Привет, вселенная serverfault,
Моя постоянно развивающаяся и расширяющаяся локальная сеть в настоящее время использует адрес класса C. Моя сеть состоит из нескольких подсетей в зависимости от сайта / местоположения.
192.168.1.x - это штаб-квартира сайта
192.168.5.x - вторичный сайт
192.168.10.x - третий и так далее.
Короче говоря, я унаследовал этот сетевой дизайн от предыдущего администратора, который покинул компанию, которая начинала с дюжины человек, а сейчас в ней работает чуть более 300 сотрудников, работающих полный / неполный рабочий день. У нас пока нет клиентского доступа к VPN; но у нас есть настройка межсайтового VPN.
РЕДАКТИРОВАТЬ - чтобы включить детали, касающиеся моей текущей настройки и будущего планирования:
Главный и вторичный сайты (подсети) имеют 25 физических серверов. Сайты филиалов имеют 5 (каждый контроллер домена). Таким образом, мы ожидаем, что в ближайшие 3 года он вырастет примерно на 50%.
В настоящее время у нас есть общедоступный веб-сервер и сервер веб-почты Domino. Я купил Cisco ASA для DMZ, VPN с клиентским доступом и Site to Site VPN, чтобы заменить существующее готовое решение (Linksys) для VPN / маршрутизатора. Единственные изменения, которые я вижу, - это замена Domino на Exchange (OWA), и я хочу добавить сервер Cisco VPN, доступный через Интернет.
В общей сложности DHCP с нашего основного маршрутизатора сдает в аренду 150 IP-адресов клиентским рабочим станциям в моей основной подсети 192.168.1.x, которая также оказывается той же подсетью, что и мои основные серверы. Около 100 IP-адресов в нескольких подсетях для оставшихся сайтов в других подсетях.
Наша «сеть» управления (HP ProLiant iLO) находится в основной подсети 1.x.
Это выглядит примерно так: 192.168.1.x состоит из серверов, использующих адреса от 10 до 40. Принтеры, использующие адреса от 40 до 50. Рабочие станции от 50 до 200. Адреса управления iLO используют адреса от 200 до 250.
Мой вопрос: готовясь к доступу внешних клиентов к моей сети через Cisco ASA, я хотел бы переадресовать сайт штаб-квартиры, потому что я понимаю, что 192.168.1.x или 192.168.0.x не очень хороший выбор для компании. подсеть - она может конфликтовать с локальной сетью домашнего пользователя при подключении к моей локальной сети, я полагаю? Судя по вашему опыту, есть ли у кого-нибудь предложения и советы о том, как я могу продолжить перенаправление моих подсетей. Если бы я спроектировал эту сеть, я бы выбрал 10.0.0.0, поэтому я склоняюсь к ее изменению. Спасибо.
Я бы сказал, что сейчас хорошее время, чтобы сделать шаг назад и переоценить свой IP-дизайн, а не просто погрузиться в то, что в первую очередь приходит вам в голову. Что вы делаете :)
Первое, что я хотел бы сделать, это оценить каждый сайт:
После завершения оценки вы можете переходить к проектированию своего IP-пространства.
Затем я бы взял подсеть 10.0.0.0/8 по мере необходимости (Подключаем отличный пост Эвана Андерсона)
Практически для каждого из вышеперечисленных пунктов рекомендуется предоставить отдельную подсеть (за исключением наводящих вопросов для определения размера, конечно).
Одна вещь, с которой я столкнулся с доступом к VPN, заключается в том, что есть много поставщиков, которые используют адреса 10.0.1.x и 10.0.0.x по умолчанию. В моей сети 10.0.0.0/21 - это подсеть нашего сервера, что очень затрудняет поддержку удаленного доступа. Если бы мне пришлось сделать это снова, я бы поместил адресное пространство сервера в самый верх 10-сеточного пространства (где-то вроде 10.253.0.0/21), потому что я не видел поставщиков, которые так высоко поднимались в конфигурациях по умолчанию. Если у вас есть ресурсы, которые, как вы знаете, абсолютно не будут доступны через VPN, вы можете использовать нижнюю часть IP-пространства для этих ресурсов.
FWIW .. Я знаю, что Cisco / Linksys находится в 192.168. диапазоны, а Apple отправляет аэропорты с использованием схемы адресов 10 или 172.
надеюсь, это поможет
Одна вещь, которую МОЖЕТ иметь в виду, заключается в том, что большинство маршрутизаторов могут иметь дело с вторичными IP-адресами на сетевых интерфейсах, поэтому вам не обязательно нужен «день флага», когда все меняется сразу.
Возможно, вы захотите отделить адресное пространство сервера от адресного пространства клиента, что открывает возможность разделения сетевой инфраструктуры в будущем.
Если у вас есть VoIP на сайте, подумайте, как вы хотите, чтобы телефоны и ПК взаимодействовали. По крайней мере, телефоны Cisco поддерживают установку компьютеров за телефоном, что позволяет более эффективно использовать порты коммутатора. И, как любезно отмечает Куинси Адамс, телефон и компьютер могут (и должны) находиться в разных VLAN в такой конфигурации.
Помимо этого, стоит учесть все моменты Зайфера.
Предполагая, что вы хотите перейти на 10.1.1/8 подсеть для замены вашего HQ 192.168.1/8 сеть. Вы бы сделали следующее,
192.168/16 адреса в других местахЭто начало, если вы проработаете более подробно, мы увидим, что может быть упущено.