Alamat IPv4 Perencanaan Ruang Praktik Terbaik

16

Sebuah pertanyaan baru-baru ini dari Craig Constantine berkaitan dengan IPv6, tetapi banyak orang belum berada pada posisi terdepan dengan IPv6 dan masih bertanggung jawab atas penyebaran IPv4 yang baru atau lebih baik.

Saya ingin memvalidasi perencanaan ruang alamat IPv4 perusahaan saya sendiri terhadap dokumen publik atau panduan yang diberikan langsung di sini. Mengatasi memiliki beberapa kebutuhan unik antara DC dan Kampus yang idealnya dipertimbangkan.

Saya secara khusus mencari untuk melihat apa praktik terbaik yang ada untuk merencanakan penugasan ruang IP privat (RFC1918) untuk kawasan, kota, kampus, gedung, lantai, uplink, tautan WAN, loopback, dll. Kabel vs nirkabel. Jaringan internal vs. jaringan tamu. * Saya tahu ini sendiri bisa menjadi pertanyaan terbuka, jadi saya mencari referensi atau contoh spesifik untuk rencana yang telah terbukti dan dipikirkan dengan cara yang mirip dengan jawaban IPv6. Blok CIDR yang disarankan akan sangat membantu ketika ruang dialokasikan.

Agregasi untuk perutean, tentu saja, diinginkan, dan begitu pula kemampuan untuk memiliki ACL yang disederhanakan. Ada trade-off di ACL dengan keinginan untuk mengagregasi semua subnet karyawan, misalnya, apakah kabel atau nirkabel vs menggabungkan semua pengguna nirkabel terlepas dari apakah mereka karyawan, kontraktor, atau tamu.

ipv4 best-practices generalnetworkerror
sumber

Jawaban:

10

Berada di sebuah perusahaan semi-kecil, kami menghancurkan jaringan pribadi kami dengan agak liberal:

/ 24 per Vlan / 16 per lokasi

Vans tersebar, melompati 10/24 per. Nomor Vlan cocok dengan oktet ketiga. Lokasi berurutan, mulai 10/16 di.

yaitu

  • 10.10.1.0/24 - Lokasi A, Manajemen Vlan 1

  • 10.10.11.0/24 - Lokasi A, Vlan Nirkabel 11

  • 10.11.11.0/24 - Lokasi B, Wireless Vlan 11

  • 10.11.81.0/24 - Lokasi B, SAN Vlan 81

  • 10.11.101.0/24 - Lokasi B, Kantor Kabel Vlan 101

Contoh Vlan:

  • 1 - manajemen

  • 2 - manajemen untuk nirkabel

  • 11 - akses nirkabel

  • 21 - tamu

  • 31 - perangkat seluler

  • 41 - peralatan pabrik

  • 51 - SAN

  • 61 - VoIP

  • 71 - Akses kabel

Dan seterusnya.

Manfaat yang kami lihat dengan ini adalah:

  • Mudah merujuk ke seluruh lokasi melalui / 16. Kami menggunakan ini cukup sering untuk ACL VPN.

  • Mudah dikelompokkan jenis perangkat bersama untuk pemfilteran web.

  • Setiap Vlan dalam 10/24 berikutnya milik tipe yang sama dengan root sebelumnya.

    • Jadi misalnya, peralatan pabrik ... Vlan 31, untuk vendor tertentu yang memiliki akses jarak jauh 24/7, kami memberi mereka Vlan mereka sendiri, 32 atau 33 atau 34, hingga 40. Akses VPN mereka membatasi mereka ke peralatan yang mereka gunakan. mendukung tanpa mendapatkan rincian tentang IP / ACE. Jika tim manufaktur perlu memasukkan lebih banyak peralatan, kami tidak perlu memperbarui ACL VPN. Ini juga termasuk akses ACL / ACE antara Vans.

    • Contoh lain: SAN Vans, kami menggunakan dua dari mereka minimal untuk redundansi. Jadi mereka selalu 81 dan 82.

    • Contoh terakhir: Manajemen nirkabel dipecah menjadi Vlan sendiri, 2. Kami melakukan ini karena kami memiliki cukup AP untuk memerlukan pengontrol WLAN tetapi tidak ada anggaran untuk pengontrol. Vlan ini menggunakan opsi tftp dan dhcp untuk mengkonfigurasi dan mem-boot AP secara otomatis dari repo konfigurasi pusat dan kami tidak ingin peralatan lain yang bisa boot otomatis untuk menarik konfigurasi nirkabel.

Pengaturan ini memberi kita cara mudah untuk melihat IP dan mengetahui lokasi dan jenis peralatan miliknya. Ini berarti lebih sedikit ACL / ACE dalam file konfigurasi untuk kami, terutama pada pengguna VPN terbatas. Kami juga memiliki ruang bernapas untuk ekspansi jika kami kehabisan IP di Vlan atau karena kami perlu memisahkan lalu lintas lebih lanjut. Dan karena kami adalah perusahaan kecil, kami belum membobol penomoran lokasi tiga digit. Banyak ruang pertumbuhan.

some_guy_long_gone
sumber
Dengan memberikan a / 16 untuk setiap lokasi dan tetap pada rencana itu juga memungkinkan Anda untuk meringkas tautan WAN antara lokasi yang baik dari perspektif tabel-perutean. Dengan asumsi Anda memiliki desain inti / distribusi yang tepat!
knotseh
9

Mengingat bahwa IPv4 telah ada sejak lama, ada jutaan cara berbeda yang orang pilih untuk mengalokasikan ruang IPv4 mereka.

Bagi kami (ISP), kami menggunakan ukuran subnet sekecil mungkin pada tautan transit murni (biasanya 30) dan kemudian dalam hal pelanggan, itu tergantung pada apa kebutuhan mereka, karena seberapa pendek setiap orang menggunakan IPv4 berarti bahwa alih-alih menggunakan aturan selimut Anda harus mengambil setiap pelanggan sebagai entitas mereka sendiri dan mengumpulkan persyaratan mereka sesuai.

Itu semua tentu saja jika Anda merujuk ke ruang IPv4 PUBLIK, dalam hal hal-hal RFC1918 internal kemudian rencanakan alokasi Anda sehingga Anda membangun ruang untuk ekspansi (mis. Sebuah bangunan hanya memiliki 50 orang di dalamnya, jangan beri mereka / 26 saja karena ini adalah subnet berukuran berikutnya tetapi mungkin memberi mereka / 24 untuk memungkinkan ekspansi.

Praktik baik lainnya adalah mengalokasikan ke agregat, yaitu jika Anda memiliki bangunan dengan 10 lantai mengalokasikan a / 20 (atau lebih besar) untuk bangunan dan kemudian mengalokasikan subnet untuk setiap lantai / departemen dari itu / 20, dengan cara itu Anda bisa hanya beriklan / 20 ke seluruh jaringan Anda daripada semua subnet individu untuk setiap lantai.

David Rothera
sumber
Diedit Q. untuk menunjukkan saya sebagian besar tertarik pada perencanaan ruang IP pribadi. Saya berasumsi menggabungkan adalah tujuan yang dipahami semua orang, tetapi saya akan menambahkannya untuk menjelaskan yang diinginkan.
generalnetworkerror