Meilleures pratiques de planification de l'espace d'adressage IPv4


16

Une question récente de Craig Constantine concernait IPv6, mais de nombreuses personnes ne sont pas encore à la pointe de l'IPv6 et sont toujours responsables des déploiements IPv4 nouveaux ou améliorés.

Je voudrais valider ma propre planification d'espace d'adressage IPv4 d'entreprise par rapport à tout document public ou conseil donné directement ici. L'adressage a des besoins uniques entre le DC et le campus qui seraient idéalement envisagés.

Je cherche spécifiquement à voir quelles sont les meilleures pratiques pour planifier les affectations d'espace IP privé (RFC1918) pour les régions, les villes, le campus, les bâtiments, les étages, les liaisons montantes, les liaisons WAN, les bouclages, etc. Avec ou sans fil. Réseaux internes vs réseaux invités. * Je sais que cela peut être en soi une question ouverte, donc je cherche des références spécifiques ou des exemples de plans éprouvés et bien pensés d'une manière similaire aux réponses IPv6. Les blocs CIDR suggérés seraient utiles lorsque l'espace est alloué.

L'agrégation pour le routage, bien sûr, est souhaitée, tout comme la possibilité d'avoir des listes de contrôle d'accès simplifiées. Il y a un compromis dans les ACL avec le désir d'agréger tous les sous-réseaux d'employés, par exemple, qu'ils soient câblés ou sans fil par rapport à l'agrégation de tous les utilisateurs sans fil, qu'ils soient employés, sous-traitants ou invités.

Réponses:


10

Étant dans une semi-petite entreprise, nous avons cassé notre réseau privé de manière assez libérale comme suit:

/ 24 par Vlan / 16 par emplacement

Les VLAN sont répartis, sautant 10 / 24s par. Le numéro Vlan correspond au troisième octet. Les emplacements sont séquentiels, commençant 10/16 s.

c'est à dire

  • 10.10.1.0/24 - Emplacement A, Management Vlan 1

  • 10.10.11.0/24 - Emplacement A, Vlan sans fil 11

  • 10.11.11.0/24 - Emplacement B, Wireless Vlan 11

  • 10.11.81.0/24 - Emplacement B, SAN Vlan 81

  • 10.11.101.0/24 - Emplacement B, Bureau filaire Vlan 101

Exemples Vlan:

  • 1 - gestion

  • 2 - gestion du sans fil

  • 11 - accès sans fil

  • 21 - invités

  • 31 - appareils mobiles

  • 41 - équipement d'usine

  • 51 - SAN

  • 61 - VoIP

  • 71 - Accès filaire

Etc.

Les avantages que nous avons constatés avec ceci sont:

  • Se référer facilement à un emplacement entier via / 16. Nous l'utilisons assez souvent pour les listes de contrôle d'accès VPN.

  • Regroupez facilement les types d'appareils pour le filtrage Web.

  • Tout Vlan dans les 10/24 suivants appartient au même type que la racine précédente.

    • Ainsi par exemple, des équipements d'usine ... Vlan 31, pour certains vendeurs qui ont un accès à distance 24h / 24 et 7j / 7, nous leur avons donné leur propre Vlan, 32 ou 33 ou 34, jusqu'à 40. Leur accès VPN les limite à l'équipement qu'ils prise en charge sans être granulaire sur les IP / ACE. Si l'équipe de fabrication doit déposer plus d'équipement, nous n'avons pas à mettre à jour les listes de contrôle d'accès VPN. Cela inclut également les ACL / ACE d'accès entre les VLAN.

    • Autre exemple: SAN Vlans, nous en utilisons deux au minimum pour la redondance. Ils sont donc toujours 81 et 82.

    • Dernier exemple: la gestion sans fil est répartie sur son propre Vlan, 2. Nous le faisons parce que nous avons suffisamment de points d'accès pour avoir besoin d'un contrôleur WLAN mais pas de budget pour les contrôleurs. Ce Vlan utilise les options tftp et dhcp pour configurer et démarrer automatiquement les points d'accès à partir d'un référentiel de configuration central et nous ne voulons pas que d'autres équipements capables de démarrer automatiquement tirent les configurations sans fil.

Cette configuration nous permet de visualiser facilement une adresse IP et de connaître l'emplacement et le type d'équipement auquel elle appartient. Cela signifie moins d'ACL / ACE dans les fichiers de configuration pour nous, en particulier sur les utilisateurs VPN limités. Nous avons également une marge de manœuvre pour l'expansion dans le cas où nous manquerions d'adresses IP dans un Vlan ou parce que nous devons séparer davantage le trafic. Et puisque nous sommes une petite entreprise, nous n'avons pas encore divisé la numérotation des emplacements à trois chiffres. Beaucoup d'espace de croissance.


En donnant un / 16 à chaque emplacement et en respectant ce plan, vous pouvez également résumer les liens WAN entre les emplacements, ce qui est bon du point de vue de la table de routage. En supposant que vous avez la bonne conception de base / distribution!
knotseh

9

Étant donné que l'IPv4 existe depuis si longtemps, il existe des millions de façons différentes pour que les gens choisissent d'allouer leur espace IPv4.

Pour nous (un FAI), nous utilisons la plus petite taille de sous-réseau possible sur des liaisons de transit pures (/ 30 généralement), puis en termes de clients, cela dépend de leurs besoins, en raison de la brièveté de tout le monde sur IPv4 signifie qu'au lieu d'utiliser un règle générale, vous devez prendre chaque client comme sa propre entité et rassembler ses besoins en conséquence.

C'est bien sûr si vous faites référence à l'espace IPv4 PUBLIC, en termes de trucs internes RFC1918, puis planifiez vos allocations afin que vous construisiez de l'espace pour l'expansion (par exemple, un bâtiment ne compte que 50 personnes, ne leur donnez pas un / 26 juste parce que c'est le sous-réseau de taille suivante, mais peut-être leur donner un / 24 pour permettre l'expansion.

Une autre bonne pratique consiste à allouer pour agréger, c'est-à-dire que si vous avez un bâtiment de 10 étages, allouez un / 20 (ou plus) au bâtiment, puis allouez les sous-réseaux pour chaque étage / département à partir de ce / 20, de cette façon, vous pouvez Annoncez uniquement le / 20 au reste de votre réseau plutôt qu'à tous les sous-réseaux individuels pour chaque étage.


Modifié Q. pour indiquer que je suis principalement intéressé par la planification de l'espace IP privé. J'ai supposé que l'agrégation était un objectif que tout le monde comprenait, mais je vais l'ajouter pour clarifier ce qui est souhaité.
generalnetworkerror
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.