышка, вам нужно помнить, что у них есть личные проблемы с пространством, как у всех нас.

Единственный раз, когда я трачу клетки мозга, которые были предоставлены мне богами сетей и серверов в подсети намного дальше, для тех частей оборудования, которые считают, что они лучше всех остальных - маршрутизаторы, коммутаторы, брандмауэры, Я смотрю на ВАС! Те, кого я пытаюсь ограничить до /25 или меньше, иначе их hubris начнет распространяться на серверы, и вы просто не можете позволить серверам выйти из строя. Плохие, плохие вещи случаются, если вы позволяете этому продолжать, файлы начинают исчезать, крах служб, нехорошо я говорю вам, ничего хорошего! Чтобы поддерживать сетевое оборудование в очереди, мы разрешаем маршрутизаторам /брандмауэрам использовать первые полезные адреса в подсети (может быть .1 ... может быть .33 - зависит от вашей сетевой маски), которая обычно держит их в очереди.

  

«Нельзя смешивать клиентов и сервер, потому что, если ты там сделаешь великую битву, и принеси гибель тем, кто верит, что они могут контролировать их» - BOFH 20:15

     

«Ибо, если бы ты позволил немытому неограниченному доступу к своим самым ценным ресурсам, тебя бросят из храма наших Богов и заклеймят -« Пользователь »-BOFH 16: 2

Нет веской причины иметь DHCP-сервер в производственной сети - построить сервер да, NO. Клиентские сети всегда имеют DHCP, оговорки, где они вам нужны (или требуются вашим аудитором!)

  

«Вы, контролирующий распределение сети, чертовски уверены в том, что он ему подходит, и никто другой» -BOFH 1: 1

... переведенный да использует те же адреса хоста, где вы можете ... все будет проще.

ответил PkP 21 Jam1000000amSat, 21 Jan 2017 08:46:00 +030017 2017, 08:46:00
4

Помимо всех приведенных здесь мудрых предложений, которые я нашел полезными: ради удобства избегайте наличия той же сети, что и ваш офис или другие локальные сети, к которым вам, возможно, придется подключаться (удаленно).

Эта подсказка значительно улучшила мой VPN-ресурс: например, такая же подсеть может раздражать, когда 192.168.0.1 может быть вашим домашним маршрутизатором и удаленным сервер, который вы пытаетесь исправить. Затем вам придется добавить ручной маршрут через интерфейс VPN и т. Д.

Для всего остального есть Mastercard.

ответил PkP 21 Jam1000000amSat, 21 Jan 2017 08:46:00 +030017 2017, 08:46:00
2

Мое текущее любимое решение для адресации для настройки нескольких сайтов.

10.DATACENTER.RACK.RACKU + 100

Каждая стойка get a /24, которую я заканчиваю на пару основных коммутаторов /маршрутизаторов.

Это довольно подробно ориентированный на детали, но я могу сделать вывод, что просто посмотрел на IP-адрес.

С двумя основными маршрутизаторами у меня есть два плавающих маршрута по умолчанию .1 и .2. (ПРСЗ /VRRP) Фактические IP-адреса интерфейса: .3 и .4.

Нечетный маршрут по умолчанию по умолчанию .1 Даже Us по умолчанию для .2

Я установил диапазон DHCP на уровне 200-240 для выполнения загрузки PXE для тестирования до назначения IP-адреса.

ответил PkP 21 Jam1000000amSat, 21 Jan 2017 08:46:00 +030017 2017, 08:46:00
1

10.x.x.x; анархия и обход хаоса (/22 на самом деле чертовски полезная подсеть, не слишком большая и не слишком маленькая, поэтому сохраняйте то же самое независимо от размера, второй октет определяет основное местоположение, третье определяет подпозицию); шлюз всегда 1, серверы начинаются с 11 (с основным DNS - 11), затем клиенты (начиная с 10.x.1.x /10.x.5.x /etc с использованием подсети /22), наконец, принтеры и другие устройства (начиная с 10.x.3.x, 10.x.7.x и т. д.); серверы с одинаковыми ролями в каждой подсети имеют тот же адрес, где это возможно; DHCP для клиентских ПК, статический для всего остального, резервирование, используемое для определенных «специальных» клиентов, где есть устаревшие приложения и устаревшие модели безопасности, которые полагаются на определенный IP-адрес.

Вот и все. :)

ответил PkP 21 Jam1000000amSat, 21 Jan 2017 08:46:00 +030017 2017, 08:46:00
1

Размер подсети, конечно, выбирается на основе размера сети, с достаточным пространством для будущего расширения, потому что повторная адресация всегда является большой болью. Тем не менее, мои любимые подсети - это те, которые начинаются с 192.168. и 10: я действительно терпеть не могу 172. И это, конечно, не имеет разумной причины: это чисто эстетическая проблема.

Я предпочитаю «круглые» подсети, потому что с ними намного легче запоминать маски подсети, сети и широковещательные адреса, а также знать, к какой подсети принадлежит адрес.

Я предпочитаю выбирать подсети 192.168.X класса C для небольших сетей, где, по-видимому, будет достаточно 254 адресов; Я обычно довольно консервативен и прохожу с простейшим из них: 192.168.0 и 192.168.1; Мне также нравится 192.168.42.0/24, для очевидных причин .

Для больших сетей я обычно придерживаюсь одного и того же принципа: используя 10. адреса, вы можете иметь 256 подсетей из 65534 хостов или 65536 подсети из 254 хостов: более чем достаточно для любой сети, без необходимости причудливых /13, /28 или 27 подсетей. Конечно, всегда могут быть исключения, но это мое общее правило.

Я очень верю в порядок, когда дело касается управления сетью и системами, потому что компьютерные системы, как правило, хаотичны по своей сути (как в теории хаоса): наименьшая ошибка может иметь непредсказуемые результаты. При сетевой адресации я стараюсь всегда использовать одни и те же конечные адреса для тех же ролей; это моя типичная разбивка сети класса C:

.1 - шлюз по умолчанию.
.11 и .12 (и, возможно, .13, .14 и т. Д.) Являются контроллерами домена, серверами DNS и WINS (если они используются).
.25 - почтовый сервер.
.80 - это веб-сервер или прокси-сервер (если он есть).

Обычно я использую «низкие» адреса для серверов и «высокие» для клиентов; первые всегда статичны, а последние назначаются с использованием DHCP. Я большой поклонник DHCP и динамического DNS для клиентов, но я никогда не буду использовать его для серверов и других «фиксированных» систем, таких как сетевые принтеры и сканеры.

Если сеть больше и сегментирована, мне нравится размещать серверы в одной подсети и в других местах; клиентские (и даже серверные) подсети могут, конечно, быть более одного, если сеть достаточно велика, чтобы требовать VLAN.

ответил PkP 21 Jam1000000amSat, 21 Jan 2017 08:46:00 +030017 2017, 08:46:00
1

Мне нравится 10. Это красиво и коротко, и предлагает огромное количество места для расширения.

После 10 я обычно работаю в /16, но я планирую их на /8 (которые обычно являются хорошим размером для бизнес-единицы). Работа в 8-х хорош, потому что (если ваша компания не массивная), вы можете просто назначить бизнес-подразделение 10.1.0.0, и вам не придется беспокоиться о том, что в ближайшее время они будут работать в космосе. Очевидно, что если у вас более 255 бизнес-единиц, ymmv.

Обычно я использую 1 для шлюза, просто потому, что он позволяет легко запомнить. В любом случае, пока вы используете один и тот же номер в каждой подсети, это не имеет значения. Помимо шлюза, я не резервирую определенные ips для определенных типов серверов.

Обычно я удаляю все серверы в своих подсетей гетто, поэтому я могу следить за ними и следить за тем, чтобы они не смешивались с дрянными рабочими столами. Если мне придется их смешивать, то, да, я резервирую первые 50 или около того адресов для серверов /всего, что требует статического ip. Опять же, дело в том, чтобы не печатать. Пользователи настольных компьютеров редко заботятся о своем IP-адресе, и вам не часто нужно вводить его.

Мне нравится DHCP (у нас есть тонны ноутбуков), но вам нужно связать это с зарегистрированными MAC-адресами, или любой shmuck с улицы может войти и подключиться, и это нет. MAC не являются безопасными, но они по меньшей мере так же хороши, как и статика, что касается безопасности. Я не использую «зарегистрированный» DHCP; Я не являюсь клиентом Windows DHCP. Если у меня будет статика и динамика в одной и той же подсети, я просто установил диапазон DHCP равным 51-255 или аналогичный, и поставил статику в 1-50.

ответил PkP 21 Jam1000000amSat, 21 Jan 2017 08:46:00 +030017 2017, 08:46:00

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132