แนวทางปฏิบัติที่ดีที่สุดในการวางแผนพื้นที่ที่อยู่ IPv4

คำถามล่าสุดจาก Craig Constantine เกี่ยวกับ IPv6 แต่มีหลายคนที่ไม่ได้อยู่ในระดับแนวหน้าของ IPv6 และยังคงรับผิดชอบการปรับใช้ IPv4 ใหม่หรือที่ปรับปรุงแล้ว

ฉันต้องการตรวจสอบการวางแผนพื้นที่ที่อยู่ IPv4 ขององค์กรของฉันเองกับเอกสารสาธารณะหรือคำแนะนำที่ให้ไว้ที่นี่โดยตรง การกำหนดที่อยู่มีความต้องการเฉพาะบางอย่างระหว่าง DC และ Campus ที่ควรพิจารณา

ฉันกำลังมองหาวิธีปฏิบัติที่ดีที่สุดสำหรับการวางแผนพื้นที่ส่วนตัว (RFC1918) การมอบหมาย IP สำหรับภูมิภาคเมืองวิทยาเขตอาคารพื้นอัปลิงค์ลิงก์ WAN ลิงค์วนรอบ ฯลฯ สายไร้สาย เครือข่ายภายในกับเครือข่ายแขก * ฉันรู้ว่าสิ่งนี้ด้วยตัวเองอาจเป็นคำถามปลายเปิดดังนั้นฉันจึงมองหาข้อมูลอ้างอิงหรือตัวอย่างที่เฉพาะเจาะจงเกี่ยวกับแผนการที่ได้รับการพิสูจน์แล้ว บล็อก CIDR ที่แนะนำจะมีประโยชน์เมื่อพื้นที่ได้รับการจัดสรร

แน่นอนว่าการรวมกลุ่มสำหรับการกำหนดเส้นทางเป็นสิ่งที่ต้องการและความสามารถในการทำให้ ACL ง่ายขึ้น มีการแลกเปลี่ยนใน ACLs ด้วยความปรารถนาที่จะรวมเครือข่ายย่อยของพนักงานทั้งหมดเช่นสายหรือไร้สายเทียบกับการรวมผู้ใช้ไร้สายทั้งหมดโดยไม่คำนึงว่าเป็นพนักงานผู้รับเหมาหรือแขก

การอยู่ใน บริษัท ขนาดเล็กเราได้แยกเครือข่ายส่วนตัวของเราค่อนข้างอิสระดังนี้:

/ 24 ต่อ Vlan / 16 ต่อสถานที่ตั้ง

Vlans กระจายออกไปข้าม 10/24 วินาทีต่อ หมายเลข Vlan ตรงกับออคเต็ตที่สาม สถานที่ตั้งเป็นลำดับเริ่มต้น 10 / 16s

กล่าวคือ

• 10.10.1.0/24 - ตำแหน่งที่ตั้ง A, การจัดการ Vlan 1

• 10.10.11.0/24 - ตำแหน่ง A, Wireless Vlan 11

• 10.11.11.0/24 - ตำแหน่ง B, Wireless Vlan 11

• 10.11.81.0/24 - ตำแหน่งที่ตั้ง B, SAN Vlan 81

• 10.11.101.0/24 - ตำแหน่ง B, สำนักงานแบบใช้สาย Vlan 101

ตัวอย่าง Vlan:

• 1 - การจัดการ

• 2 - การจัดการไร้สาย

• 11 - การเข้าถึงแบบไร้สาย

• 21 - แขก

• 31 - อุปกรณ์มือถือ

• 41 - อุปกรณ์โรงงาน

• 51 - SAN

• 61 - VoIP

• 71 - การเข้าถึงแบบใช้สาย

และอื่น ๆ

ประโยชน์ที่เราเห็นด้วยคือ:

• ง่ายต่อการอ้างถึงตำแหน่งทั้งหมดผ่าน / 16 เราใช้สิ่งนี้บ่อยครั้งสำหรับ VPN ACLs

• ง่ายต่อการจัดกลุ่มประเภทอุปกรณ์ร่วมกันสำหรับการกรองเว็บ

• Vlan ใด ๆ ภายใน 10/24 ถัดไปจะเป็นประเภทเดียวกันกับรูทก่อนหน้า

  • ตัวอย่างเช่นอุปกรณ์โรงงาน ... Vlan 31 สำหรับผู้ค้าบางรายที่มีการเข้าถึงระยะไกล 24/7 เราให้ Vlan 32 หรือ 33 หรือ 34 ของตนเองถึง 40 เข้าใช้งาน VPN ของพวกเขา จำกัด เฉพาะอุปกรณ์ที่พวกเขาใช้ สนับสนุนโดยไม่ได้รับอย่างละเอียดใน IPs / ACE หากทีมผู้ผลิตต้องการวางอุปกรณ์เพิ่มเติมเราไม่จำเป็นต้องอัปเดต VPN ACL ซึ่งรวมถึงการเข้าถึง ACLs / ACE ระหว่าง Vlans

  • อีกตัวอย่างหนึ่ง: SAN Vlans เราใช้สองอย่างน้อยที่สุดสำหรับความซ้ำซ้อน ดังนั้นพวกเขาจึงมักจะ 81 และ 82

  • ตัวอย่างล่าสุด: การจัดการไร้สายแตกออกเป็น Vlan ของตัวเอง 2 เราทำเช่นนี้เพราะเรามี AP เพียงพอที่จะต้องใช้ตัวควบคุม WLAN แต่ไม่มีงบประมาณสำหรับตัวควบคุม Vlan ตัวนี้ใช้ตัวเลือก tftp และ dhcp เพื่อกำหนดค่าอัตโนมัติและบู๊ต AP จากส่วนกลาง repo และเราไม่ต้องการอุปกรณ์อื่น ๆ ที่สามารถบูตอัตโนมัติเพื่อดึงการกำหนดค่าไร้สาย

การตั้งค่านี้ช่วยให้เราสามารถดู IP ได้ง่ายและทราบตำแหน่งและประเภทของอุปกรณ์ที่ใช้ นี่หมายถึง ACLs / ACE ที่น้อยลงในไฟล์การกำหนดค่าของเราโดยเฉพาะผู้ใช้ VPN ที่ จำกัด เรายังมีห้องหายใจสำหรับการขยายตัวในกรณีที่เราไม่มี IP ใน Vlan หรือเพราะเราต้องการแยกการรับส่งข้อมูลเพิ่มเติม และเนื่องจากเราเป็น บริษัท เล็กเรายังไม่ได้แยกเลขที่สถานที่สามหลัก ห้องการเจริญเติบโตมากมาย

เนื่องจาก IPv4 มีมาเป็นเวลานานมีหลายวิธีที่ผู้คนเลือกที่จะจัดสรรพื้นที่ IPv4 ของพวกเขา

สำหรับเรา (ISP) เราใช้เครือข่ายย่อยที่เล็กที่สุดเท่าที่จะเป็นไปได้ในการเชื่อมโยงการขนส่งแบบบริสุทธิ์ (/ 30 โดยปกติ) และจากนั้นในแง่ของลูกค้ามันขึ้นอยู่กับความต้องการของพวกเขา กฎแบบครอบคลุมคุณจะต้องให้ลูกค้าทุกคนเป็นนิติบุคคลของตนเองและรวบรวมความต้องการของลูกค้า

นั่นคือหลักสูตรทั้งหมดหากคุณอ้างถึงพื้นที่สาธารณะ IPv4 ในแง่ของ RFC1918 ภายในแล้ววางแผนการจัดสรรของคุณเพื่อให้คุณสร้างในห้องสำหรับการขยายตัว (เช่นอาคารมีคน 50 คนเท่านั้นอย่าให้พวกเขาเพียงแค่ / 26 เพราะมันเป็นซับเน็ตขนาดถัดไป แต่อาจให้ / 24 เพื่อให้สามารถขยายได้

แนวทางปฏิบัติที่ดีอีกวิธีหนึ่งคือการจัดสรรให้รวมกันนั่นคือถ้าคุณมีอาคารที่มี 10 ชั้นจัดสรร a / 20 (หรือใหญ่กว่า) ให้กับอาคารแล้วจัดสรรซับเน็ตสำหรับแต่ละชั้น / แผนกออกจาก / 20 ด้วยวิธีที่คุณสามารถทำได้ โฆษณาเฉพาะ / 20 ไปยังเครือข่ายที่เหลือของคุณมากกว่าเครือข่ายย่อยทั้งหมดสำหรับแต่ละชั้น