โครงร่าง IP / subnet / dns ที่สร้างสรรค์

11

ฉันจัดการเครือข่ายค่อนข้างเล็กเท่านั้น (<= 25 โหนด) ฉันมักจะใส่เกตเวย์. 1, dns / proxy เป็น. 10, mail ที่. 20, เครื่องพิมพ์ที่. 30-39 เป็นต้นไปเรื่อย ๆ ฉันไม่เคยใช้ที่อยู่ IP โดยตรงเพราะชื่อโฮสต์ DNS นั้นเป็นวิธีที่ดีกว่า แต่ฉันชอบที่จะมีรูปแบบ / รูปแบบ / การออกแบบที่ชัดเจนเมื่อสร้างเครือข่ายตั้งแต่เริ่มต้น

การแมป DNS ของฉันยังมีรูปแบบ / เค้าโครงที่เรียบง่ายอีกด้วย ตัวอย่างเช่นอุปกรณ์ทั้งหมดของฉันมีสองชื่อ ชื่อทางการหนึ่งชื่อตามบทบาท (dc01, mail02 และอื่น ๆ ) และชื่อที่ไม่เป็นทางการ ไม่มีอะไรแฟนซี แต่จริงง่ายและจัดการได้

ฉันพยายามหาโครงร่าง IP / Subnet / DNS ที่ใช้งานง่าย / สร้างสรรค์มากขึ้น (หากมีสิ่งที่ดีกว่า) ฉันแน่ใจว่าคนอื่นมีแผนการใช้งานง่ายขึ้นขึ้นอยู่กับวัตถุประสงค์ของเครือข่ายและเช่น เครือข่ายของฉันที่ฉันใช้งานยังมีขนาดเล็ก แต่ฉันมีอุปกรณ์มากมายที่จะต้องต่อสู้

ฉันกำลังมองหารูปแบบทั่วไปหรือวิธีการในการกำหนดที่อยู่ IP (ช่วง / คลาส), ชื่อ DNS และเครือข่ายย่อยที่ครอบคลุม 4-5 จุดสำคัญ:

  1. บริการเครือข่าย (เมลไฟล์พร็อกซี ฯลฯ )
  2. การพัฒนาซอฟต์แวร์ (สภาวะแวดล้อม - dev / staging / prod,
  3. สื่อ (สตรีมมิ่ง, การถ่ายโอนไฟล์ขนาดใหญ่, การเก็บถาวร)
  4. เซิร์ฟเวอร์เสมือน / เดสก์ท็อป
  5. VoIP

ฉันไม่เคยทำงานกับ VoIP โดยตรง แต่มันเป็นสิ่งที่ต้องคำนึงถึงในอนาคต

โดยรวมแล้วฉันได้ความคิดที่ดีจากทุกคน หวังว่าฉันจะให้คะแนน / ตอบได้มากขึ้น ขอบคุณสำหรับคำตอบ!

networking  ip  subnet 
osij2is
แหล่งที่มา

คำตอบ:

9

ง่าย ๆ เข้าไว้. เรียบง่ายที่สุดเท่าที่จะเป็นไปได้ แต่ยังคงความปลอดภัยและความยืดหยุ่น การออกแบบสิ่งที่เป็นนามธรรมซึ่งดูเหมือนจะไม่ง่าย แต่ในความเป็นจริงเป็นเส้นทางสู่ความเรียบง่ายของตัวเอง

สำหรับซับเน็ตนี่เป็นเรื่องธรรมดา:

  • ผู้ใช้ในหนึ่งเครือข่ายย่อย
  • แขกอีกคน
  • เซิร์ฟเวอร์บนซับเน็ตของตนเอง
  • VOIP ด้วยตัวมันเองเช่นกัน

กรองทราฟฟิกผ่านแต่ละซับเน็ตตามความจำเป็น อาจใช้ VLANs ฉันหวังว่าคุณจะคุ้นเคยกับ CLI ของผู้จำหน่ายอุปกรณ์เครือข่ายที่คุณเลือก

สำหรับ DNS คุณจะไม่ชอบสิ่งนี้ แต่ ... ใช้สิ่งที่เหมาะกับคุณ โดยส่วนตัวฉันชอบให้ชื่อโฮสต์ที่เป็นนามธรรมกับเซิร์ฟเวอร์โดยไม่เกี่ยวข้องกับบริการของมัน ฉันแล้วบริการ CNAME ถึงชื่อโฮสต์ ด้วยวิธีการโอนย้ายบริการจะไม่ทำให้เกิดอาการปวดหัวการเปลี่ยนแปลง DNS หรืออย่างน้อยก็ไม่มาก ฉันยังต้องการตั้งชื่อเซิร์ฟเวอร์เสมือนที่มี av ต่อท้ายกับชื่อโฮสต์

ตัวอย่าง:

  • เซิร์ฟเวอร์ฐานข้อมูลใหม่ชื่อ Athena มันจะมีชื่อว่า Athena ตลอดไป
  • Athena คือ CNAMED สำหรับสิ่งที่ทำ: SQL08ENT-CRM, SQL08ENT-AEGIS (ระบบรักษาความปลอดภัย), SQL08ENT-DOCMAN บางที CNAMED ก็ขึ้นอยู่กับสภาพทางภูมิศาสตร์ด้วย หรือชื่อโฮสต์อาจมีภูมิศาสตร์อยู่ Athena-ATL Athena-ซิดนีย์ อะไรก็ตามที่ใช้งานได้
  • เซิร์ฟเวอร์อยู่บนเซิร์ฟเวอร์เครือข่ายย่อยที่มีนโยบายปฏิเสธเริ่มต้น มีการรับส่งข้อมูลที่เหมาะสมรวมอยู่ในเครือข่ายย่อยที่เหมาะสม

เก็บ. มัน. ง่าย (แต่ใช้งานได้)

เวสลีย์
แหล่งที่มา
1
Athena เป็นนักกีฬาที่เป็นเมืองอยู่แล้ว ;-)
dmourati
+1: สาธุกับฟังก์ชั่น + แบบง่าย ฉันไม่ได้คิดเกี่ยวกับนโยบายการปฏิเสธเริ่มต้นบนซับเน็ตดังนั้นนั่นคือสิ่งที่ฉันจะต้องรวม ฉันไม่เชี่ยวชาญใน CLI สำหรับสวิตช์เครือข่าย (Netgear) แต่เป็นสิ่งที่ฉันสามารถเข้าใจได้ คุณใช้ทั้งซับเน็ตและ VLAN หรือใช้เพียงอันเดียวและไม่ใช่หรือไม่ ซึ่งควรมีความสำคัญกว่า
osij2is
ถ้าฉันสามารถโหวตคุณอีกครั้งฉันจะ นี่คือเหตุผลที่ฉันถามคำถามนี้ที่นี่: " ออกแบบสิ่งที่เป็นนามธรรมซึ่งดูเหมือนจะไม่ง่าย แต่อันที่จริงแล้วเป็นเส้นทางสู่ความเรียบง่ายของตัวเอง " นั่นคือสิ่งที่ฉันตั้งใจจะทำ โชคดีที่คุณมีคารมคมคายและรวบรัดกว่าฉัน ;)
osij2is
1
@ osij2is ฉันไม่ได้ใช้อะไรมากไปกว่าซับเน็ตหรือ VLAN เพราะฉันส่วนใหญ่เป็นผู้รับเหมาออฟฟิศขนาดเล็ก ฉันต้องการใช้ VLAN เพราะนั่นเป็นสิ่งที่ฉันเคยใช้เป็นส่วนใหญ่ในอดีต อย่างไรก็ตามฉันยินดีที่จะถูกกล่าวหาว่าเป็นกลุ่มอาการของโรคค้อน เมื่อสิ่งที่คุณมีคือ dot-one-q ทุกอย่างดูเหมือนว่าปัญหา VLAN ใช่สิ่งหนึ่งที่เป็นนามธรรมเป็นสิ่งที่ดี เสมอ. สองชั้นเป็นโพรงกระต่าย สามเลเยอร์เป็นสัญลักษณ์ของการละเมิด LSD
Wesley
1
@WesleyDavid - เรื่อง Netgear แน่นอนว่ามันไม่ใช่ตัวเลือกที่ดีที่สุด แต่สิ่งที่ "ProSafe" ของพวกเขาสามารถกำหนดค่าให้ทำ 802.1Q (Tagged VLANs) การใช้งานนั้นเป็นไปตามมาตรฐานที่ดีที่สุดที่ฉันสามารถระบุได้: มันเล่นได้ดีกับผู้ขายรายอื่นและช่วยให้คุณเปลี่ยนอุปกรณ์ Juniper หรือ Cisco ในภายหลังเมื่อเวลา / เงินทุนเอื้ออำนวย ข้อเสียของสิ่ง Netgear คือมันมุ่งเน้นไปที่การจัดการเว็บเบราว์เซอร์มากกว่าการจัดการ CLI ซึ่งช้าลงผู้ดูแลระบบเน็ตที่ดีลง
voretaq7
9

ฉันทำงานในองค์กรที่มีขนาดใกล้เคียงกัน (เรามี / 26) ว่าด้วยเหตุผลนอกเหนือจากฉันพลังที่รู้สึกได้ว่าแผนการจัดสรรทรัพย์สินทางปัญญาอย่างละเอียดเป็นสิ่งสำคัญยิ่งต่อความสมบูรณ์ของการดำเนินงาน ประตูมีให้เป็น 0.1, เครื่องพิมพ์ได้จะอยู่ระหว่าง 0.2 และ 0.12 เซิร์ฟเวอร์ระหว่าง 0.13 และ 0.20 และอื่น ๆ เรายังเก็บเอกสารเกี่ยวกับโฮสต์แต่ละแห่ง

นี่เป็นความเจ็บปวดครั้งใหญ่ในตูด ไม่ว่าฉันจะขยันแค่ไหนฉันก็ไม่สามารถทำให้เอกสารเป็นปัจจุบัน มันไม่ได้ช่วยให้เราไม่ได้มีบริการ DNS ใด ๆ ดังนั้นการใช้เอกสารการจัดสรร IP นี้เป็นบริการ "การตั้งชื่อ" เพียงอย่างเดียวที่เรามี (ซึ่งในทางที่แปลก

สำหรับเครือข่ายขนาดของคุณฉันขอแนะนำบางสิ่ง (ซึ่งส่วนใหญ่คุณได้ทำไปแล้ว):

  • ง่าย - คุณไม่ได้จัดการโฮสต์หลายร้อยแห่ง ความซับซ้อนของโซลูชันของคุณควรสะท้อนถึงความซับซ้อนของสภาพแวดล้อม ต่อต้านการทดลองที่จะฉลาดเกินไป คุณจะขอบคุณตัวเองในภายหลัง

    1. ใช้พื้นที่ IP ของคุณและมอบ 60% ให้กับลูกค้าของคุณผ่าน DHCP ตั้งค่าบริการ Dynamic DNS บางประเภทเพื่อให้คุณไม่ต้องดูที่อยู่ IP แช่งอีกต่อไป ลืมเกี่ยวกับการติดตามพวกเขา กำไร.

    2. จองที่อยู่ IP อีก 30% ที่คุณจัดการ: เซิร์ฟเวอร์เครื่องพิมพ์อุปกรณ์เครือข่ายบริการทดสอบ ฯลฯ ใช้ DNS เพื่อเอกสารนี้ ในความคิดของฉันไม่มีการเสียเวลามากไปกว่าการติดตามที่อยู่ IP เหล่านี้ "จัดการโดยผู้ดูแลระบบ" (เทียบกับที่อยู่ IP ที่จัดการ DHCP) โดยใช้สเปรดชีต Excel (ซึ่งคุณต้องอ้างอิงและดูแลอย่างต่อเนื่อง) เมื่อคุณสามารถใช้ความพยายามนั้นในการสนับสนุนการจัดทำเอกสารด้วยตนเองและโซลูชั่น DNS ที่มีประโยชน์มากกว่า

    3. รักษา 10% สุดท้ายของที่อยู่ของคุณไว้ด้านบนของพื้นที่ที่อยู่ IP ของคุณไม่ได้ใช้ กองหนุนเล็กน้อยไม่เคยเจ็บ

    4. ปรับอัตราส่วนตามที่คุณเห็นว่าเหมาะสมกับสภาพแวดล้อมของคุณ สภาพแวดล้อมบางอย่างจะมีลูกค้าเพิ่มขึ้นส่วนใหญ่จะเป็น "เซิร์ฟเวอร์" (เช่น "จัดการโดยผู้ดูแลระบบ") อย่างหนัก

  • บริการเครือข่าย (เมลไฟล์พร็อกซี ฯลฯ )
  • การพัฒนาซอฟต์แวร์ (สภาวะแวดล้อม - dev / staging / prod,

ทั้งคู่ตกอยู่ในหมวดหมู่ของพื้นที่ IP "จัดการโดยผู้ดูแลระบบ"

  • สื่อ (สตรีมมิ่ง, การถ่ายโอนไฟล์ขนาดใหญ่, การเก็บถาวร)

ในความคิดของฉันมันมีส่วนเกี่ยวข้องกับ subnetting เล็กน้อยและทุกอย่างเกี่ยวกับการตรวจสอบเครือข่าย

  • เซิร์ฟเวอร์เสมือน / เดสก์ท็อป

เซิร์ฟเวอร์คือ "การจัดการโดยผู้ดูแลระบบ" เดสก์ท็อป (เช่นเครื่องไคลเอนต์) ควรเป็น "การจัดการ DHCP"

  • VoIP

เครือข่ายไม่ต่อเนื่องทางร่างกายจะเหมาะ ... แต่นั่นไม่สมจริง สิ่งที่ดีที่สุดถัดไปคือ VLAN และซับเน็ตแยกกัน นี่เป็นเพียงจุดเดียวในเครือข่ายขนาดเล็กที่ฉันรู้สึกว่าจำเป็นที่จะต้องแยกการรับส่งข้อมูล (ยกเว้นสิ่งที่เข้าถึงได้ทั่วไป)

2
คำ. upvote โอ้เดี๋ยวก่อนนี่ไม่ใช่ Reddit อย่างไรก็ตาม "ต่อต้านสิ่งล่อใจที่จะฉลาดเกินไป" อ้างถึงความจริง!
Wesley
5

สำหรับการจัดสรร IP

คำแนะนำของฉันคือการวางทุกอย่างภายใต้เครือข่ายย่อย 10.0.0.0/8 โดยใช้โครงสร้างต่อไปนี้: 10 site. division.device

  • site เป็นที่ตั้งทางกายภาพหรือเชิงตรรกะเทียบเท่า (เช่นสำนักงานนิวยอร์ก, สำนักงานนิวเจอร์ซีย์, โรงงาน DR, สภาพแวดล้อมการพัฒนา)
  • divisionเป็นแผนกย่อยทางตรรกะที่เหมาะสมกับคุณ เช่น
    0 => สวิตช์ / เราเตอร์
    1 => ผู้ดูแลระบบ 2 => ผู้ใช้
    3 => VOIP
    4 => แขก
  • devices คืออุปกรณ์แต่ละชิ้น (พีซีเซิร์ฟเวอร์โทรศัพท์สวิตช์ ฯลฯ )

แนวคิดในที่นี้คือคุณสามารถกำหนดได้อย่างง่ายดายว่าอุปกรณ์คืออะไรและอยู่ที่ไหนตามที่อยู่: 10.2.1.100 เป็นเวิร์กสเตชันของผู้ดูแลระบบที่ "ไซต์ # 2"

รุ่นนี้มาจากการกำหนด IP ตามคลาส: คลาส A (/ 8) เป็นองค์กรของคุณ แต่ละตำแหน่งจะได้รับคลาส B (/ 16) และแต่ละส่วนโลจิคัลที่ตำแหน่งนั้นจะได้รับคลาส C (/ 24) สำหรับอุปกรณ์ของพวกเขา
เป็นไปได้ (และบางครั้งเป็นที่ต้องการ) เพื่อใช้สิ่งที่มีขนาดใหญ่กว่า / 24 สำหรับระดับ "การหาร" และคุณสามารถทำได้อย่างแน่นอน: อะไรก็ตามจาก / 17 ถึง a / 24 นั้นเป็นเกมที่ยุติธรรมโดยทั่วไป

สำหรับชื่อ DNS

คำแนะนำของฉันคือทำตามรูปแบบที่คล้ายกับการกำหนด IP ที่ฉันอธิบายไว้ข้างต้น:

  • ทุกอย่างฝังรากที่ mycompany.com
  • แต่ละไซต์ (/ 16) มีsitename.mycompany.comโดเมนย่อยของตนเอง
  • ส่วนที่เป็นตรรกะอาจมีหนึ่งโดเมนย่อย (หรือมากกว่า) ภายในไซต์ตัวอย่างเช่น:
    • voip.mycompany.com(กับอุปกรณ์ที่ต้องการtel0000.voip.mycompany.com, tel0001.voip.mycompany.comฯลฯ )
    • switches.mycompany.com
    • workstations.mycompany.com (อาจถูกแบ่งย่อยเพิ่มเติมในผู้ดูแลระบบผู้ใช้และแขก)
  • อุปกรณ์ควรมีชื่อที่มีความหมาย ตัวอย่างเช่น:
    • ตั้งชื่อโทรศัพท์เพื่อให้คุณเห็นส่วนขยายที่ดังขึ้นโดยใช้ชื่อ DNS
    • ตั้งชื่อเวิร์กสเตชันตามผู้ใช้หลัก
    • ระบุที่อยู่ IP "แขก" อย่างชัดเจน
    • เซิร์ฟเวอร์ชื่อเพื่อให้คุณสามารถบอกได้ว่าพวกเขาคืออะไร / พวกเขาทำอะไร
      นี้สามารถทำได้โดยใช้ "น่าเบื่อ" ชื่อ ( www01, www02, db01, db02, mailฯลฯ ) หรือโดยการตีความโครงการตั้งชื่อและติดมัน (ตัวอย่างเช่นเซิร์ฟเวอร์เมลจะถูกตั้งชื่อตามโขดหินเว็บเซิร์ฟเวอร์ถูกตั้งชื่อตามต้นไม้เซิร์ฟเวอร์ฐานข้อมูล ตั้งชื่อตามจิตรกร)
      ชื่อที่น่าเบื่อนั้นง่ายสำหรับคนใหม่ที่จะเรียนรู้รูปแบบการตั้งชื่อที่น่าสนใจนั้นสนุกกว่า เลือกของคุณ

อื่น ๆ หมายเหตุ

เกี่ยวกับเซิร์ฟเวอร์เสมือน:
พิจารณาเหล่านี้เช่นเดียวกับถ้าพวกเขาเป็นเครื่องทางกายภาพ (แยกพวกเขาโดยการแบ่ง / วัตถุประสงค์มากกว่าโดยความจริงที่ว่าพวกเขากำลัง "เสมือน" มีส่วนที่แยกต่างหากสำหรับเครือข่ายการบริหาร Hypervisor / VM..
มันอาจจะดูเหมือนสำคัญ ถึงคุณในตอนนี้เพื่อทราบว่ากล่องนั้นเป็นเสมือนจริงหรือจริง แต่เมื่อระบบการตรวจสอบของคุณบอกว่า "เฮ้อีเมลไม่ดี!" คำถามที่คุณจะถามคือ "เครื่องจักรใดบ้างที่เกี่ยวข้องกับอีเมล" ไม่ใช่เครื่องใด เสมือนและทางกายภาพที่มี?".
ทราบว่าคุณไม่จำเป็นต้องมีวิธีการปฏิบัติในการระบุว่าเครื่องเป็นเสมือนหรือทางกายภาพในกรณีที่เป็นเจ้าภาพ hypervisor พัดขึ้น แต่นี่เป็นความท้าทายสำหรับระบบการตรวจสอบของคุณไม่ใช่สถาปัตยกรรมเครือข่ายของคุณ

เกี่ยวกับ VOIP:
VOIP (โดยเฉพาะเครื่องหมายดอกจัน) เป็นคำพ้องสำหรับ "Security Hole" ผลักสิ่ง VOIP ทั้งหมดของคุณออกไปยังซับเน็ตของตัวเองและ VLAN ของตัวเองและอย่าให้มันใกล้กับสิ่งที่ละเอียดอ่อน
โทรศัพท์ VOIP ทุกเครื่องที่ฉันเห็นในปีที่แล้วรองรับการแยก VLAN (อันที่จริงพวกเขารองรับทั้งเสียงและข้อมูล VLAN ดังนั้นคุณยังสามารถใช้โทรศัพท์เป็นพาส - ทรูสำหรับการเชื่อมต่ออีเทอร์เน็ตเดสก์ทอป) ใช้ประโยชน์จากสิ่งนี้ - คุณจะดีใจที่คุณทำถ้า / เมื่อสภาพแวดล้อม VOIP ของคุณถูกแฮ็ก

เกี่ยวกับการวางแผนและเอกสาร:
วาดเครือข่ายของคุณบนกระดาษก่อนที่คุณจะเริ่มกำหนดที่อยู่และชื่อ DNS ในความเป็นจริงให้วาดด้วยดินสอบนกระดาษแผ่นใหญ่ก่อน
ทำผิดพลาดมากมาย
ลบอย่างอิสระ
สาปแช่งอย่างคล่องแคล่ว
เมื่อคุณหยุดสาปแช่งและลบอย่างน้อย 10 วันก็ถึงเวลาที่จะนำไดอะแกรมนั้นไปไว้ใน Visio / Graffle / รูปแบบอิเล็กทรอนิกส์อื่น ๆ เป็นแผนภาพเครือข่ายทางการของคุณ ปกป้องไดอะแกรมนี้ รักษาไว้ในความถูกต้องศักดิ์สิทธิ์ที่สุดในขณะที่คุณเพิ่มและลบอุปกรณ์ขยายองค์กรของคุณและปรับเปลี่ยนโครงสร้างเครือข่ายของคุณ
แผนภาพเครือข่ายนี้จะเป็นเพื่อนที่ดีที่สุดของคุณเมื่อคุณต้องทำการเปลี่ยนแปลงอธิบายเครือข่ายกับผู้ดูแลระบบใหม่หรือแก้ไขปัญหาความล้มเหลวอย่างลึกลับ

voretaq7
แหล่งที่มา
โปรดทราบว่าฉันตั้งสมมติฐานว่าคุณกำลังจะไปที่ NAT - ส่วนใหญ่เป็นเพราะฉันตั้งสมมติฐานว่าคุณจะต้องการมี> 1 ไซต์และต้องการ VPN ระหว่างพวกเขา
voretaq7
+1: ฉันชอบการใช้อ็อกเท็ตและความสัมพันธ์กับตำแหน่ง (และ / หรือการจำลองเสมือนอย่างที่คุณพูดถึง) สิ่งนี้สามารถขยายออกเป็นแผนกต่าง ๆ ที่เป็นตรรกะได้ แต่ความคิดนั้นสมเหตุสมผลดี นอกจากนี้สำหรับข้อมูลเกี่ยวกับ VoIP
osij2is
สิ่งออคเต็ตไม่พังเมื่อคุณมีอุปกรณ์มากกว่า 200 หรือมากกว่านั้น - มันสามารถ จำกัด ได้ถ้าคุณมี 1,000 คนในออฟฟิศและทั้งหมดมีโทรศัพท์ไอพีบนโต๊ะทำงาน คำเตือนเล็ก ๆ ที่ต้องระวัง :-)
voretaq7
@ vortaq7: ฉันคิดว่าจุดนั้น แต่ก็ยังดีที่จะต้องทราบ ไม่ว่าจะด้วยวิธีใดการใช้ IP เป็นวิธีการจัดระเบียบอย่างมีเหตุผลและร่างกายเป็นสิ่งที่ดี นอกจากนี้ยังมีจุดที่ดีของเสมือนกับทางกายภาพที่ไม่เกี่ยวข้องจริง ยินดีที่ได้รับการจัดระเบียบ แต่ผลตอบแทนสำหรับการแยกนี้อยู่ในระดับที่ดีที่สุด
osij2is
@ osij2is - Virtual vs Physical มีความเกี่ยวข้องแน่นอนฉันไม่คิดว่าโครงสร้างพื้นฐานเครือข่ายเป็นสถานที่ในการบันทึก (หรือถ้าคุณต้องทำกับ DNS ด้วยการสร้างระเบียน A หรือ CNAME แยกต่างหากapp01.hypervisor02.site.mycompany.com) ระบบการติดตามตรวจสอบที่นำมาใช้อย่างรอบคอบเป็นสิ่งที่สำคัญอันดับสอง (หลังจากองค์กรเครือข่าย) ในทุกสภาพแวดล้อมที่คุณใส่ใจ
voretaq7
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.