IPv4 Найкращі практики планування адресного простору

Нещодавнє запитання від Крейга Константина стосувалося IPv6, але багато людей ще не знаходяться на передовій із IPv6 і все ще відповідають за нові або вдосконалені розгортання IPv4.

Я хотів би підтвердити планування власного корпоративного IPv4 адресного простору щодо будь-яких публічних документів або вказівок, що даються тут. Адресація має деякі унікальні потреби між DC та Campus, які в ідеалі будуть враховані.

Я спеціально шукаю, щоб побачити, які найкращі практики існують для планування приватного призначення (RFC1918) IP-простору для регіонів, міст, кампусів, будівель, поверхів, посилань, WAN-посилань, зворотних зворотних зв'язків тощо . Внутрішні мережі проти гостьових мереж. * Я знаю, що це самостійно може бути чимось відкритим питанням, тому я шукаю конкретні посилання або приклади перевірених і продуманих планів аналогічно до відповідей IPv6. Запропоновані блоки CIDR були б корисними при виділенні місця.

Зрозуміло, бажано, що агрегація для маршрутизації є такою, як і можливість спрощених ACL. Існує компроміс у ACL з бажанням об'єднати всі підмережі співробітників, наприклад, провідну чи бездротову порівняно з об'єднанням усіх бездротових користувачів незалежно від того, чи є вони працівниками, підрядниками чи гостями.

Будучи напівмалою компанією, ми розкрили нашу приватну мережу дещо ліберально:

/ 24 за Влан / 16 на місце розташування

Влани розкидані, пропускаючи 10/24 в рік. Номер Влана відповідає третьому октету. Місцеположення послідовні, починаючи з 10-16 в.

тобто

• 10.10.1.0/24 - Місце розташування A, Управління Vlan 1

• 10.10.11.0/24 - Місце A, Wireless Vlan 11

• 10.11.11.0/24 - Місце B, Wireless Vlan 11

• 10.11.81.0/24 - Місце B, SAN Vlan 81

• 10.11.101.0/24 - Місце B, Провідний офіс Vlan 101

Приклади Vlan:

• 1 - управління

• 2 - управління бездротовим зв’язком

• 11 - бездротовий доступ

• 21 - гості

• 31 - мобільні пристрої

• 41 - заводське обладнання

• 51 - САН

• 61 - VoIP

• 71 - Провідний доступ

І так далі.

Переваги, які ми побачили з цим, є:

• Легко посилатися на всю локацію через / 16. Ми використовуємо це досить часто для VPN ACL.

• Легко групувати типи пристроїв разом для веб-фільтрації.

• Будь-який Vlan протягом наступних 10/24 років належить до того ж типу, що і попередній корінь.

  • Так, наприклад, фабричне обладнання ... Vlan 31, для деяких постачальників, які мають цілодобовий віддалений доступ, ми надали їм власні Vlan, 32 або 33 або 34, до 40. Їх VPN доступ обмежує їх на обладнання, яке вони підтримка, не отримуючи детальної інформації щодо IP / ACE. Якщо виробничому колективу потрібно скинути більше обладнання, нам не доведеться оновлювати VPN ACL. Сюди також входить доступ ACL / ACE між вланами.

  • Інший приклад: Влани SAN, ми використовуємо як мінімум два для надмірності. Тож вони завжди 81 і 82.

  • Останній приклад: управління бездротовим зв’язком підключено до власної Vlan, 2. Ми це робимо, оскільки у нас достатньо AP-серверів, щоб мати потребу в контролері WLAN, але немає бюджету на контролери. Цей Vlan використовує параметри tftp та dhcp для автоматичної настройки та завантаження точок доступу з центрального конфігураційного репо, і ми не хочемо, щоб інше обладнання, яке може автоматично завантажуватися, витягувало бездротові конфігурації.

Ця настройка дає нам простий спосіб переглянути IP та дізнатися місце розташування та тип обладнання, до якого він належить. Це означає менше ACL / ACE в файлах конфігурації для нас, особливо для обмежених користувачів VPN. У нас також є дихання для розширення у випадку, якщо у нас закінчиться IP-адреси у Влані або тому, що нам потрібно подальше розмежувати трафік. А оскільки ми невелика компанія, ми ще не розбили на тризначну нумерацію місць. Багато кімнати для росту.

Зважаючи на те, що IPv4 існує так довго, існує мільйон різних способів, що люди вирішують виділити свій простір IPv4.

Для нас (Інтернет-провайдера) ми використовуємо найменший розмір підмережі на чистих транзитних посиланнях (/ 30, як правило), і тоді, з точки зору клієнтів, це залежить від їхніх потреб, через те, наскільки короткий час усі на IPv4 означає, що замість використання правило, ви повинні прийняти кожного клієнта як свою власну сутність і відповідно зібрати його вимоги.

Це, звичайно, якщо ви мали на увазі простір PUBLIC IPv4, то з точки зору внутрішніх матеріалів RFC1918 тоді сплануйте свої асигнування так, щоб ви будували приміщення для розширення (наприклад, у будівлі всього 50 людей у ​​ньому, не дайте їм / 26 просто оскільки його підмережа наступного розміру, але, можливо, дасть їм / 24, щоб дозволити розширення.

Ще однією хорошою практикою є виділення для агрегації, тобто якщо у вас будинок на 10 поверхів виділяє a / 20 (або більше) для будівлі, а потім виділити підмережі для кожного поверху / відділення з цього / 20, таким чином ви можете рекламуйте лише / / 20 для іншої мережі, а не всі окремі підмережі для кожного поверху.