Najważniejsze wskazówki dotyczące planowania przestrzeni adresowej IPv4

16

Ostatnie pytanie Craiga Constantine'a dotyczyło IPv6, ale wiele osób nie jest jeszcze w czołówce IPv6 i nadal jest odpowiedzialnych za nowe lub ulepszone wdrożenia IPv4.

Chciałbym zweryfikować własne planowanie przestrzeni adresowej IPv4 w przedsiębiorstwie na podstawie wszelkich dokumentów publicznych lub wskazówek podanych bezpośrednio tutaj. Adresowanie ma pewne wyjątkowe potrzeby między DC a kampusem, które najlepiej byłoby rozważyć.

W szczególności szukam najlepszych praktyk w zakresie planowania prywatnych (RFC1918) przydziałów przestrzeni IP dla regionów, miast, kampusu, budynków, podłóg, łączy w górę, łączy WAN, pętli zwrotnych itp. Przewodowe vs bezprzewodowe. Sieci wewnętrzne a sieci gościnne. * Wiem, że samo w sobie może to być pytanie otwarte, dlatego szukam konkretnych odniesień lub przykładów do sprawdzonych i przemyślanych planów w podobny sposób, jak odpowiedzi na IPv6. Sugerowane bloki CIDR byłyby pomocne przy przydzielaniu miejsca.

Oczywiście pożądana jest agregacja routingu, podobnie jak możliwość posiadania uproszczonych list ACL. W listach ACL występuje kompromis polegający na chęci agregacji wszystkich podsieci pracowników, na przykład przewodowej lub bezprzewodowej w porównaniu do agregacji wszystkich użytkowników bezprzewodowych, niezależnie od tego, czy są to pracownicy, kontrahenci czy goście.

ipv4 best-practices generalnetworkerror
źródło

Odpowiedzi:

10

Będąc w pół-małej firmie, zepsuliśmy naszą prywatną sieć nieco swobodnie, dlatego:

/ 24 na Vlan / 16 na lokalizację

Vlany są rozłożone, pomijając 10/24 s na. Numer Vlan pasuje do trzeciego oktetu. Lokalizacje są sekwencyjne, zaczynając od 10 / 16s w.

to znaczy

  • 10.10.1.0/24 - Lokalizacja A, Zarządzanie Vlan 1

  • 10.10.11.0/24 - Lokalizacja A, Wireless Vlan 11

  • 10.11.11.0/24 - Lokalizacja B, bezprzewodowy Vlan 11

  • 10.11.81.0/24 - Lokalizacja B, SAN Vlan 81

  • 10.11.101.0/24 - Lokalizacja B, Przewodowe biuro Vlan 101

Przykłady Vlan:

  • 1 - zarządzanie

  • 2 - zarządzanie siecią bezprzewodową

  • 11 - dostęp bezprzewodowy

  • 21 - goście

  • 31 - urządzenia mobilne

  • 41 - wyposażenie fabryczne

  • 51 - SAN

  • 61 - VoIP

  • 71 - Dostęp przewodowy

I tak dalej.

Korzyści, które widzieliśmy przy tym, to:

  • Łatwo odnieść się do całej lokalizacji za pomocą / 16. Używamy tego dość często w przypadku list ACL VPN.

  • Łatwe grupowanie typów urządzeń w celu filtrowania stron internetowych.

  • Każdy Vlan w ciągu następnych 10 / 24s należy do tego samego typu, co poprzedni root.

    • Na przykład sprzęt fabryczny ... Vlan 31, dla niektórych dostawców, którzy mają zdalny dostęp 24/7, daliśmy im własnego Vlan, 32 lub 33 lub 34, do 40. Ich dostęp VPN ogranicza ich do sprzętu, który oni obsługa bez granulacji adresów IP / ACE. Jeśli zespół produkcyjny musi oddać więcej sprzętu, nie musimy aktualizować list ACL VPN. Obejmuje to również dostęp do list ACL / ACE między sieciami Vlans.

    • Kolejny przykład: SAN Vlans, używamy co najmniej dwóch z nich w celu zapewnienia redundancji. Więc zawsze mają 81 i 82.

    • Ostatni przykład: zarządzanie bezprzewodowe jest podzielone na własny Vlan, 2. Robimy to, ponieważ mamy wystarczającą liczbę punktów dostępowych, aby potrzebować kontrolera WLAN, ale nie mamy budżetu na kontrolery. Ten Vlan używa opcji tftp i dhcp do automatycznej konfiguracji i uruchamiania AP z centralnego repozytorium konfiguracji, a my nie chcemy, aby inne urządzenia, które mogą automatycznie uruchamiać system, pobierają konfiguracje sieci bezprzewodowej.

Ta konfiguracja pozwala nam w łatwy sposób spojrzeć na adres IP i poznać lokalizację i rodzaj sprzętu, do którego należy. Oznacza to dla nas mniej list ACL / ACE w plikach konfiguracyjnych, szczególnie dla ograniczonych użytkowników VPN. Mamy też miejsce na ekspansję w przypadku wyczerpania adresów IP w sieci Vlan lub ponieważ musimy dalej segregować ruch. A ponieważ jesteśmy małą firmą, nie podzieliliśmy jeszcze trzycyfrowej numeracji lokalizacji. Dużo miejsca na wzrost.

some_guy_long_gone
źródło
Dając / 16 do każdej lokalizacji i przestrzegając tego planu, możesz także podsumować łącza WAN między lokalizacjami, co jest dobre z punktu widzenia tabeli routingu. Zakładając, że masz odpowiedni projekt rdzenia / dystrybucji!
knotseh
9

Biorąc pod uwagę, że protokół IPv4 istnieje już od tak dawna, istnieje milion różnych sposobów przydzielania przestrzeni IPv4.

Dla nas (ISP) używamy najmniejszego możliwego rozmiaru podsieci w czystych łączach tranzytowych (zwykle / 30), a następnie w odniesieniu do klientów zależy to od ich potrzeb, ze względu na to, jak krótki jest każdy na IPv4, oznacza to, że zamiast używać ogólna reguła, że ​​musisz wziąć każdego klienta jako swój własny podmiot i odpowiednio dostosować jego wymagania.

To wszystko, jeśli chodziło o przestrzeń PUBLICZNĄ IPv4, jeśli chodzi o wewnętrzną zawartość RFC1918, a następnie zaplanuj swoje alokacje, aby budować w pokoju do ekspansji (np. W budynku jest tylko 50 osób, nie daj im / 26 tylko ponieważ jest to kolejna podsieć, ale może dać im / 24, aby umożliwić rozbudowę.

Inną dobrą praktyką jest przydzielanie do agregacji, to znaczy, jeśli masz budynek z 10 piętrami, przydziel / 20 (lub większy) do budynku, a następnie przydziel podsieci dla każdego piętra / działu z tego / 20, w ten sposób możesz reklamuj tylko / 20 w pozostałej części sieci, a nie we wszystkich podsieciach na każdym piętrze.

David Rothera
źródło
Edytowano Q., aby wskazać, że najbardziej interesuje mnie prywatne planowanie przestrzeni IP. Zakładałem, że agregacja była celem, który wszyscy rozumieli, ale dodam ją, aby wyjaśnić, że jest pożądana.
generalnetworkerror