Đề án IP / mạng con / dns sáng tạo

Tôi chỉ quản lý các mạng khá nhỏ (<= 25 nút). Thông thường tôi đặt gateway .1, dns / proxy là .10, mail ở .20, máy in ở .30-39, v.v. Tôi không bao giờ trực tiếp sử dụng địa chỉ IP làm tên máy chủ DNS rõ ràng là cách tốt hơn, nhưng tôi muốn có một mẫu / bố cục / thiết kế rõ ràng khi xây dựng một mạng từ đầu.

Ánh xạ DNS của tôi cũng có một mẫu / bố cục đặt tên đơn giản. Ví dụ: tất cả các thiết bị của tôi có hai tên; một tên chính thức dựa trên vai trò (dc01, mail02, v.v.) và một tên không chính thức. Không có gì lạ mắt, nhưng thực sự đơn giản và dễ quản lý.

Tôi đang cố gắng tìm ra sơ đồ IP / Subnet / DNS trực quan / sáng tạo hơn (nếu có thứ gì đó tốt hơn). Tôi chắc rằng những người khác có các sơ đồ trực quan hơn tùy thuộc vào các mục tiêu mạng và như vậy. Mạng của tôi mà tôi đang làm việc vẫn còn nhỏ, nhưng tôi có rất nhiều thiết bị để tranh đấu.

Tôi đang tìm kiếm một mô hình hoặc phương pháp chung để gán địa chỉ IP (phạm vi / lớp), tên dns và mạng con bao gồm 4-5 điểm chính:

1. Dịch vụ mạng (thư, tệp, proxy, v.v.)
2. Phát triển phần mềm (môi trường - dev / staging / prod,
3. Phương tiện (truyền phát, chuyển tập tin lớn, lưu trữ)
4. Máy chủ / máy tính để bàn ảo
5. VoIP

Tôi chưa bao giờ làm việc trực tiếp với VoIP nhưng đó là điều cần xem xét cho tương lai.

Nhìn chung, tôi có một số ý tưởng thực sự tốt từ mọi người. Ước gì tôi có thể đưa ra nhiều phiếu / câu trả lời được chấp nhận. Cảm ơn các câu trả lời!

Giữ cho nó đơn giản. Đơn giản nhất có thể, nhưng vẫn cho phép bảo mật và linh hoạt. Thiết kế trừu tượng vào mọi thứ, nghe có vẻ không đơn giản, nhưng thực tế là con đường dẫn đến sự đơn giản.

Đối với mạng con, điều này khá phổ biến:

• Người dùng trên một mạng con
• Khách trên khác
• Máy chủ trên mạng con của họ
• VOIP cũng vậy.

Lọc lưu lượng qua mỗi mạng con khi cần thiết. Có thể sử dụng Vlan. Tôi hy vọng bạn quen thuộc với CLI của nhà cung cấp thiết bị mạng mà bạn chọn.

Đối với DNS, bạn sẽ không thích điều này nhưng ... sử dụng bất cứ điều gì phù hợp với bạn. Cá nhân, tôi muốn cung cấp cho các máy chủ một tên máy chủ hoàn toàn trừu tượng mà không có mối quan hệ nào với các dịch vụ của nó. Tôi sau đó dịch vụ CNAME đến tên máy chủ. Bằng cách đó, các dịch vụ di chuyển không gây đau đầu thay đổi DNS. Hoặc ít nhất, không nhiều như vậy. Tôi cũng thích đặt tên máy chủ ảo với av được đặt trước tên máy chủ.

Ví dụ:

• Máy chủ cơ sở dữ liệu mới được đặt tên là Athena. Nó sẽ được đặt tên là Athena mãi mãi.
• Athena được CNAMED cho những gì nó làm: SQL08ENT-CRM, SQL08ENT-AEGIS (hệ thống bảo mật), SQL08ENT-DOCMAN. Có lẽ cũng CNAMED dựa trên địa lý. Hoặc có lẽ tên máy chủ sẽ có địa lý trong đó. Athena-ATL. Athena-Sydney. Dù làm việc gì.
• Máy chủ nằm trên mạng con máy chủ có chính sách từ chối mặc định. Nó có lưu lượng thích hợp bao gồm nó từ các mạng con thích hợp.

Giữ. Nó. Đơn giản. (nhưng chức năng)

Tôi đã làm việc tại một tổ chức có quy mô tương tự (chúng tôi có / 26), vì những lý do ngoài tôi, các cường quốc có thể cảm thấy rằng một kế hoạch phân bổ IP chi tiết là tối quan trọng đối với tính toàn vẹn hoạt động. Cổng phải là .1, các máy in phải nằm trong khoảng từ .2 đến .12, các máy chủ nằm trong khoảng từ .13 đến .20, v.v. Chúng tôi thậm chí còn giữ tài liệu trên các máy chủ cá nhân.

Đây là một nỗi đau rất lớn ở mông. Cho dù tôi có siêng năng đến đâu tôi dường như không bao giờ có thể giữ bất kỳ tài liệu nào hiện hành. Không có ích gì khi chúng tôi không có bất kỳ dịch vụ DNS nào, vì vậy sử dụng tài liệu sơ đồ phân bổ IP này là dịch vụ "đặt tên" duy nhất mà chúng tôi có (theo một cách lạ, khiến nó dường như không thể thiếu hơn thực tế).

Đối với một mạng có kích thước của bạn, tôi muốn giới thiệu một số điều (hầu hết trong số đó bạn đã thực hiện):

• Đơn giản - Bạn không quản lý hàng trăm máy chủ. Sự phức tạp của giải pháp của bạn sẽ phản ánh sự phức tạp của môi trường. Chống lại sự cám dỗ để được thông minh quá mức. Bạn sẽ cảm ơn mình sau.

  1. Lấy không gian IP có sẵn của bạn và cung cấp 60% cho khách hàng của bạn thông qua DHCP. Thiết lập một số loại dịch vụ DNS động để bạn không bao giờ phải xem lại địa chỉ IP chết tiệt. Hãy quên việc theo dõi chúng. Lợi nhuận.

  2. Dành 30% khác cho các địa chỉ IP bạn quản lý: máy chủ, máy in, thiết bị mạng, dịch vụ thử nghiệm. v.v ... SỬ DỤNG DNS ĐẾN TÀI LIỆU NÀY. Theo tôi, không có sự lãng phí thời gian nào lớn hơn việc theo dõi cẩn thận tất cả các địa chỉ IP "do quản trị viên" này (trái ngược với các địa chỉ IP được quản lý DHCP) bằng cách sử dụng bảng tính Excel (mà bạn phải liên tục tham khảo và duy trì) , khi bạn có thể đặt nỗ lực đó vào việc hỗ trợ một tài liệu DNS và giải pháp DNS hữu ích hơn nhiều.

  3. Giữ 10% cuối cùng của địa chỉ của bạn ở đầu không gian địa chỉ IP của bạn không được sử dụng. Một chút dự trữ không bao giờ làm tổn thương.

  4. Điều chỉnh các tỷ lệ khi bạn thấy phù hợp với môi trường của bạn. Một số môi trường sẽ có nhiều máy khách hơn, một số môi trường sẽ bị "máy chủ" (nghĩa là "quản trị viên quản lý") nặng nề.

• Dịch vụ mạng (thư, tệp, proxy, v.v.)
• Phát triển phần mềm (môi trường - dev / staging / prod,

Cả hai đều thuộc danh mục không gian IP "do quản trị viên quản lý".

• Phương tiện (truyền phát, chuyển tập tin lớn, lưu trữ)

Theo ý kiến ​​của tôi, điều này ít liên quan đến việc thuê lại và mọi thứ liên quan đến giám sát mạng.

• Máy chủ / máy tính để bàn ảo

Máy chủ là "quản trị viên", máy tính để bàn (tức là máy khách) phải là "DHCP-Managed".

• VoIP

Một mạng riêng biệt sẽ là lý tưởng ... nhưng điều đó không thực tế. Điều tốt nhất tiếp theo sẽ là một Vlan và mạng con riêng biệt. Đây là điểm duy nhất trong mạng nhỏ nơi tôi thực sự cảm thấy cần phải phân tách lưu lượng truy cập (ngoại trừ những thứ có thể truy cập công khai).

Để phân bổ IP

Lời khuyên của tôi là đặt mọi thứ trong mạng con 10.0.0.0/8, sử dụng cấu trúc sau: 10 site.. division.device

• site là một vị trí thực tế hoặc tương đương logic (ví dụ: văn phòng NY, văn phòng NJ, cơ sở DR, môi trường phát triển).
• divisionlà một phân chia hợp lý có ý nghĩa với bạn. ví dụ
  0 => Công tắc / Bộ định tuyến
  1 => Quản trị viên, 2 => Người dùng
  3 => VOIP
  4 => Khách
• devices là các thiết bị riêng lẻ (PC, máy chủ, điện thoại, thiết bị chuyển mạch, v.v.)

Ý tưởng ở đây là bạn có thể dễ dàng xác định thiết bị là gì và địa chỉ của nó ở đâu: 10.2.1.100 là máy trạm của quản trị viên tại "Trang web số 2".

Mô hình này được lấy từ các bài tập IP dựa trên lớp: Lớp A (/ 8) là doanh nghiệp của bạn. Mỗi vị trí nhận được Lớp B (/ 16) và mỗi phân chia logic tại một vị trí sẽ nhận được Lớp C (/ 24) cho thiết bị của họ.
Có thể (và đôi khi mong muốn) sử dụng thứ gì đó lớn hơn a / 24 cho cấp độ "phân chia" và bạn chắc chắn có thể làm như vậy: Mọi thứ từ a / 17 đến a / 24 nói chung là trò chơi công bằng với sơ đồ này.

Đối với tên DNS

Lời khuyên của tôi là tuân theo sơ đồ tương tự với bài tập IP mà tôi đã mô tả ở trên:

• Mọi thứ đều bắt nguồn từ mycompany.com
• Mỗi trang web (/ 16) có sitename.mycompany.comtên miền phụ riêng .
• Các bộ phận logic có thể có một (hoặc nhiều) tên miền phụ trong trang web, ví dụ:
  • voip.mycompany.com(với các thiết bị thích tel0000.voip.mycompany.com, tel0001.voip.mycompany.comvv)
  • switches.mycompany.com
  • workstations.mycompany.com (có thể được chia nhỏ hơn nữa thành quản trị viên, người dùng và khách)
• Các thiết bị nên có tên có ý nghĩa. Ví dụ:
  • Đặt tên điện thoại để bạn có thể thấy tiện ích mở rộng mà chúng đổ chuông dựa trên tên DNS.
  • Đặt tên máy trạm dựa trên người dùng chính của họ.
  • Xác định rõ ràng địa chỉ IP "khách".
  • Đặt tên cho máy chủ để bạn có thể biết chúng là gì / chúng làm gì.
    Điều này có thể được thực hiện bằng cách sử dụng "nhàm chán" tên ( www01, www02, db01, db02, mail, vv) hoặc bằng cách ban hành một sơ đồ đặt tên và gắn bó với nó (ví dụ: máy chủ thư được đặt tên theo các loại đá, các máy chủ web được đặt theo tên cây, máy chủ cơ sở dữ liệu là đặt tên theo họa sĩ).
    Tên nhàm chán dễ dàng hơn cho một người mới để học, kế hoạch đặt tên mát mẻ thú vị hơn. Bạn chọn đi.

Ghi chú linh tinh

Về máy chủ ảo:
Hãy xem xét những giống nhau như thể chúng là máy vật lý (chia tách chúng bằng cách phân chia / mục đích chứ không phải bởi thực tế rằng họ đang "ảo" Có một bộ phận riêng cho mạng Quản trị Hypervisor / VM..
Nó có vẻ quan trọng với bạn bây giờ để biết một hộp là ảo hay vật lý, nhưng khi hệ thống giám sát của bạn nói "Này, Email bị hỏng!" câu hỏi bạn sẽ hỏi là "Máy nào liên quan đến email?", chứ không phải "Máy nào là máy ảo và đó là vật lý?".
Lưu ý rằng bạn kHÔNG cần một cách thực tế của việc xác định liệu một máy là ảo hay vật lý trong trường hợp một loạt hypervisor thổi lên, nhưng điều này là một thách thức đối với hệ thống giám sát của bạn, chứ không phải kiến trúc mạng của bạn.

Về VOIP:
VOIP (đặc biệt là dấu hoa thị) là một từ đồng nghĩa với "Lỗ hổng bảo mật". Loại bỏ tất cả nội dung VOIP của bạn khỏi mạng con riêng và Vlan của chính nó và không để nó gần bất kỳ thứ gì nhạy cảm.
Mọi điện thoại VOIP tôi đã thấy trong năm ngoái đều hỗ trợ phân tách Vlan (trên thực tế tất cả chúng đều hỗ trợ cả Vlan thoại và dữ liệu, do đó bạn vẫn có thể sử dụng điện thoại làm công cụ truyền thông cho các kết nối ethernet trên máy tính để bàn). Tận dụng điều này - Bạn sẽ rất vui vì bạn đã làm nếu / khi môi trường VOIP của bạn bị hack.

Về Kế hoạch và Tài liệu:
Vẽ mạng của bạn trên giấy trước khi bạn bắt đầu gán địa chỉ và tên DNS. Trên thực tế, trước tiên hãy vẽ nó bằng bút chì trên một tờ giấy LỚN.
Phạm nhiều sai lầm
Xóa tự do.
Nguyền rủa lưu loát.
Khi bạn ngừng chửi bới và xóa trong ít nhất 10 ngày, đã đến lúc đưa sơ đồ vào Visio / Graffle / Một số định dạng điện tử khác làm sơ đồ mạng chính thức của bạn. Bảo vệ sơ đồ này. Duy trì nó trong Chính xác nhất khi bạn thêm và xóa thiết bị, phát triển tổ chức và sửa đổi cấu trúc mạng của bạn.
Sơ đồ mạng này sẽ là người bạn tốt nhất của bạn khi bạn phải thay đổi, giải thích mạng cho quản trị viên mới hoặc khắc phục sự cố bí ẩn.