Как вы выбираете свою IP-адресацию?

В жизни системного администратора всегда наступает момент, когда необходимо определить IP-подсеть. Будь то небольшая домашняя локальная сеть или бесконечная глобальная сеть компании, где безумие скрывается в глубинах неизвестных маршрутов, IP-адреса всегда нужно будет выбирать, разделять и назначать какому-либо устройству, заслуживает оно или нет. И, хотя в «реальном мире» общедоступного Интернета вам нужно будет просто подчиняться приказам вашего интернет-провайдера, вы можете свободно выбирать свой путь и свою конечную судьбу, когда речь заходит о вашей собственной частной сети.

Как все знают (или должны знать), могучий RFC 1918 утверждает, что IP-адреса частных сетей могут быть разбиты только на три больших блока:

192.168.0.0/16
172.16.0.0/12
10.0.0.0/8

Какой твой любимый?
Насколько большой вы обычно выбираете создание подсети, независимо от того, сколько устройств вам действительно нужно для подключения к ней?
Как вы думаете, это должно быть сведено к минимуму, или это должно быть как можно лучше и славнее?
Вы верите в закон и порядок «круглых» подсетей (/ 8, / 16, / 24), или вы предпочитаете анархию и ползучий хаос «окружающих»?
Соблюдаешь ли ты Священную Школу Наших Ворот, Должно Быть .1, Нечестивый Храм Нет, Должно Быть .254, или богохульные учения Ордена Оно должно закончиться тем, чем мы хотим, чтобы это закончилось?
Чувствуете ли вы в своем сердце, что серверы должны иметь «низкие» адреса, а клиенты должны использовать «высокие»? Или только Fate определит, как будут называться Сервер и Клиент?
Всегда ли вы используете (или пытаетесь использовать) одни и те же конечные номера во всех подсетях, которыми вы управляете, чтобы вы могли найти свой шлюз и DNS в час вашей большой нужды?
Вы верите в DHCP или в статическую адресацию? И вы верите в их гибридного ребенка, DHCP с резервированием, даже для не клиентских машин, таких как сетевые принтеры, или, может, все боги простят вас, серверы?

"Take this and divide it; this is my 2^32 address space,
 which shall be endlessly fragmented for all your addressing needs,
 until IPv6 may finally come."

Я поклоняюсь на алтаре 00001010/11111111. Боги рассердились бы, если бы вы не тосковали по крупнейшей сети. Это обеспечивает большую гибкость и наименьшее количество конфликтов с сетями плеба.

Я считаю, что nice / 24 - это идеальный размер для большинства сетей, у вас есть пространство для растяжения, пусть у ваших серверов есть передышка, вы должны помнить, что у них есть проблемы с личным пространством, как у всех нас.

Единственный раз, когда я трачу мозговые клетки, предоставленные мне богами сетей и серверов, на подсети гораздо дальше, это те устройства, которые считают, что они лучше всех остальных - маршрутизаторы, коммутаторы, брандмауэры, на которые я смотрю ВЫ! Те, кого я пытаюсь ограничить до / 25 или меньше, иначе их высокомерие начнет распространяться на серверы, и вы просто не сможете позволить серверам выйти из строя. Плохие, плохие вещи случаются, если вы позволяете этому продолжаться, файлы начинают исчезать, происходит сбой служб, не хорошо, говорю вам, ничего хорошего! Тем не менее, чтобы поддерживать сетевой механизм в рабочем состоянии, мы позволяем маршрутизаторам / брандмауэрам использовать первые используемые адреса в подсети (может быть .1 ... может быть .33 - зависит от вашей сетевой маски), которая обычно поддерживает их в очереди.

«Никогда не смешивай клиентов и сервер, потому что, если ты сделаешь это, будет великая битва, и принесешь гибель тем, кто верит, что они могут контролировать их» - БОФ 20:15

«Ибо если вы позволите немытому беспрепятственному доступу к вашим самым ценным ресурсам, вы будете выброшены из храма наших богов и заклеймены - пользователь» - BOFH 16: 2

Нет веской причины иметь DHCP-сервер в рабочей сети - сборка сервера да, производство НЕТ. В клиентских сетях всегда есть DHCP, резервирование там, где они вам нужны (или требуются вашим аудитором!)

«Вы, кто контролирует распределение сети, чертовски уверены, что это удобно ему и никому другому» - БОФ 1: 1

... переведено да используйте те же адреса хостов, где вы можете ... все будет проще.

Помимо всех мудрых предложений, приведенных здесь, один, который я счел полезным: для удобства избегайте использования той же сети, что и ваш офис, или других локальных сетей, к которым вам, возможно, придется подключаться (удаленно).

Этот совет значительно улучшил мою жизнь VPN: например, наличие одной и той же подсети может раздражать, когда 192.168.0.1вы пытаетесь исправить домашний маршрутизатор и удаленный сервер. Затем вам нужно будет добавить маршрут через интерфейс VPN и т. Д.

Для всего остального есть Mastercard.

Мое любимое решение для адресации для настройки нескольких сайтов.

10.DATACENTER.RACK.RACKU + 100

Каждая стойка получает / 24, который я заканчиваю на паре основных коммутаторов / маршрутизаторов.

Он в значительной степени ориентирован на детализацию, но я могу многое сделать, просто посмотрев на IP-адрес.

С парой основных маршрутизаторов у меня есть два плавающих маршрута по умолчанию .1 и .2. (HSRP / VRRP) Фактические IP-адреса интерфейсов .3 и .4.

Маршрут Odd Us по умолчанию к .1 Маршрут Odd Us по умолчанию к .2

Я установил диапазон DHCP в 200-240 для тестирования PXE перед назначением официального IP.

10.xxx; анархия и ползучий хаос (на самом деле / ​​22 - чертовски полезная подсеть, не слишком большая и не слишком маленькая, поэтому сохраняйте одно и то же независимо от размера, второй октет определяет первичное расположение, третий - под-местоположение); шлюз всегда равен 1, серверы начинаются с 11 (первичный DNS равен 11), затем клиенты (начиная с 10.x.1.x / 10.x.5.x / etc с использованием подсети / 22), наконец принтеры и другие устройства (начиная с 10.x.3.x, 10.x.7.x и т. д.); серверы с одинаковыми ролями в каждой подсети по возможности имеют одинаковый адрес; DHCP для клиентских ПК, статический для всего остального, резервирование, используемое для определенных «специальных» клиентов, где существуют устаревшие приложения и устаревшие модели безопасности, которые полагаются на определенный IP-адрес.

Вот и все. :)

Размер подсети, конечно, должен быть выбран в зависимости от размера сети, с достаточным пространством для будущего расширения, потому что переадресация - это всегда большая боль. Тем не менее, мои любимые подсети - это те, которые начинаются с 192.168. и 10 .: Я действительно не могу терпеть 172. те, и, конечно, это не имеет какой-либо рациональной причины: это чисто эстетическая проблема.

Я предпочитаю «круглые» подсети, потому что с ними намного проще запомнить маски подсетей, сети и широковещательные адреса, а также узнать, к какой подсети принадлежит адрес.

Я предпочитаю выбирать подсети класса 192.168.X для небольших сетей, где 254 адресов, безусловно, будет достаточно; Здесь я обычно довольно консервативен и придерживаюсь самых простых из них: 192.168.0 и 192.168.1; Мне также очень нравится 192.168.42.0/24, по понятным причинам .

Для больших сетей я обычно придерживаюсь того же принципа: используя 10. адреса, вы можете иметь 256 подсетей из 65534 хостов или 65536 подсетей из 254 хостов: более чем достаточно для любой сети, без необходимости использования fancy / 13, / 28 или / 27 подсетей. Конечно, всегда могут быть исключения, но это мое общее правило.

Я твердо верю в порядок, когда дело доходит до управления сетями и системами, потому что компьютерные системы, как правило, хаотичны по своей сути (как в теории хаоса): наименьшая ошибка может привести к непредсказуемым результатам. В сетевой адресации я стараюсь всегда использовать одни и те же конечные адреса для одних и тех же ролей; это моя типичная поломка сети класса C:

.1 - это шлюз по умолчанию.
.11 и .12 (и, возможно, .13, .14 и т. Д.) Являются контроллерами домена, серверами DNS и WINS (если используются).
.25 это почтовый сервер.
.80 - веб-сервер или прокси-сервер (если есть).

Я обычно использую «низкие» адреса для серверов и «высокие» для клиентов; Первые всегда статические, а вторые назначаются с использованием DHCP. Я большой поклонник DHCP и динамического DNS для клиентов, но я бы никогда не использовал его для серверов и других «фиксированных» систем, таких как сетевые принтеры и сканеры.

Если сеть больше и сегментирована, я бы хотел разместить серверы в одной подсети, а клиентов - в других местах; Клиентские (и даже серверные) подсети, конечно, могут быть более одной, если сеть достаточно велика, чтобы требовать VLAN.

Мне нравится 10. Это красиво и коротко, и предлагает огромное количество возможностей для расширения.

После 10 я обычно работаю в / 16-х, но планирую их на / 8-е (что обычно является хорошим размером для бизнес-единицы). Работать в восьмерке приятно, потому что (если ваша компания не очень большая), вы можете просто назначить бизнес-единицу 10.1.0.0, и вам не придется беспокоиться о том, что в ближайшее время им не хватит места. Очевидно, что если у вас более 255 бизнес-единиц, мммм.

Я обычно использую 1 для шлюза, просто потому, что его легко запомнить. В любом случае, если вы используете один и тот же номер в каждой подсети, это не имеет значения. Кроме шлюза, я не резервирую определенные ips для определенных типов серверов.

Обычно я сбрасываю все серверы в свои собственные подсети гетто, чтобы следить за ними и следить за тем, чтобы они не смешивались с дерьмовыми рабочими столами. Если мне нужно, чтобы они смешивались, тогда, да, я резервирую первые 50 или около того адресов для серверов / всего, что требует статического ip. Опять же, это просто вопрос меньше печатать. Пользователи настольных компьютеров редко заботятся о том, что их IP, и вам не нужно вводить его.

Мне нравится DHCP (у нас тонны ноутбуков), но вам нужно соединить его с зарегистрированными MAC-адресами, или любой придурок с улицы может зайти и подключиться, и это нет, нет. MAC не являются безопасными, но они, по крайней мере, так же хороши, как статические, что касается безопасности. Я не использую "зарегистрированный" DHCP; Я не Windows DHCP человек. Если я хочу, чтобы статика и динамика были в одной подсети, я просто установил диапазон DHCP на 51-255 или около того, а статику на 1-50.