Najlepsza praktyka w zakresie przypisywania prywatnych zakresów adresów IP?

14

Czy powszechną praktyką jest używanie niektórych prywatnych zakresów adresów IP do określonych celów?

Zaczynam zastanawiać się nad konfiguracją systemów wirtualizacji i serwerów pamięci. Każdy system ma dwie karty sieciowe, jedną do dostępu do sieci publicznej i jedną do wewnętrznego zarządzania i dostępu do pamięci.

Czy firmy często używają określonych zakresów do określonych celów? Jeśli tak, jakie są te zakresy i cele? Czy wszyscy robią to inaczej?

Po prostu nie chcę robić tego zupełnie inaczej niż to, co jest standardową praktyką, aby uprościć sprawy nowym pracownikom itp.

networking virtualization routing storage-area-network Tauren
źródło
Zmodyfikowałbym to, ponieważ jest więcej niż 254 urządzeń na podłodze niż 254 pięter w budynku, patrz google.com/ ... Tak więc użyj pierwszych 200 adresów trzeciego oktetu dla podłogi, a następnie ostatnich 54 adresów i pozostałego oktetu dla urządzeń. To daje 254 * 54 możliwych urządzeń. Drukarki, stacje robocze, laptopy, Internet rzeczy (IOT) (najczęściej używane słowo „hype”, a następnie „ludzie”, „technologia”) [Toaters, włączniki światła, sterowniki oświetlenia, dzbanki do kawy.
Dennis,

Odpowiedzi:

20

Większość systemów, które widziałem, próbuje zmapować zakresy adresów IP na hierarchię geograficzną i / lub komponenty systemowe.

Jeden pracodawca miał tendencję do używania:

10.building.floor.device(z sieciami VLAN zasobów innych niż użytkownicy korzystającymi 10.x.100.xz 10.x.120.x)

i

10.major_system.tier_or_subsystem.component

caelyx
źródło
@caelyx: to brzmi jak dobre podejście, z którego mógłbym skorzystać. dzięki!
Tauren
@Tauren - nie martw się; chętnie pomoże! Dzięki za głos :)
caelyx
1
Zmodyfikowałbym to, ponieważ istnieje więcej niż 254 urządzeń na podłodze niż 254 pięter w budynku, patrz google.com/…. Tak więc użyj pierwszych 200 adresów trzeciego oktetu dla podłogi, a następnie ostatnich 54 adresów i pozostałego oktetu dla urządzeń. To daje 254 * 54 możliwych urządzeń. Drukarki, stacje robocze, laptopy, Internet rzeczy (IOT) (najczęściej używane słowo „hype”, a następnie „ludzie”, „technologia”) [Toaters, włączniki światła, sterowniki oświetlenia, dzbanki do kawy. - Dennis właśnie teraz edytuj
Dennis,
6

Jedną rzeczą, którą zasugerowałbym, jest użycie losowo wybranych zakresów prywatnych z bloku 10.0.0.0/8 dla wszystkich twoich prywatnych adresów. Pozwala to uniknąć wielu problemów, szczególnie podczas konfigurowania sieci VPN między sieciami domowymi / partnerskimi a siecią firmową. Większość routerów domowych (i wiele konfiguracji korporacyjnych) używa 192.168.0.0/24 lub 10.0.0.0/24, więc spędzasz godziny na rozwiązywaniu różnych problemów z łącznością, próbując nawiązać połączenie między dwiema prywatnymi sieciami.

Jeśli jednak wybierzesz losowy zakres, taki jak 10.145.0.0/16, a następnie podsieć, znacznie mniej prawdopodobne jest, że „zderzysz się” z prywatnym zakresem adresów IP partnera handlowego lub sieci domowej.

rmalayter
źródło
1
do adresowania witryn można podsieć 10.0.0.0/24 i zakodować długość i szerokość geograficzną w wolnym oktecie. ;-)
The Unix Janitor
Chyba że Twoje witryny są oddalone od siebie o mniej niż jeden stopień. Mieliśmy dwa biura w odległości kilku bloków miasta w jednym punkcie, które są oddalone o mniej niż 0,02 stopnia pod względem lat / lon ;-)
rmalayter
1
Jeśli jest to problem (i uzasadniony), użyj trzeciego prywatnego zakresu adresów IP: 172. (16-31) .0,0 / 16. Większość ludzi nawet nie wie, że tam jest. Widziałem go tylko w jednym miejscu.
Dan Pritts
@DanPritts Rackspace intensywnie wykorzystuje 172.16.0.0/12 do hostingu i serwerów w chmurze. Prawdopodobnie z powodu „niejasności”. Jednak, podobnie jak w przypadku wersji 10.0.0.0/8, lepiej wybrać losowe bity tej przestrzeni, aby uniknąć potencjalnych kolizji.
rmalayter
1
@ RyanTM wow, nigdy nie czytałem tak dokładnie RFC. Cieszę się, że mój własny wniosek oparty na bolesnym doświadczeniu faktycznie pasuje do normy.
rmalayter
2

RFC1918 wyszczególnia 3 bloki IP, które są zarezerwowane dla prywatnej przestrzeni adresowej. 2 typowe to:

  • 10.0.0.0 - 10.255.255.255 (prefiks 10/8)
  • 192.168.0.0 - 192.168.255.255 (prefiks 192.168 / 16)

Jeśli konfigurujesz osobną sieć do przechowywania danych, prawdopodobnie warto byłoby wybrać zakres adresów IP podobny, ale nieco inny niż ten, którego używasz do regularnej pracy w sieci. Spójność jest dobra, ale korzystanie z różnych zakresów adresów IP umożliwia jednoczesne połączenie z obiema sieciami, na przykład, jeśli chcesz coś sprawdzić podczas zarządzania laptopem?

Nic
źródło
Mój laptop otrzymuje więc adres IP w zakresie 192.168.0.x od DHCP. Myślę, że moja sieć pamięci powinna znajdować się w zakresie 10.xxx, aby były naprawdę osobne. Czy to powszechna praktyka, czy też wiele miejsc używa do przechowywania czegoś takiego jak 192.168.1.x?
Tauren
2
172.16-31 / 16 również =) Jednak mało używany.
Antoine Benkemoun
2
@Tauren: 192.168.1.x / 24 jest tak samo oddzielny od 192.168.0.x / 24 jak 10.0.0.x / 24. Nie może być „więcej” ani „mniej” osobno. Są w różnych podsieciach, kropka ... :)
rytis
Dotyczy to komputerów, ale nie osób, które na nich pracują. Utrzymywanie członków personelu w spokoju jest dobrą rzeczą, a standardy nazewnictwa idą w tym kierunku.
pboin
@pulegium: tak, rozumiem, że tak naprawdę są oddzielne, ale miałem na myśli w „ludzkim sensie”, jak wspomina @pboin.
Tauren
2

Istnieje mniej więcej konsensusu w kwestii adresowania IP niż w przypadku nazw serwerów (patrz ta strona ad naseum), sprowadza się to do osobistych preferencji - zazwyczaj pierwszego faceta, który to wszystko skonfigurował!

Nie, nie ma właściwego sposobu na zrobienie tego - po prostu wybierz jeden z 3 zakresów RFC1918 (pozdrawiam @Nic Waller), podziel go na podsieci (tradycyjnie / 24s, ale / 23s stają się coraz bardziej popularne). Przypisz jedną z podsieci dla dostępu publicznego i jedną dla pracy prywatnej - zadanie wykonane. Naprawdę trudną częścią jest ustawienie sieci VLAN i ACL.

Osobiście wolę używać zakresu 10.xxx, ponieważ mogę pisać szybciej niż pozostałe dwa, ale tak naprawdę nie robi to różnicy, chyba że potrzebujesz większego rozmiaru (192.168.xx daje ci 256 podsieci z 254 adresami IP, podczas gdy 10.xxx daje ci 65 536).

Nie sugerowałbym mieszania zakresów, na przykład 192.168.xx dla prywatnego i 10.xxx dla publicznego, technicznie to nie powinno mieć znaczenia, ale byłoby to bardzo mylące.

Jon Rhoades
źródło
@Jon, dziękuję za sugestie. pomaga to potwierdzić większość tego, co moim zdaniem miało miejsce.
Tauren
W jaki sposób zakres 10.xxx może być publiczny? Jeśli są przypisane do urządzeń publicznych uzyskujących dostęp do sieci przez VPN? (Wydaje się, że to jedyny sposób)
Dennis