Bewährte Methoden für die Planung des IPv4-Adressraums

Eine aktuelle Frage von Craig Constantine bezog sich auf IPv6, aber viele Leute sind noch nicht auf dem neuesten Stand mit IPv6 und sind immer noch für neue oder verbesserte IPv4-Bereitstellungen verantwortlich.

Ich möchte meine eigene IPv4-Adressraumplanung für Unternehmen anhand aller hier direkt angegebenen öffentlichen Dokumente oder Anleitungen validieren. Die Adressierung hat einige spezielle Anforderungen zwischen dem DC und dem Campus, die idealerweise berücksichtigt werden sollten.

Ich möchte insbesondere herausfinden, welche Best Practices für die Planung von Zuweisungen von privatem (RFC1918) IP-Raum für Regionen, Städte, Campus, Gebäude, Stockwerke, Uplinks, WAN-Verbindungen, Loopbacks usw. existieren . Interne Netzwerke vs. Gastnetzwerke. * Ich weiß, dass dies für sich genommen eine offene Frage sein kann, daher suche ich nach spezifischen Referenzen oder Beispielen für bewährte und durchdachte Pläne, ähnlich wie bei den IPv6-Antworten. Vorgeschlagene CIDR-Blöcke wären hilfreich, wenn der Speicherplatz zugewiesen wird.

Eine Aggregation für das Routing ist natürlich erwünscht, ebenso wie die Fähigkeit, vereinfachte ACLs zu haben. Es gibt einen Kompromiss zwischen Zugriffssteuerungslisten und dem Wunsch, alle Mitarbeiter-Subnetze zu aggregieren, z. B. ob verkabelt oder drahtlos, und alle drahtlosen Benutzer, unabhängig davon, ob es sich um Mitarbeiter, Auftragnehmer oder Gäste handelt.

Da wir in einem kleinen Unternehmen arbeiten, haben wir unser privates Netzwerk etwas großzügiger aufgeteilt:

/ 24 pro Vlan / 16 pro Standort

Vlans sind ausgebreitet und überspringen 10 / 24s pro. Vlan-Nummer stimmt mit dem dritten Oktett überein. Die Orte sind sequentiell und beginnen 10/16 s in.

dh

• 10.10.1.0/24 - Standort A, Verwaltungs-Vlan 1

• 10.10.11.0/24 - Standort A, Wireless Vlan 11

• 10.11.11.0/24 - Standort B, Wireless Vlan 11

• 10.11.81.0/24 - Standort B, SAN Vlan 81

• 10.11.101.0/24 - Standort B, Wired Office Vlan 101

Vlan Beispiele:

• 1 - Management

• 2 - Management für drahtlose

• 11 - drahtloser Zugang

• 21 - Gäste

• 31 - mobile Geräte

• 41 - Werksausrüstung

• 51 - SAN

• 61 - VoIP

• 71 - Kabelgebundener Zugang

Und so weiter.

Die Vorteile, die wir dabei gesehen haben, sind:

• Einfach über / 16 auf einen ganzen Ort verweisen. Wir verwenden dies ziemlich oft für VPN-ACLs.

• Einfache Gruppierung von Gerätetypen für die Webfilterung.

• Jedes Vlan innerhalb der nächsten 10/24 s gehört zum selben Typ wie das vorherige Root.

  • So zum Beispiel die Fabrikausstattung ... Vlan 31, für bestimmte Anbieter, die rund um die Uhr Fernzugriff haben, haben wir ihnen ein eigenes Vlan zugewiesen, 32 oder 33 oder 34, bis zu 40. Ihr VPN-Zugang beschränkt sie auf die Ausstattung, die sie haben Unterstützung ohne detaillierte Informationen zu IPs / ACEs. Wenn das Fertigungsteam mehr Geräte einsetzen muss, müssen die VPN-ACLs nicht aktualisiert werden. Dies schließt auch Zugriffs-ACLs / ACEs zwischen Vlans ein.

  • Ein anderes Beispiel: SAN Vlans, wir verwenden mindestens zwei davon für Redundanz. Sie sind also immer 81 und 82.

  • Letztes Beispiel: Die drahtlose Verwaltung erfolgt über ein eigenes Vlan, 2. Wir tun dies, weil wir über genügend Zugriffspunkte verfügen, um einen WLAN-Controller zu benötigen, aber kein Budget für Controller. Dieses Vlan verwendet die Optionen tftp und dhcp, um die APs von einem zentralen Konfigurations-Repository aus automatisch zu konfigurieren und zu booten, und wir möchten nicht, dass andere Geräte, die automatisch booten können, die WLAN-Konfigurationen laden.

Mit diesem Setup können wir auf einfache Weise eine IP-Adresse abrufen und den Standort und die Art der zugehörigen Ausrüstung ermitteln. Dies bedeutet für uns weniger ACLs / ACEs in Konfigurationsdateien, insbesondere bei eingeschränkten VPN-Benutzern. Wir haben auch Freiraum für Erweiterungen, falls uns in einem Vlan die IP-Adressen ausgehen oder wir den Datenverkehr weiter trennen müssen. Und da wir ein kleines Unternehmen sind, haben wir noch keine dreistellige Standortnummerierung vorgenommen. Viel Wachstumsraum.

Angesichts der Tatsache, dass es IPv4 schon so lange gibt, gibt es Millionen verschiedene Möglichkeiten, wie Benutzer ihren IPv4-Speicherplatz zuweisen können.

Für uns (einen ISP) verwenden wir die kleinstmögliche Subnetzgröße für reine Transitverbindungen (in der Regel / 30). In Bezug auf die Kunden hängt dies davon ab, welche Anforderungen sie haben pauschale Regel Sie müssen jeden Kunden als seine eigene Einheit nehmen und seine Anforderungen entsprechend erfassen.

Das ist selbstverständlich, wenn Sie sich auf PUBLIC IPv4-Raum bezogen haben, planen Sie dann Ihre Zuordnungen so, dass Sie Platz für Erweiterungen schaffen (z. B. in einem Gebäude sind nur 50 Personen, geben Sie ihnen nicht einen / 26-Wert) weil es das nächstgrößere Subnetz ist, aber vielleicht geben Sie ihnen eine / 24, um eine Erweiterung zu ermöglichen.

Eine weitere bewährte Methode besteht darin, die Zuordnung zu aggregieren. Wenn Sie ein Gebäude mit 10 Etagen haben, ordnen Sie dem Gebäude eine / 20 (oder mehr) zu, und ordnen Sie dann die Subnetze für jede Etage / Abteilung aus dieser / 20 heraus zu, so wie Sie können Bewerben Sie nur die / 20 für den Rest Ihres Netzwerks und nicht alle einzelnen Subnetze für jede Etage.