Najlepsza praktyka w zakresie przypisywania prywatnych zakresów adresów IP?

14

Czy powszechną praktyką jest używanie niektórych prywatnych zakresów adresów IP do określonych celów?

Zaczynam zastanawiać się nad konfiguracją systemów wirtualizacji i serwerów pamięci. Każdy system ma dwie karty sieciowe, jedną do dostępu do sieci publicznej i jedną do wewnętrznego zarządzania i dostępu do pamięci.

Czy firmy często używają określonych zakresów do określonych celów? Jeśli tak, jakie są te zakresy i cele? Czy wszyscy robią to inaczej?

Po prostu nie chcę robić tego zupełnie inaczej niż to, co jest standardową praktyką, aby uprościć sprawy nowym pracownikom itp.

Tauren
źródło
Zmodyfikowałbym to, ponieważ jest więcej niż 254 urządzeń na podłodze niż 254 pięter w budynku, patrz google.com/ ... Tak więc użyj pierwszych 200 adresów trzeciego oktetu dla podłogi, a następnie ostatnich 54 adresów i pozostałego oktetu dla urządzeń. To daje 254 * 54 możliwych urządzeń. Drukarki, stacje robocze, laptopy, Internet rzeczy (IOT) (najczęściej używane słowo „hype”, a następnie „ludzie”, „technologia”) [Toaters, włączniki światła, sterowniki oświetlenia, dzbanki do kawy.
Dennis,

Odpowiedzi:

20

Większość systemów, które widziałem, próbuje zmapować zakresy adresów IP na hierarchię geograficzną i / lub komponenty systemowe.

Jeden pracodawca miał tendencję do używania:

10.building.floor.device(z sieciami VLAN zasobów innych niż użytkownicy korzystającymi 10.x.100.xz 10.x.120.x)

i

10.major_system.tier_or_subsystem.component

caelyx
źródło
@caelyx: to brzmi jak dobre podejście, z którego mógłbym skorzystać. dzięki!
Tauren
@Tauren - nie martw się; chętnie pomoże! Dzięki za głos :)
caelyx
1
Zmodyfikowałbym to, ponieważ istnieje więcej niż 254 urządzeń na podłodze niż 254 pięter w budynku, patrz google.com/…. Tak więc użyj pierwszych 200 adresów trzeciego oktetu dla podłogi, a następnie ostatnich 54 adresów i pozostałego oktetu dla urządzeń. To daje 254 * 54 możliwych urządzeń. Drukarki, stacje robocze, laptopy, Internet rzeczy (IOT) (najczęściej używane słowo „hype”, a następnie „ludzie”, „technologia”) [Toaters, włączniki światła, sterowniki oświetlenia, dzbanki do kawy. - Dennis właśnie teraz edytuj
Dennis,
6

Jedną rzeczą, którą zasugerowałbym, jest użycie losowo wybranych zakresów prywatnych z bloku 10.0.0.0/8 dla wszystkich twoich prywatnych adresów. Pozwala to uniknąć wielu problemów, szczególnie podczas konfigurowania sieci VPN między sieciami domowymi / partnerskimi a siecią firmową. Większość routerów domowych (i wiele konfiguracji korporacyjnych) używa 192.168.0.0/24 lub 10.0.0.0/24, więc spędzasz godziny na rozwiązywaniu różnych problemów z łącznością, próbując nawiązać połączenie między dwiema prywatnymi sieciami.

Jeśli jednak wybierzesz losowy zakres, taki jak 10.145.0.0/16, a następnie podsieć, znacznie mniej prawdopodobne jest, że „zderzysz się” z prywatnym zakresem adresów IP partnera handlowego lub sieci domowej.

rmalayter
źródło
1
do adresowania witryn można podsieć 10.0.0.0/24 i zakodować długość i szerokość geograficzną w wolnym oktecie. ;-)
The Unix Janitor
Chyba że Twoje witryny są oddalone od siebie o mniej niż jeden stopień. Mieliśmy dwa biura w odległości kilku bloków miasta w jednym punkcie, które są oddalone o mniej niż 0,02 stopnia pod względem lat / lon ;-)
rmalayter
1
Jeśli jest to problem (i uzasadniony), użyj trzeciego prywatnego zakresu adresów IP: 172. (16-31) .0,0 / 16. Większość ludzi nawet nie wie, że tam jest. Widziałem go tylko w jednym miejscu.
Dan Pritts
@DanPritts Rackspace intensywnie wykorzystuje 172.16.0.0/12 do hostingu i serwerów w chmurze. Prawdopodobnie z powodu „niejasności”. Jednak, podobnie jak w przypadku wersji 10.0.0.0/8, lepiej wybrać losowe bity tej przestrzeni, aby uniknąć potencjalnych kolizji.
rmalayter
1
@ RyanTM wow, nigdy nie czytałem tak dokładnie RFC. Cieszę się, że mój własny wniosek oparty na bolesnym doświadczeniu faktycznie pasuje do normy.
rmalayter
2

RFC1918 wyszczególnia 3 bloki IP, które są zarezerwowane dla prywatnej przestrzeni adresowej. 2 typowe to:

  • 10.0.0.0 - 10.255.255.255 (prefiks 10/8)
  • 192.168.0.0 - 192.168.255.255 (prefiks 192.168 / 16)

Jeśli konfigurujesz osobną sieć do przechowywania danych, prawdopodobnie warto byłoby wybrać zakres adresów IP podobny, ale nieco inny niż ten, którego używasz do regularnej pracy w sieci. Spójność jest dobra, ale korzystanie z różnych zakresów adresów IP umożliwia jednoczesne połączenie z obiema sieciami, na przykład, jeśli chcesz coś sprawdzić podczas zarządzania laptopem?

Nic
źródło
Mój laptop otrzymuje więc adres IP w zakresie 192.168.0.x od DHCP. Myślę, że moja sieć pamięci powinna znajdować się w zakresie 10.xxx, aby były naprawdę osobne. Czy to powszechna praktyka, czy też wiele miejsc używa do przechowywania czegoś takiego jak 192.168.1.x?
Tauren
2
172.16-31 / 16 również =) Jednak mało używany.
Antoine Benkemoun
2
@Tauren: 192.168.1.x / 24 jest tak samo oddzielny od 192.168.0.x / 24 jak 10.0.0.x / 24. Nie może być „więcej” ani „mniej” osobno. Są w różnych podsieciach, kropka ... :)
rytis
Dotyczy to komputerów, ale nie osób, które na nich pracują. Utrzymywanie członków personelu w spokoju jest dobrą rzeczą, a standardy nazewnictwa idą w tym kierunku.
pboin
@pulegium: tak, rozumiem, że tak naprawdę są oddzielne, ale miałem na myśli w „ludzkim sensie”, jak wspomina @pboin.
Tauren
2

Istnieje mniej więcej konsensusu w kwestii adresowania IP niż w przypadku nazw serwerów (patrz ta strona ad naseum), sprowadza się to do osobistych preferencji - zazwyczaj pierwszego faceta, który to wszystko skonfigurował!

Nie, nie ma właściwego sposobu na zrobienie tego - po prostu wybierz jeden z 3 zakresów RFC1918 (pozdrawiam @Nic Waller), podziel go na podsieci (tradycyjnie / 24s, ale / 23s stają się coraz bardziej popularne). Przypisz jedną z podsieci dla dostępu publicznego i jedną dla pracy prywatnej - zadanie wykonane. Naprawdę trudną częścią jest ustawienie sieci VLAN i ACL.

Osobiście wolę używać zakresu 10.xxx, ponieważ mogę pisać szybciej niż pozostałe dwa, ale tak naprawdę nie robi to różnicy, chyba że potrzebujesz większego rozmiaru (192.168.xx daje ci 256 podsieci z 254 adresami IP, podczas gdy 10.xxx daje ci 65 536).

Nie sugerowałbym mieszania zakresów, na przykład 192.168.xx dla prywatnego i 10.xxx dla publicznego, technicznie to nie powinno mieć znaczenia, ale byłoby to bardzo mylące.

Jon Rhoades
źródło
@Jon, dziękuję za sugestie. pomaga to potwierdzić większość tego, co moim zdaniem miało miejsce.
Tauren
W jaki sposób zakres 10.xxx może być publiczny? Jeśli są przypisane do urządzeń publicznych uzyskujących dostęp do sieci przez VPN? (Wydaje się, że to jedyny sposób)
Dennis