Reklam öğesi IP / alt ağ / dns şemaları

Sadece oldukça küçük ağlar (<= 25 düğüm) yönettim. Genellikle .1, dns / proxy ağ geçidini .10, posta .20'de, yazıcılar .30-39'da vb. Koyarım. Hiçbir zaman IP adreslerini doğrudan kullanmam çünkü DNS ana bilgisayar adları açıkça daha iyi bir yoldur, ancak sıfırdan bir ağ oluştururken net bir desen / düzen / tasarıma sahip olmayı seviyorum.

DNS eşlememin de basit bir adlandırma düzeni / düzeni var. Örneğin, tüm aygıtlarımın iki adı var; role dayalı bir resmi ad (dc01, mail02 vb.) ve resmi olmayan bir ad. Hiçbir şey fantezi, ama gerçek basit ve yönetilebilir.

(Daha iyi bir şey varsa) daha sezgisel / yaratıcı bir IP / Subnet / DNS düzeni bulmaya çalışıyorum. Eminim başkalarının ağ hedeflerine ve buna bağlı olarak daha sezgisel şemaları vardır. Üzerinde çalıştığım ağım hala küçük ama uğraşacak çok sayıda cihazım var.

Ben genel bir desen veya IP adresi (aralıkları / sınıfları), dns adları ve 4-5 ana noktaları kapsayan alt ağ ağları atamak için bir yöntem arıyorum:

1. Ağ hizmetleri (posta, dosya, proxy vb.)
2. Yazılım geliştirme (ortamlar - geliştirme / hazırlama / prod,
3. Medya (gerçek zamanlı aktarım, büyük dosya aktarımları, arşivleme)
4. Sanal sunucular / masaüstü bilgisayarlar
5. VoIP

Hiç VoIP ile doğrudan çalışmadım ama gelecek için dikkate alınması gereken bir şey.

Genel olarak herkesten çok iyi fikirler aldım. Daha fazla oy / kabul edilen cevap verebilsem. Yanıtlar için teşekkürler!

Basit tutun. Mümkün olduğunca basit, ancak yine de güvenlik ve esnekliğe izin veriyor. Basit olmayan bir şey gibi görünen şeylere soyutlama tasarlayın, ama aslında basitliğin kendisinin yoludur.

Alt ağlara gelince, bu oldukça yaygındır:

• Bir alt ağdaki kullanıcılar
• Başka bir misafir
• Kendi alt ağlarındaki sunucular
• Kendi başına VOIP.

Her alt ağdaki trafiği gerektiği gibi filtreleyin. Muhtemelen VLAN kullanın. Umarım seçtiğiniz ağ cihazı tedarikçinizin CLI'sini yakından tanıyorsunuzdur.

DNS'ye gelince, bunu sevmeyeceksiniz, ancak ... sizin için uygun olanı kullanın. Şahsen, sunuculara hizmetleriyle hiçbir bağlantısı olmayan tamamen soyut bir ana bilgisayar adı vermeyi seviyorum. Daha sonra ana bilgisayar adına CNAME hizmetleri. Bu şekilde taşıma hizmetleri DNS değişikliğinin baş ağrısına neden olmaz. Ya da en azından, çok değil. Ayrıca, ana makine adının başına av eklenmiş sanal sunucuları adlandırmayı tercih ederim.

Örnekler:

• Yeni Veritabanı sunucusuna Athena adı verilir. Sonsuza dek Athena olarak adlandırılacaktır.
• Athena yaptığı iş için CNAMED'dir: SQL08ENT-CRM, SQL08ENT-AEGIS (güvenlik sistemi), SQL08ENT-DOCMAN. Belki de coğrafyaya dayalı CNAMED. Ya da belki de ana bilgisayar adının içinde coğrafya olacaktır. Athena-ATL. Athena-Sydney. Nasıl uygun görürsen.
• Sunucu, varsayılan reddetme ilkesi olan sunucu alt ağındadır. Uygun alt ağlardan uygun trafiği içerir.

Tut. O. Basit. (ancak işlevsel)

Benzer boyuttaki bir organizasyonda çalıştım (/ 26'mız vardı), benden ötürü, güçlerin, ince taneli bir IP tahsis şemasının operasyonel bütünlük için çok önemli olduğunu hissettim. Geçidi vardı yazıcılar, 0,1 olmak zorunda .13 ve .20 ve benzeri arasına, .2 ve takipte sürvi .12 arasında olduğu sunucularını. Hatta bireysel ana bilgisayarlarda belgeleri sakladık.

Bu kıçından büyük bir acı. Ne kadar çalışkan olsam da hiçbir belgeyi güncel tutamadım. Herhangi bir DNS hizmetimiz olmadığına yardımcı olmadı, bu yüzden bu IP tahsis şeması dokümantasyonunu kullanmak, sahip olduğumuz tek "adlandırma" hizmetiydi (garip bir şekilde, gerçekten olduğundan daha vazgeçilmez görünmesini sağladı).

Boyutunuzdaki bir ağ için (daha önce yapmış olduğunuz) birkaç şey öneriyorum:

• Basit - Yüzlerce ana bilgisayarı yönetmiyorsunuz. Çözümünüzün karmaşıklığı çevrenin karmaşıklığını yansıtmalıdır. Aşırı zekice olmak için günaha karşı koy. Daha sonra kendinize teşekkür edeceksiniz.

  1. Kullanılabilir IP alanınızı alın ve DHCP aracılığıyla müşterilerinize% 60 verin. Bir tür Dinamik DNS hizmetini kurun, böylece bir daha asla IP adresine bakmanıza gerek kalmaz. Onları takip etmeyi unutun. Kar.

  2. Diğer% 30'u yönettiğiniz IP adresleri için ayırın: sunucular, yazıcılar, ağ aygıtları, test hizmetleri. vb. BU BELGEYİ DNS İÇİN KULLANIN. Bence, bir Excel elektronik tablosu (sürekli olarak başvurmanız ve bakımını yapmanız gerekir) kullanarak tüm bu "yönetici tarafından yönetilen" IP adreslerini (DHCP tarafından yönetilen IP adreslerinin aksine) titizlikle takip etmekten daha büyük bir zaman kaybı yoktur. , bu çabayı kendi kendini belgelemeyi ve çok daha kullanışlı bir DNS çözümünü desteklemeye harcayabiliyorsanız.

  3. Adresinizin son% 10'unu IP adresleme alanınızın üstünde kullanılmamış halde tutun. Küçük bir rezerv asla acıtmaz.

  4. Oranları ortamınıza uygun gördüğünüz şekilde ayarlayın. Bazı ortamların daha fazla istemcisi olur, bazıları "sunucu" (yani, "yönetici tarafından yönetilen") ağırdır.

• Ağ hizmetleri (posta, dosya, proxy vb.)
• Yazılım geliştirme (ortamlar - geliştirme / hazırlama / prod,

Her ikisi de "yönetici tarafından yönetilen" IP alanı kategorisine girer.

• Medya (gerçek zamanlı aktarım, büyük dosya aktarımları, arşivleme)

Bence bu alt ağ oluşturma ve ağ izleme ile ilgili her şey ile çok az ilgisi var.

• Sanal sunucular / masaüstü bilgisayarlar

Sunucular "yönetici tarafından yönetilir", masaüstü bilgisayarlar (yani istemci makineler) "DHCP tarafından yönetilmelidir" olmalıdır.

• VoIP

Fiziksel olarak ayrık bir ağ ideal olurdu ... ama bu gerçekçi değil. Bir sonraki en iyi şey ayrı bir VLAN ve alt ağ olacaktır. Bu, küçük ağda trafiği ayırmaya ihtiyaç duyduğum tek nokta ile ilgilidir (kamuya açık olan şeyler hariç).

IP tahsisleri için

10.: Benim tavsiyem aşağıdaki yapıyı kullanarak, 10.0.0.0/8 alt altında her şeyi yerleştirmektir site. division.device

• site fiziksel bir konum veya mantıklı bir eşdeğerdir (ör. NY ofisi, NJ ofisi, DR tesisi, Geliştirme ortamı).
• divisionsize mantıklı gelen mantıklı bir alt bölümdür. ör.
  0 => Anahtarlar / Yönlendiriciler
  1 => Yöneticiler, 2 => Kullanıcılar
  3 => VOIP
  4 => Misafir
• devices ayrı ayrı aygıtlardır (PC'ler, sunucular, telefonlar, anahtarlar vb.)

Buradaki fikir, bir cihazın ne olduğunu ve nerede olduğunu nerede olduğunu kolayca belirleyebilmenizdir: 10.2.1.100, "Site # 2" deki bir yöneticinin iş istasyonudur.

Bu model sınıf tabanlı IP atamalarından türetilmiştir: A Sınıfı (/ 8) kuruluşunuzdur. Her konum B Sınıfı (/ 16) alır ve bir konumdaki her mantıksal bölüm aygıtları için C Sınıfı (/ 24) alır.
"Bölme" seviyesi için / 24'ten daha büyük bir şey kullanmak mümkündür (ve bazen de istenebilir) ve bunu kesinlikle yapabilirsiniz: / 17'den / 24'e kadar olan her şey genellikle bu şema ile adil bir oyundur.

DNS Adları için

Benim tavsiyem, yukarıda tarif ettiğim IP atamasına benzer bir şema izlemektir:

• Her şeyin kaynağı mycompany.com
• Her sitenin (/ 16) kendi sitename.mycompany.comalt alanı vardır.
• Mantıksal bölümlerin site içinde bir (veya daha fazla) alt alanı olabilir, örneğin:
  • voip.mycompany.com(cihazları gibi olan tel0000.voip.mycompany.com, tel0001.voip.mycompany.comvs.)
  • switches.mycompany.com
  • workstations.mycompany.com (muhtemelen yönetici, kullanıcı ve misafir olarak alt bölümlere ayrılmıştır)
• Cihazların anlamlı isimleri olmalıdır. Örneğin:
  • Telefonları adlandırın, böylece DNS adına göre çaldıkları uzantıyı görebilirsiniz.
  • İş istasyonlarını birincil kullanıcılarına göre adlandırın.
  • "Konuk" IP adreslerini açıkça belirleyin.
  • Sunucuları adlandırın, böylece ne olduklarını / ne yaptıklarını anlayabilirsiniz.
    Bu (isimleri "sıkıcı" kullanılarak yapılabilir www01, www02, db01, db02, mailvb) ya da bir adlandırma planı ilan edileceği ve örneğin (buna yapışarak: Posta sunucuları kayalar adını veriyor, web sunucuları ağaçlarından almıştır edilir, veritabanı sunucuları ressamların isimleri).
    Sıkıcı isimler yeni bir kişinin öğrenmesi daha kolaydır, havalı adlandırma şemaları daha eğlencelidir. İstediğini al.

Çeşitli Notlar

Sanal sunucular ilgili olarak:
. Fiziksel makineleri (bölme / amacına göre yerine onlar sizsiniz, "sanal" Hipervizör / VM İdaresi ağ için ayrı bir bölümü var olduğu gerçeği ile onları ayırmak sanki bu aynı düşünün.
Önemli görünebilir artık bir kutunun sanal mı fiziksel mi olduğunu bilmek için, ancak izleme sisteminiz "Hey, E-posta kapalı!" dediğinde, soracağınız soru "Hangi makineler e-posta ile ilgilidir?" değil, "Hangi makineler sanal ve hangi fiziksel mi?".
o Not DO bir makine, bir hiper yönetici konak yukarı darbeler durumunda sanal veya fiziksel olup olmadığını belirleme pratik bir yol gerekir, ancak bu izleme sistemi değil, ağ mimarisi için bir meydan okumadır.

VOIP ile ilgili olarak:
VOIP (özellikle yıldız işareti) "Güvenlik Deliği" ile eşanlamlıdır. Tüm VOIP öğelerinizi kendi alt ağına ve kendi VLAN'ına atın ve hassas hiçbir şeyin yakınında olmasına izin vermeyin.
Geçen yıl gördüğüm her VOIP telefonu VLAN ayırmayı destekliyor (aslında hepsi hem ses hem de veri VLAN'larını destekliyor, böylece telefonu masaüstü ethernet bağlantıları için bir geçiş olarak da kullanabilirsiniz). Bundan yararlanın - VOIP ortamınız saldırıya uğradığında / yaptığınızda yaptığınız için mutlu olacaksınız.

Planlama ve Dokümantasyon Hakkında:
Adresleri ve DNS adlarını atamaya başlamadan önce ağınızı kağıda çizin. Aslında, önce BÜYÜK bir kağıda kalemle çizin.
Çok fazla hata yap.
Serbestçe sil.
Akıcı lanetle.
En az 10 gün boyunca küfür etmeyi ve silmeyi bıraktıktan sonra, resmi ağ diyagramınız olarak diyagramı Visio / Graffle / Bazı diğer elektronik formatlara koymanın zamanı geldi. Bu şemayı koruyun. Cihaz ekleyip kaldırırken, kuruluşunuzu büyütürken ve ağ yapınızı değiştirirken bunu En Kutsal Doğrularında koruyun.
Bu ağ diyagramı, değişiklik yapmanız, ağı yeni yöneticilere açıklamanız veya gizemli bir hatayı gidermeniz gerektiğinde en iyi arkadaşınız olacaktır.