Kreative IP- / Subnetz- / DNS-Schemata

11

Ich habe nur ziemlich kleine Netzwerke verwaltet (<= 25 Knoten). Normalerweise setze ich das Gateway .1, DNS / Proxy als .10, Mail bei .20, Drucker bei .30-39 und so weiter und so fort. Ich verwende IP-Adressen nie direkt, da DNS-Hostnamen eindeutig der bessere Weg sind, aber ich möchte ein klares Muster / Layout / Design haben, wenn ich ein Netzwerk von Grund auf neu aufbaue.

Meine DNS-Zuordnung hat auch ein einfaches Namensmuster / Layout. Zum Beispiel haben alle meine Geräte zwei Namen; Ein formeller Name basierend auf der Rolle (dc01, mail02 usw.) und ein informeller Name. Nichts Besonderes, aber sehr einfach und überschaubar.

Ich versuche, ein intuitiveres / kreativeres IP / Subnetz / DNS-Schema zu finden (wenn es etwas Besseres gibt). Ich bin sicher, dass andere abhängig von den Netzwerkzielen und dergleichen intuitivere Schemata haben. Mein Netzwerk, an dem ich arbeite, ist noch klein, aber ich habe zahlreiche Geräte, mit denen ich zu kämpfen habe.

Ich suche nach einem allgemeinen Muster oder einer Methode zum Zuweisen von IP-Adressen (Bereichen / Klassen), DNS-Namen und Subnetzwerken, die 4-5 Hauptpunkte umfassen:

  1. Netzwerkdienste (Mail, Datei, Proxy usw.)
  2. Softwareentwicklung (Umgebungen - dev / staging / prod,
  3. Medien (Streaming, Übertragung großer Dateien, Archivierung)
  4. Virtuelle Server / Desktops
  5. VoIP

Ich habe noch nie direkt mit VoIP gearbeitet, aber es ist etwas, das für die Zukunft berücksichtigt werden muss.

Insgesamt habe ich von allen ein paar wirklich gute Ideen bekommen. Ich wünschte, ich könnte mehr Stimmen abgeben / akzeptierte Antworten. Danke für die Antworten!

networking  ip  subnet 
osij2is
quelle

Antworten:

9

Halte es einfach. So einfach wie möglich, aber dennoch sicher und flexibel. Entwerfen Sie Abstraktion in Dinge, was so klingt, als sei es nicht einfach, sondern der Weg zur Einfachheit.

Bei Subnetzen ist dies ziemlich häufig:

  • Benutzer in einem Subnetz
  • Gäste auf einem anderen
  • Server in ihrem eigenen Subnetz
  • VOIP auch alleine.

Filtern Sie den Datenverkehr nach Bedarf durch jedes Subnetz. Verwenden Sie möglicherweise VLANs. Ich hoffe, Sie sind mit der CLI Ihres bevorzugten Netzwerkgeräteherstellers bestens vertraut.

DNS wird Ihnen nicht gefallen, aber ... verwenden Sie alles, was für Sie funktioniert. Persönlich möchte ich Servern einen völlig abstrakten Hostnamen geben, der nicht mit ihren Diensten verbunden ist. Ich CNAME-Dienste dann auf den Hostnamen. Auf diese Weise verursachen die Migrationsdienste keine Kopfschmerzen bei DNS-Änderungen. Oder zumindest nicht so viele. Ich bevorzuge es auch, virtuelle Server mit av vor dem Hostnamen zu benennen.

Beispiele:

  • Der neue Datenbankserver heißt Athena. Es wird für immer Athena heißen.
  • Athena ist CNAMED für das, was es tut: SQL08ENT-CRM, SQL08ENT-AEGIS (das Sicherheitssystem), SQL08ENT-DOCMAN. Vielleicht auch CNAMED basierend auf Geographie. Oder vielleicht enthält der Hostname eine geografische Position. Athena-ATL. Athena-Sydney. Was auch immer funktioniert.
  • Der Server befindet sich im Server-Subnetz, für das standardmäßig eine Verweigerungsrichtlinie gilt. Es enthält den richtigen Datenverkehr aus den richtigen Subnetzen.

Behalten. Es. Einfach. (aber funktional)

Wesley
quelle
1
Athena ist Athen, das ist schon eine Stadt
;-)
+1: Amen auf die einfache + Funktion. Ich habe nicht über eine Standardverweigerungsrichtlinie im Subnetz nachgedacht, daher muss ich diese einbeziehen. Ich bin nicht gut mit der CLI für den Netzwerk-Switch (Netgear) vertraut, aber ich kann das herausfinden. Verwenden Sie beide Subnetze UND VLANs oder nur eines und nicht das andere? Welches sollte Vorrang haben?
Osij2ist
Wenn ich dich wieder positiv bewerten könnte, würde ich es tun. Genau deshalb stelle ich hier folgende Frage: " Designabstraktion in Dinge, die sich nicht einfach anhört, sondern der Weg zur Einfachheit selbst ist ". Genau das strebe ich an. Zum Glück bist du beredter und prägnanter als ich. ;)
osij2is
1
@ osij2is Ich verwende weder für Subnetze noch für VLANs viel, da ich meistens ein kleiner Bürounternehmer bin. Ich würde es vorziehen, VLANs zu verwenden, da dies genau das ist, was ich in der Vergangenheit am häufigsten verwendet habe. Ich bin jedoch bereit, des Hammer-Syndroms beschuldigt zu werden. Wenn Sie nur Punkt-Eins-Q haben, sieht alles wie ein VLAN-Problem aus. Ja, eine Abstraktionsebene ist gut. Immer. Zwei Schichten ist ein Kaninchenbau. Drei Schichten sind ein Zeichen für LSD-Missbrauch.
Wesley
1
@WesleyDavid - Re: Netgear, sie sind sicherlich nicht die beste Wahl, aber ihre "ProSafe" -Stücke können für 802.1Q (Tagged VLANs) konfiguriert werden. Die Implementierung ist standardkonform, so gut ich feststellen kann: Sie funktioniert gut mit anderen Anbietern und ermöglicht es Ihnen, den Austausch durch Juniper- oder Cisco-Geräte später schrittweise durchzuführen, wenn es die Zeit / Finanzierung zulässt. Der Nachteil von Netgear ist, dass es mehr auf die Verwaltung von Webbrowsern ausgerichtet ist als auf die CLI-Verwaltung, was einen guten Netzadministrator verlangsamt.
voretaq7
9

Ich habe bei einer Organisation ähnlicher Größe gearbeitet (wir hatten eine / 26), die aus Gründen, die über mich hinausgingen, der Ansicht war, dass ein fein abgestimmtes IP-Zuweisungsschema für die Betriebsintegrität von größter Bedeutung ist. Das Gateway musste .1 sein, die Drucker mussten zwischen .2 und .12 sein, die Server zwischen .13 und .20 und so weiter. Wir haben sogar Unterlagen zu einzelnen Hosts aufbewahrt.

Das ist ein großer Schmerz im Arsch. Egal wie fleißig ich war, ich konnte niemals eine Dokumentation auf dem neuesten Stand halten. Es hat nicht geholfen, dass wir keine DNS-Dienste hatten. Daher war die Verwendung dieser Dokumentation zum IP-Zuweisungsschema die einzige "Namens" -Dienstleistung, die wir hatten (was auf seltsame Weise dazu führte, dass sie unverzichtbarer erschien als sie wirklich war).

Für ein Netzwerk Ihrer Größe würde ich einige Dinge empfehlen (von denen Sie die meisten bereits getan haben):

  • Einfach - Sie verwalten nicht Hunderte von Hosts. Die Komplexität Ihrer Lösung sollte die Komplexität der Umgebung widerspiegeln. Widerstehen Sie der Versuchung, übermäßig klug zu sein. Sie werden sich später bedanken.

    1. Nutzen Sie Ihren verfügbaren IP-Speicherplatz und geben Sie Ihren Kunden 60% über DHCP. Richten Sie dynamische DNS-Dienste ein, damit Sie nie wieder eine verdammte IP-Adresse suchen müssen. Vergiss es, sie im Auge zu behalten. Profitieren.

    2. Reservieren Sie die anderen 30% für IP-Adressen, die Sie verwalten: Server, Drucker, Netzwerkgeräte, Testdienste. usw. Verwenden Sie DNS, um dies zu dokumentieren. Meiner Meinung nach gibt es keine größere Zeitverschwendung, als all diese "vom Administrator verwalteten" IP-Adressen (im Gegensatz zu DHCP-verwalteten IP-Adressen) mithilfe einer Excel-Tabelle (auf die Sie ständig verweisen und die Sie pflegen müssen) sorgfältig zu verfolgen. , wenn Sie diese Anstrengungen unternehmen könnten, um eine selbstdokumentierende und weitaus nützlichere DNS-Lösung zu unterstützen.

    3. Lassen Sie die letzten 10% Ihrer Adresse oben in Ihrem IP-Adressraum unbenutzt. Eine kleine Reserve tut nie weh.

    4. Passen Sie die Verhältnisse an Ihre Umgebung an. Einige Umgebungen haben mehr Clients, andere sind "server" (dh "vom Administrator verwaltet") schwer.

  • Netzwerkdienste (Mail, Datei, Proxy usw.)
  • Softwareentwicklung (Umgebungen - dev / staging / prod,

Beide fallen in die Kategorie "vom Administrator verwalteter" IP-Bereich.

  • Medien (Streaming, Übertragung großer Dateien, Archivierung)

Meiner Meinung nach hat dies wenig mit Subnetzen und alles mit Netzwerküberwachung zu tun.

  • Virtuelle Server / Desktops

Server sind "Administrator-verwaltet", Desktops (dh Client-Computer) sollten "DHCP-verwaltet" sein.

  • VoIP

Ein physisch diskretes Netzwerk wäre ideal ... aber das ist unrealistisch. Das nächstbeste wäre ein separates VLAN und Subnetz. Dies ist ungefähr der einzige Punkt in einem kleinen Netzwerk, an dem ich wirklich das Bedürfnis verspüre, den Verkehr zu trennen (mit Ausnahme von Dingen, die öffentlich zugänglich sind).

2
Wörter. Upvote. Oh warte, das ist nicht Reddit. Wie auch immer: "Widerstehen Sie der Versuchung, übermäßig klug zu sein." Zitiert für die Wahrheit!
Wesley
5

Für IP-Zuweisungen

Mein Rat ist , alles unter der 10.0.0.0/8 Subnetz zu platzieren, die folgende Struktur verwendet: 10. site. division.device

  • site ist ein physischer Standort oder ein logisches Äquivalent (z. B. NY-Büro, NJ-Büro, DR-Einrichtung, Entwicklungsumgebung).
  • divisionist eine logische Unterteilung, die für Sie Sinn macht. zB
    0 => Switches / Router
    1 => Admins, 2 => Benutzer
    3 => VOIP
    4 => Gäste
  • devices sind einzelne Geräte (PCs, Server, Telefone, Switches usw.)

Die Idee hier ist, dass Sie leicht anhand der Adresse feststellen können, was ein Gerät ist und wo es sich befindet: 10.2.1.100 ist die Workstation eines Administrators an "Site # 2".

Dieses Modell wird aus klassenbasierten IP-Zuweisungen abgeleitet: Die Klasse A (/ 8) ist Ihr Unternehmen. Jeder Standort erhält eine Klasse B (/ 16), und jede logische Unterteilung an einem Standort erhält eine Klasse C (/ 24) für ihre Geräte.
Es ist möglich (und manchmal wünschenswert), etwas Größeres als a / 24 für die "Division" -Ebene zu verwenden, und Sie können dies mit Sicherheit tun: Alles von a / 17 bis a / 24 ist mit diesem Schema im Allgemeinen ein faires Spiel.

Für DNS-Namen

Mein Rat ist, ein ähnliches Schema wie die oben beschriebene IP-Zuweisung zu befolgen:

  • Alles ist verwurzelt mycompany.com
  • Jede Site (/ 16) hat ihre eigene sitename.mycompany.comSubdomain.
  • Logische Unterteilungen können eine (oder mehrere) Unterdomänen innerhalb der Site haben, zum Beispiel:
    • voip.mycompany.com(mit Geräten wie tel0000.voip.mycompany.com, tel0001.voip.mycompany.com, etc.)
    • switches.mycompany.com
    • workstations.mycompany.com (möglicherweise weiter unterteilt in admin, user & guest)
  • Geräte sollten aussagekräftige Namen haben. Beispielsweise:
    • Benennen Sie Telefone so, dass Sie anhand des DNS-Namens sehen können, welche Nebenstelle sie klingeln.
    • Benennen Sie Workstations basierend auf ihrem Hauptbenutzer.
    • Identifizieren Sie eindeutig "Gast" -IP-Adressen.
    • Benennen Sie Server, damit Sie erkennen können, was sie sind / was sie tun.
      Dies kann durch die Verwendung von „langweilig“ Namen erreicht werden ( www01, www02, db01, db02, mail, etc.) oder durch ein Benennungsschema Verkündung und klebt es (zum Beispiel: Mail - Server ist nach Felsen benannt, Web - Server benannt nach Bäumen, Datenbankserver sind benannt nach Malern).
      Langweilige Namen sind für eine neue Person leichter zu lernen, coole Namensschemata machen mehr Spaß. Treffen Sie Ihre Wahl.

Sonstige Hinweise

In Bezug auf virtuelle Server:
Betrachten Sie diese als physische Maschinen (trennen Sie sie nach Abteilung / Zweck und nicht nach der Tatsache, dass sie "virtuell" sind. Haben Sie eine separate Abteilung für das Hypervisor / VM-Verwaltungsnetzwerk.
Dies scheint wichtig zu sein Sie wissen jetzt, ob eine Box virtuell oder physisch ist, aber wenn Ihr Überwachungssystem "Hey, E-Mail ist ausgefallen!" sagt, lautet die Frage, die Sie stellen, "Welche Computer sind mit E-Mails verbunden?", nicht "Welche Computer sind" virtuelle und die physische sind?“.
Beachten Sie, dass Sie DO , falls ein Hypervisor - Host bläst, müssen eine praktische Art und Weise zu identifizieren , ob eine Maschine virtuell oder physisch, aber das ist eine Herausforderung für Ihre Monitoring - System, nicht Ihre Netzwerkarchitektur.

In Bezug auf VOIP:
VOIP (insbesondere Sternchen) ist ein Synonym für "Sicherheitsloch". Schieben Sie all Ihre VOIP-Inhalte in ein eigenes Subnetz und ein eigenes VLAN und lassen Sie es nicht in die Nähe von sensiblen Objekten.
Jedes VOIP-Telefon, das ich im letzten Jahr gesehen habe, unterstützt die VLAN-Trennung (tatsächlich unterstützen alle sowohl Sprach- als auch Daten-VLANs, sodass Sie das Telefon weiterhin als Durchgang für Desktop-Ethernet-Verbindungen verwenden können). Nutzen Sie diesen Vorteil - Sie werden es nicht bereuen, wenn Ihre VOIP-Umgebung gehackt wird.

Planung und Dokumentation:
Zeichnen Sie Ihr Netzwerk auf Papier, bevor Sie Adressen und DNS-Namen zuweisen. Zeichnen Sie es zuerst mit Bleistift auf ein GROSSES Blatt Papier.
Machen Sie viele Fehler.
Großzügig löschen.
Fluch fließend.
Sobald Sie für mindestens 10 Tage aufhören zu fluchen und zu löschen, ist es Zeit, das Diagramm in Visio / Graffle / ein anderes elektronisches Format als offizielles Netzwerkdiagramm zu setzen. Schützen Sie dieses Diagramm. Behalten Sie es in seiner heiligsten Richtigkeit bei, wenn Sie Geräte hinzufügen und entfernen, Ihre Organisation erweitern und Ihre Netzwerkstruktur ändern.
Dieses Netzwerkdiagramm ist Ihr bester Freund, wenn Sie Änderungen vornehmen, neuen Administratoren das Netzwerk erklären oder einen mysteriösen Fehler beheben müssen.

voretaq7
quelle
Beachten Sie, dass ich davon ausgehe, dass Sie zu NAT gehen - hauptsächlich, weil ich davon ausgehe, dass Sie> 1 Sites haben und zwischen ihnen VPN möchten.
voretaq7
+1: Ich mag die Verwendung von Oktetten und die Korrelation zum Ort (und / oder zur Virtualisierung, wie Sie erwähnen). Dies könnte in verschiedene logische Unterteilungen erweitert werden, aber die Idee ist sehr sinnvoll. Auch für die Infos zu VoIP.
Osij2is
Das Oktett bricht zusammen, wenn Sie mehr als 200 Geräte haben - es kann einschränkend werden, wenn Sie 1000 Personen in einem Büro haben und alle IP-Telefone auf ihren Schreibtischen haben. Kleine Einschränkung zu beachten :-)
voretaq7
@ vortaq7: Ich habe diesen Punkt angenommen, aber immer noch gut zu beachten. In jedem Fall ist es hilfreich, die IP-Adresse zu verwenden, um Dinge logisch und physisch zu organisieren. Außerdem ist ein guter Punkt zwischen virtuell und physisch praktisch irrelevant. Es ist schön, organisiert zu sein, aber die Auszahlung für diese Trennung ist bestenfalls marginal.
Osij2is
@ osij2is - Virtual vs Physical ist definitiv relevant. Ich glaube einfach nicht, dass die Netzwerkinfrastruktur der Ort ist, an dem es aufgezeichnet werden kann (oder wenn Sie müssen, tun Sie dies mit DNS, indem Sie separate A- oder CNAME-Einträge wie erstellen app01.hypervisor02.site.mycompany.com). Ein durchdachtes und implementiertes Überwachungssystem ist das zweite wesentliche Element (nach der Netzwerkorganisation) in jeder Umgebung, die Sie interessiert.
voretaq7
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.