IP adreslemenizi nasıl seçersiniz?

Bir sistem yöneticisinin hayatında, her zaman bir IP alt ağının tanımlanması gereken bir an gelir. İster küçük ev LAN'ınız, ister deliliğin bilinmeyen rotaların derinliklerinde gizlendiği sonsuz şirket WAN olun, IP adreslerinin her zaman seçilmesi, bölünmesi ve bir cihaza atanması gerekir. Ve, halka açık İnternet'in "gerçek dünyasında" sadece İSS'nizin emirlerine uymak zorunda kalacaksınız, kendi özel ağınız söz konusu olduğunda yolunuzu ve nihai kaderinizi seçmekte özgürsünüz.

Herkesin bildiği (veya bilmesi gerektiği gibi), güçlü RFC 1918, özel ağ IP adreslerinin sadece üç büyük bloğa düşebileceğini belirtir:

192.168.0.0/16
172.16.0.0/12
10.0.0.0/8

En sevdiğin hangisi?
Ne kadar büyük genellikle olursa olsun kaç cihazlar tabii ki, bir alt ağ yapmak seçerim gerçekten buna bağlamak gerekir?
Sizce minimumda tutulmalı mı yoksa mümkün olduğunca büyük ve görkemli mi olmalı?
Yasa ve "yuvarlak" alt ağların sırasına (/ 8, / 16, / 24) inanıyor musunuz, yoksa "yuvarlatılmış" olanların anarşi ve emekleme kaosunu mu tercih ediyorsunuz?
Ağ Geçidimizin Kutsal Okulu .1, Hayır Olmaması Gerekmeyen Kutsal Tapınak .254'ü mi, yoksa Düzeni'nin küfür öğretilerini de bitmesini İstediğimiz Her Şey İle Sona Erecek mi?
Kalbinizde Sunucuların "düşük" adreslere ve Müşterilerin "yüksek" adreslere sahip olması gerektiğini düşünüyor musunuz? Yoksa yalnızca Kader, Sunucu ve İstemcinin nasıl çağrılacağını tanımlar mı?
Yönettiğiniz tüm alt ağlarda her zaman aynı bitiş numaralarını kullanıyor musunuz (veya kullanmaya çalışıyorsunuz), böylece ağ geçidinizi ve DNS'inizi büyük ihtiyaç duyduğunuz saatte bulabiliyor musunuz?
DHCP veya Statik Adreslemeye inanıyor musunuz? Ve hibrid çocuklarına, DHCP Rezervasyonlu, hatta ağ yazıcıları gibi müşteri olmayan makineler için bile inanıyor musunuz, yoksa tüm Tanrılar sizi affedebilir mi, Sunucular?

"Take this and divide it; this is my 2^32 address space,
 which shall be endlessly fragmented for all your addressing needs,
 until IPv6 may finally come."

00001010/11111111 değişikliğinde ibadet ediyorum. Eğer ağların en büyüğünü istemezsen, tanrılar öfkeliydi. En fazla esnekliğe izin verir ve pleb ağlarıyla en az çatışmayı sağlar.

Güzel / 24'ün çoğu ağ için mükemmel bir boyut olduğunu görüyorum, germek için odanız var, sunucularınızın biraz nefes alma odası olsun, hepimizin yaptığı gibi kişisel alan sorunları olduğunu hatırlamanız gerekiyor.

Ağ tanrıları ve sunucular tarafından bana verilen beyin hücrelerini çok daha alt ağa harcamak için harcadığım tek zaman, hepsinden daha iyi olduklarını düşünen ekipman parçaları için - yönlendiriciler, anahtarlar, güvenlik duvarları SEN! Ben bir / 25 veya daha küçük ile sınırlamak için çalışıyorum, aksi takdirde onların koca sunuculara yayılmaya başlayacak ve sadece sunucuları hattı dışına izin veremezsiniz. Kötü, kötü şeyler, bunun devam etmesine izin verirseniz, dosyalar kaybolmaya başlar, hizmetler çöküyor, iyi değil, sana söylüyorum, hiç iyi değil! Ağ araçlarını aynı hizada tutmak için, yönlendiricilerin / güvenlik duvarlarının bir alt ağdaki ilk kullanılabilir adresleri kullanmasına izin veriyoruz (.1 ... olabilir .33 olabilir - ağ maskenize bağlı olarak) normalde onları aynı çizgide tutar.

"İstemcileri ve sunucuyu asla karıştırmayacaksınız, çünkü eğer yaparsanız büyük bir savaş olacak ve onları kontrol edebileceklerine inananlara harabe getirecek" -BOFH 20:15

"Yıkanmamışların en değerli kaynaklarınıza erişememesine izin verirseniz, Tanrılarımızın tapınağından fırlatıp markalısınız - Kullanıcı" -BOFH 16: 2

Üretim ağında bir DHCP sunucusunun olması için iyi bir neden yoktur - sunucu derlemesi evet, üretim NO. İstemci ağları, her zaman DHCP'ye, ihtiyacınız olan yerlerde rezervasyonlara sahiptir (veya denetçiniz tarafından istenir!)

"Şebeke tahsisini kontrol eden siz ona uygun olduğunu ve kimsenin kimseyi ummadığını" -BOFH 1: 1

... çevrildi evet aynı ana bilgisayar adreslerini kullanabilirsiniz nerede ... her şey daha kolay olacak.

Burada verilen tüm akıllıca önerilerin yanı sıra, yararlı bulduğum: rahatlık için, ofisinizle veya uzaktan bağlanmak zorunda kalabileceğiniz diğer LAN'larla aynı ağa sahip olmaktan kaçının.

Bu ipucu VPN ömrümü büyük ölçüde geliştirdi: örneğin, aynı alt ağa sahip olmak 192.168.0.1, düzeltmeye çalıştığınız ev yönlendiriciniz ve uzak sunucunuz olduğunda sinir bozucu olabilir. Ardından, VPN arayüzü vb. Yoluyla manuel bir rota eklemeniz gerekir.

Diğer her şey için Mastercard var.

Çoklu site kurulumu için en sevdiğim adresleme çözümüm.

10.DATACENTER.RACK.RACKU +100

Her raf, bir çift çekirdek anahtar / yönlendirici üzerinde sonlandırdığım bir / 24'tür.

Oldukça ayrıntılı bir ayrıntı odaklı, ancak sadece bir IP adresine bakarak çok şey çıkarabilirim.

Bir çift çekirdek yönlendirici ile, iki değişken varsayılan yolum var .1 ve .2. (HSRP / VRRP) Gerçek arayüz IP'leri .3 ve .4'tür.

Tek .2 varsayılan rota .1 Çift Biz .2 varsayılan rota

Resmi IP atanmadan önce PXE testlerini yapmak için 200-240 arasında bir DHCP aralığı koydum.

10.xxx; anarşi ve emekleme kaos (/ 22 aslında çok büyük ve çok küçük değil, lanet olası bir alt ağdır, bu yüzden büyüklüğünden bağımsız olarak aynı tutun, ikinci sekizlik birincil bir konumu, üçüncü bir alt konumu tanımlar); ağ geçidi her zaman 1'dir, sunucular 11'de başlar (birincil DNS 11'dir), sonra istemciler (/ 22 alt ağı kullanarak 10.x.1.x / 10.x.5.x / etc'den başlar), son olarak yazıcılar ve diğer cihazlar (10.x.3.x, 10.x.7.x vb. den başlayarak); her alt ağda aynı rollere sahip sunucular mümkün olduğunda aynı adrese sahiptir; İstemci bilgisayarlar için DHCP, diğer her şey için statik, belirli uygulamaların ve belirli bir IP adresine dayanan eski güvenlik modellerinin bulunduğu belirli "özel" istemciler için kullanılan rezervasyonlar.

Bu kadar. :)

Alt ağ boyutu elbette ağın büyüklüğüne göre seçilmelidir, gelecekteki genişleme için yeterli alan vardır, çünkü yeniden adresleme her zaman büyük bir acıdır. Bununla birlikte, favori alt ağlarım 192.168 ile başlayanlar. 10: Gerçekten 172. kişiye dayanamıyorum ve elbette bunun rasyonel bir nedeni yok: tamamen estetik bir endişe.

"Yuvarlak" alt ağları tercih ederim, çünkü onlarla alt ağ maskelerini, ağları ve yayın adreslerini hatırlamak ve bir adresin hangi alt ağa ait olduğunu bilmek çok daha kolaydır.

254 adresin mutlaka yeterli olacağı küçük ağlar için 192.168.X C sınıfı alt ağları seçme eğilimindeyim; Genellikle burada oldukça muhafazakârım ve en basitleri ile gidiyorum: 192.168.0 ve 192.168.1; Ayrıca bariz nedenlerden dolayı 192.168.42.0/24'ü çok seviyorum .

Daha büyük ağlar için genellikle aynı prensibi izlerim: 10. adresleri kullanarak, 65534 ana bilgisayardan 256 alt ağa veya 254 ana bilgisayardan 65536 alt ağa sahip olabilirsiniz: herhangi bir ağ için, fantezi / 13, / 28 veya / 27 alt ağ. Tabii ki her zaman istisnalar olabilir, ama bu benim genel kuralım.

Bilgisayar sistemleri özünde kaotik olma eğilimi gösterdiğinden (kaos teorisinde olduğu gibi) ağ ve sistem yönetimi söz konusu olduğunda kesinlikle inanıyorum: en küçük hata öngörülemeyen sonuçlara neden olabilir. Ağ adreslemede, her zaman aynı roller için aynı bitiş adreslerini kullanmaya çalışıyorum; Bu bir C sınıfı ağın tipik dökümüdür:

.1 varsayılan ağ geçididir.
.11 ve .12 (ve belki .13, .14 vb.) Etki alanı denetleyicileri, DNS ve WINS (kullanılıyorsa) sunuculardır.
.25 posta sunucusudur.
.80 web sunucusu veya proxy sunucusudur (varsa).

Genellikle sunucular için "düşük" adresler ve istemciler için "yüksek" adresler kullanıyorum; birincisi her zaman statik olanlardır, ikincisi DHCP kullanılarak atanır. Ben DHCP ve istemciler için dinamik DNS hayranıyım, ancak asla sunucular ve ağ yazıcıları ve tarayıcılar gibi diğer "sabit" sistemler için kullanmam.

Ağ daha büyük ve daha bölümlere ayrılmışsa, sunucuları bir alt ağa ve istemcileri başka bir yere koymak isterim; ağ VLAN'ları gerektirecek kadar büyükse, istemci (ve hatta sunucu) alt ağları elbette birden fazla olabilir.

Ben 10 gibi. Güzel ve kısa ve genişleme için büyük miktarda yer sunuyor.

10'dan sonra genellikle / 16'larda çalışıyorum, ancak / 8'lerle planlıyorum (genellikle bir iş birimi için güzel bir boyuttur). 8'lerde çalışmak güzeldir (çünkü şirketiniz büyük değilse) sadece bir iş birimi 10.1.0.0 atayabilirsiniz ve yakında herhangi bir zamanda yer kalmaması konusunda endişelenmenize gerek kalmayacaktır. Açıkçası, 255'ten fazla iş biriminiz varsa, ymmv.

Ağ geçidi için genellikle 1'i kullanırım, çünkü hatırlamayı kolaylaştırır. Her iki durumda da, her alt ağda aynı numarayı kullandığınız sürece, önemli değil. Ağ geçidi dışında, belirli sunucu türleri için belirli ips ayırmıyorum.

Genellikle tüm sunucuları kendi getto alt ağlarına döküyorum, bu yüzden onlara göz kulak olabilirim ve boktan masaüstü bilgisayarlarla karışmadıklarından emin olabilirim. Onları karıştırmak zorunda kalırsam, o zaman, ben ilk 50 kadar adres sunucu / statik bir ip ihtiyacı olan her şey için ayırmak. Yine, sadece daha az yazım meselesi. Masaüstü kullanıcıları IP'lerinin ne olduğunu nadiren önemsiyorlar ve genellikle yazmanız gerekmiyor.

DHCP'yi seviyorum (tonlarca dizüstü bilgisayarımız var), ancak kayıtlı MAC adresleri ile birleştirmeniz gerekiyor, ya da caddeden herhangi bir shmuck gelip takılabilir ve bu bir hayır. MAC'ler güvenli değildir, ancak güvenlik açısından en azından statik kadar iyidirler. "Kayıtlı" DHCP kullanmıyorum; Windows DHCP kullanıcısı değilim. Aynı alt ağda statik ve dinamik olacaksa, DHCP aralığını 51-255 veya benzeri olacak şekilde ayarladım ve statik değerleri 1-50'ye koydum.