Як вибрати IP-адресу?

У житті системного адміністратора завжди настане момент, коли потрібно визначити підмережу IP. Будь то ваша маленька домашня локальна мережа або нескінченна компанія WAN, де божевілля ховається в глибині невідомих маршрутів, IP-адреси завжди потрібно буде обирати, ділити і призначати якомусь пристрою, заслуговуючи на це чи ні. І, перебуваючи в «реальному світі» публічного Інтернету, вам доведеться просто виконувати накази свого провайдера, ви можете вибрати свій шлях і свою остаточну долю, коли справа стосується вашої власної приватної мережі.

Як усі знають (або повинні знати), могутній RFC 1918 заявляє, що IP-адреси приватної мережі можуть потрапляти лише у три великі блоки:

192.168.0.0/16
172.16.0.0/12
10.0.0.0/8

Який ваш улюблений?
Наскільки великою ви зазвичай вирішуєте створити підмережу, незалежно від кількості пристроїв, які вам дійсно потрібні для підключення до неї?
Як ви вважаєте, це повинно бути зведене до мінімуму, або воно повинно бути максимально великим і славним?
Чи вірите ви в закон і порядок «круглих» підмереж (/ 8, / 16, / 24), чи ви віддаєте перевагу анархії та повзаючому хаосу «необмежених»?
Чи слідкуєте ви за священною школою нашого шлюзу .1, Нечестивим храмом ні, яким воно має бути .254, або богохульним вченням ордену його закінчиться те, чим ми хочемо закінчити це?
Чи відчуваєте ви в душі, що Сервери повинні мати "низькі" адреси, а Клієнти повинні використовувати "високі"? Або лише Доля визначатиме, як слід викликати Сервер та Клієнта?
Чи завжди ви використовуєте (або намагаєтесь використовувати) однакові кінцеві номери у всіх підмережах, якими ви керуєте, щоб ви могли знайти свій шлюз та свій DNS в годину вашої великої потреби?
Ви вірите в DHCP чи в статичну адресацію? І чи вірите ви в їх гібридну дитину, DHCP із застереженнями, навіть для машин, які не потребують клієнтів, таких як мережеві принтери, або, можливо, всі боги пробачать вам, сервери?

"Take this and divide it; this is my 2^32 address space,
 which shall be endlessly fragmented for all your addressing needs,
 until IPv6 may finally come."

Я вклоняюся в альтер 00001010/11111111. Боги будуть розлючені, якби ви не прагнули до найбільшої з мереж. Це дозволяє отримати найбільшу гнучкість і найменше конфлікт з мережами плебсу.

Я вважаю, що приємний / 24 - це ідеальний розмір для більшості мереж, у вас є місце для розтягування, нехай у серверів є деяка дихальна кімната, вам потрібно пам’ятати, що в них є проблеми з особистим простором, як у нас.

Єдиний раз, коли я витрачаю клітини мозку, які мені надали боги мереж і серверів, щоб підмережу значно далі, це ті пристрої, які вважають їх кращими за всі інші - маршрутизатори, комутатори, брандмауери, на які я дивлюся ВИ! Ті, кого я намагаюся обмежити до / 25 або менших, інакше їхні почуття почнуть поширюватися на сервери, і ви просто не можете дозволити серверам вийти з ладу. Погано, погані речі трапляються, якщо ви відпустите це, файли почнуть зникати, служби виходять з ладу, непогано, кажу вам, нічого поганого! Щоб утримати мережевий механізм в черзі, ми дозволяємо маршрутизаторам / брандмауерам використовувати перші корисні адреси в підмережі (це може бути .1 ... може бути .33 - залежить від вашої мережевої маски), яка зазвичай підтримує їх у відповідність.

"Ніколи не будеш змішувати клієнтів і сервер, бо якщо ти будеш робити велику битву, і принесеш розорення тим, хто вважає, що може їх контролювати" -БОФІЯ 20:15

"Бо якщо ви нехай немитий безперешкодний доступ до ваших найдорожчих ресурсів, ви будете викинуті з храму наших богів і закріплені - Користувач" -BOFH 16: 2

Немає вагомих причин мати сервер DHCP у виробничій мережі - сервер будує так, виробництво НІ. Клієнтські мережі, завжди мають DHCP, бронювання там, де вони вам потрібні (або вимагає аудитор!)

"Ти, хто керує розподілом мережі, переконуєшся, що це добросовісно для нього і ніхто більше" -BOFH 1: 1

... перекладено так, використовуйте ті ж адреси хостів, де ви можете ... все буде простіше.

Окрім усіх наведених тут мудрих пропозицій, я знайшов корисним: задля комфорту не уникайте тієї самої мережі, що і ваш офіс чи інші локальні мережі, до яких, можливо, доведеться підключитися (віддалено).

Цей підказок значно покращив моє життя VPN: наприклад, однакова підмережа може бути роздратованою, коли це 192.168.0.1може бути ваш домашній маршрутизатор і віддалений сервер, який ви намагаєтеся виправити. Тоді вам доведеться додати маршрут вручну через інтерфейс VPN тощо.

Для всього іншого є Mastercard.

Моє поточне улюблене рішення для адрес для налаштування на багато сайтів.

10.DATACENTER.RACK.RACKU + 100

Кожна стійка отримує a / 24, яку я завершую на пару основних перемикачів / маршрутизаторів.

Він досить орієнтований на деталі, але я можу зробити багато висновку, просто переглянувши IP-адресу.

З парою основних маршрутизаторів у мене є два плаваючі маршрути за замовчуванням .1 та .2. (HSRP / VRRP) Фактичними IP-адресами інтерфейсу є .3 та .4.

Швидкий нам маршрут за замовчуванням до .1 Навіть маршрут за замовчуванням до .2

Я поставив діапазон DHCP на 200-240 для того, щоб робити черевики PXE тестування до призначення офіційного IP.

10.xxx; анархія та повзаючий хаос (/ 22 - насправді проклята корисна підмережа, не надто велика і не занадто мала, тому зберігайте однакові незалежно від розміру, другий октет визначає первинне місце розташування, третій визначає підрозташування); шлюз завжди 1, сервери починаються з 11 (з основним DNS - 11), потім клієнти (починаючи з 10.x.1.x / 10.x.5.x / тощо за допомогою підмережі / 22), нарешті принтери та інші пристрої (починаючи з 10.x.3.x, 10.x.7.x тощо); сервери з однаковими ролями у кожній підмережі мають ту саму адресу, де це можливо; DHCP для клієнтських ПК, статичний для всього іншого, резервації, які використовуються для певних "спеціальних" клієнтів, де є застарілі програми та застарілі моделі безпеки, які покладаються на конкретну IP-адресу.

Ось про це. :)

Розмір підмережі, звичайно, слід вибирати виходячи з розміру мережі, маючи достатньо місця для подальшого розширення, оскільки повторна адресація - це завжди біль. Отож, мої улюблені підмережі - це ті, що почалися з 192.168. і 10.: Я справді не витримую 172. тих, і, звичайно, це не має жодної раціональної причини: це суто естетичне питання.

Я віддаю перевагу "круглим" підмережам, тому що з ними набагато простіше запам'ятати маски підмережі, мережі та широкомовні адреси та знати, до якої підмережі належить адреса.

Я схильний вибирати підпромережі 192.168.X класу-С для невеликих мереж, де 254 адрес точно буде достатньо; Я зазвичай тут досить консервативний і йду з найпростішими з них: 192.168.0 і 192.168.1; Також мені подобається 192.168.42.0/24, з очевидних причин .

Для великих мереж я зазвичай дотримуюся того самого принципу: використовуючи 10. адреси, ви можете мати 256 підмереж 65534 хостів або 65536 підмереж з 254 хостів: більш ніж достатньо для будь-якої мережі, без необхідності фантазії / 13, / 28 або / 27 підмереж. Звичайно, завжди можуть бути винятки, але це моє загальне правило.

Я твердо вірю в порядок, коли мова йде про управління мережами та системами, тому що комп'ютерні системи, як правило, хаотичні за своєю суттю (як і в теорії хаосу): найменша помилка може мати непередбачувані результати. У мережевій адресації я намагаюся завжди використовувати однакові кінцеві адреси для одних і тих же ролей; це моя типова поломка мережі класу C:

.1 - шлюз за замовчуванням.
.11 та .12 (а може бути .13, .14 тощо) - це контролери домену, DNS та WINS (якщо вони використовуються).
.25 - поштовий сервер.
.80 - веб-сервер або проксі-сервер (якщо такий є).

Я зазвичай використовую "низькі" адреси для серверів і "високі" для клієнтів; перші завжди статичні, а інші призначаються за допомогою DHCP. Я великий шанувальник DHCP і динамічного DNS для клієнтів, але ніколи не використовую його для серверів та інших "фіксованих" систем, таких як мережеві принтери та сканери.

Якщо мережа є більшою та сегментованою, я люблю розміщувати сервери в одній підмережі та клієнтах в іншому місці; клієнтських (і навіть серверних) підмереж, звичайно, може бути більше однієї, якщо мережа досить велика, щоб вимагати VLAN.

Мені подобається 10. Це приємно і коротко, і пропонує величезну кількість можливостей для розширення.

Після 10 я зазвичай працюю в / 16, але планую їх до / 8 (що зазвичай є приємним розміром для бізнес-підрозділу). Робота в 8-х приємна тим, що (якщо ваша компанія не є масовою) ви можете просто призначити бізнес-підрозділ 10.1.0.0, і вам не доведеться турбуватися про те, що в них незабаром не вистачить місця. Очевидно, якщо у вас більше 255 бізнес-одиниць, мммв.

Зазвичай я використовую 1 для шлюзу, просто тому, що це легко запам'ятовує. У будь-якому випадку, якщо ви використовуєте одне і те ж число у кожній підмережі, це не має значення. Крім шлюзу, я не резервую конкретні ips для конкретних типів серверів.

Зазвичай я скидаю всі сервери на власні підмережі гетто, тож я можу стежити за ними і переконуюсь, що вони не змішуються з хитрими настільними комп'ютерами. Якщо мені доведеться їх змішувати, то, так, я резервую перші 50 або близько того адрес для серверів / нічого, що потребує статичного ip. Знову ж таки, справа лише в тому, щоб менше набирати текст. Користувачі настільних комп’ютерів рідко дбають, що таке IP-адреса, і вам не часто потрібно вводити його.

Мені подобається DHCP (у нас є тонни ноутбуків), але вам потрібно пару, що з зареєстрованими MAC-адресами, або будь-який шум з вулиці може зайти і підключити, і це ні-ні. MAC не захищені, але вони, принаймні, настільки ж хороші, як і статика, що стосується безпеки. Я не використовую "зареєстрований" DHCP; Я не людина з Windows DHCP. Якщо у мене буде статистика і динаміка в одній підмережі, я просто встановив діапазон DHCP 51-255 або подібний, і ставлю статику в 1-50.