Thực tiễn tốt nhất về quy hoạch không gian địa chỉ IPv4

15

Một câu hỏi gần đây của Craig Constantine liên quan đến IPv6, nhưng nhiều người chưa ở vị trí hàng đầu với IPv6 và vẫn chịu trách nhiệm cho việc triển khai IPv4 mới hoặc được cải thiện.

Tôi muốn xác thực quy hoạch không gian địa chỉ IPv4 doanh nghiệp của riêng tôi đối với bất kỳ tài liệu công khai hoặc hướng dẫn nào được cung cấp trực tiếp tại đây. Địa chỉ có một số nhu cầu duy nhất giữa DC và Cơ sở lý tưởng sẽ được xem xét.

Tôi đặc biệt mong muốn xem những thực tiễn tốt nhất tồn tại để lập kế hoạch phân bổ không gian IP riêng (RFC1918) cho các vùng, thành phố, khuôn viên, tòa nhà, tầng, đường lên, liên kết WAN, vòng lặp, v.v. Có dây vs không dây. Mạng nội bộ so với mạng khách. * Tôi biết điều này tự nó có thể là một câu hỏi mở, vì vậy tôi đang tìm kiếm các tài liệu tham khảo hoặc ví dụ cụ thể cho các kế hoạch đã được chứng minh và suy nghĩ kỹ theo cách tương tự như các câu trả lời IPv6. Các khối CIDR được đề xuất sẽ hữu ích khi không gian được phân bổ.

Tất nhiên, việc tổng hợp để định tuyến là mong muốn và khả năng có các ACL được đơn giản hóa cũng vậy. Ví dụ, có một sự đánh đổi trong ACL với mong muốn tổng hợp tất cả các mạng con nhân viên, ví dụ, dù có dây hay không dây so với tổng hợp tất cả người dùng không dây bất kể họ là nhân viên, nhà thầu hay khách.

ipv4  best-practices 
Generalnetworkerror
nguồn

Câu trả lời:

9

Ở trong một công ty bán nhỏ, chúng tôi đã phá vỡ mạng riêng của mình một cách tự do như vậy:

/ 24 mỗi Vlan / 16 mỗi vị trí

Vlans được trải ra, bỏ qua 10/24 mỗi. Số Vlan phù hợp với octet thứ ba. Các địa điểm là tuần tự, bắt đầu từ 10/16.

I E

  • 10.10.1.0/24 - Vị trí A, Quản lý Vlan 1

  • 10.10.11.0/24 - Vị trí A, Vlan không dây 11

  • 10.11.11.0/24 - Vị trí B, Vlan không dây 11

  • 10.11.81.0/24 - Địa điểm B, SAN Vlan 81

  • 10.11.101.0/24 - Vị trí B, Văn phòng có dây Vlan 101

Ví dụ về Vlan:

  • 1 - quản lý

  • 2 - quản lý cho mạng không dây

  • 11 - truy cập không dây

  • 21 - khách

  • 31 - thiết bị di động

  • 41 - thiết bị nhà máy

  • 51 - SAN

  • 61 - VoIP

  • 71 - Truy cập có dây

Và như thế.

Những lợi ích chúng ta đã thấy với điều này là:

  • Dễ dàng tham khảo toàn bộ vị trí qua / 16. Chúng tôi sử dụng điều này khá thường xuyên cho VPN ACL.

  • Dễ dàng nhóm các loại thiết bị với nhau để lọc web.

  • Bất kỳ Vlan nào trong vòng 10/24 tiếp theo đều thuộc cùng loại với gốc trước đó.

    • Vì vậy, ví dụ, thiết bị của nhà máy ... Vlan 31, đối với một số nhà cung cấp có quyền truy cập từ xa 24/7, chúng tôi đã cung cấp cho họ Vlan, 32 hoặc 33 hoặc 34 của riêng họ, tối đa 40. Truy cập VPN của họ giới hạn họ với thiết bị mà họ hỗ trợ mà không nhận được chi tiết về IP / ACE. Nếu nhóm sản xuất cần bỏ thêm thiết bị vào, chúng tôi không phải cập nhật ACL VPN. Điều này cũng bao gồm các ACL / ACE truy cập giữa các Vlans.

    • Một ví dụ khác: SAN Vlans, chúng tôi sử dụng tối thiểu hai trong số chúng để dự phòng. Vì vậy, họ luôn luôn là 81 và 82.

    • Ví dụ cuối cùng: Quản lý không dây được chia thành Vlan của chính nó, 2. Chúng tôi làm điều này vì chúng tôi có đủ AP để cần bộ điều khiển WLAN nhưng không có ngân sách cho bộ điều khiển. Vlan này sử dụng các tùy chọn tftp và dhcp để tự động định cấu hình và khởi động các AP từ repo cấu hình trung tâm và chúng tôi không muốn các thiết bị khác có thể tự động khởi động để kéo cấu hình không dây.

Thiết lập này cho chúng ta một cách dễ dàng để xem IP và biết vị trí cũng như loại thiết bị mà nó thuộc về. Điều này có nghĩa là ít ACL / ACE trong các tệp cấu hình cho chúng tôi, đặc biệt là trên những người dùng VPN bị hạn chế. Chúng tôi cũng có phòng thở để mở rộng trong trường hợp chúng tôi hết IP trong Vlan hoặc vì chúng tôi cần phân tách lưu lượng hơn nữa. Và vì chúng tôi là một công ty nhỏ, chúng tôi chưa chia thành ba số. Rất nhiều phòng tăng trưởng.

some_guy_long_gone
nguồn
Bằng cách đưa ra / 16 cho mỗi vị trí và bám sát kế hoạch đó cũng cho phép bạn tóm tắt các liên kết WAN giữa các vị trí tốt theo quan điểm của bảng định tuyến. Giả sử rằng bạn có thiết kế phân phối / cốt lõi phù hợp!
kneseseh
9

Cho rằng IPv4 đã xuất hiện từ rất lâu, có hàng triệu cách khác nhau mà mọi người chọn để phân bổ không gian IPv4 của họ.

Đối với chúng tôi (một ISP), chúng tôi sử dụng kích thước mạng con nhỏ nhất có thể có trên các liên kết chuyển tuyến thuần túy (thường là 30) và về mặt khách hàng, điều đó phụ thuộc vào nhu cầu của họ là gì, do mọi người đều sử dụng IPv4 ngắn như thế nào thay vì sử dụng một quy tắc chăn bạn phải lấy mỗi khách hàng làm thực thể riêng của họ và thu thập các yêu cầu của họ cho phù hợp.

Đó là tất cả mọi thứ nếu bạn đang đề cập đến không gian IPv4 CÔNG CỘNG, về mặt nội dung RFC1918, sau đó lên kế hoạch phân bổ của bạn để bạn xây dựng trong phòng để mở rộng (ví dụ: một tòa nhà chỉ có 50 người trong đó, không cung cấp cho họ / 26 chỉ bởi vì nó là mạng con có kích thước tiếp theo nhưng có lẽ cung cấp cho chúng / 24 để cho phép mở rộng.

Một thực hành tốt khác là phân bổ để tổng hợp, đó là nếu bạn có một tòa nhà có 10 tầng phân bổ a / 20 (hoặc lớn hơn) cho tòa nhà và sau đó phân bổ các mạng con cho mỗi tầng / bộ phận trong số đó / 20, theo cách đó bạn có thể chỉ quảng cáo / 20 đến phần còn lại của mạng chứ không phải tất cả các mạng con riêng lẻ cho mỗi tầng.

David Rothera
nguồn
Đã chỉnh sửa Q. để cho biết tôi chủ yếu quan tâm đến việc lập kế hoạch không gian IP riêng. Tôi cho rằng tổng hợp là một mục tiêu mà mọi người đều hiểu, nhưng tôi sẽ thêm nó để làm rõ điều đó là mong muốn.
generalnetworkerror
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.