В жизни системного администратора всегда наступает момент, когда необходимо определить IP-подсеть. Будь то ваша небольшая домашняя локальная сеть или бесконечная корпоративная глобальная сеть, где безумие таятся в глубинах неизвестных маршрутов, IP-адреса всегда нужно будет выбирать, разделять и назначать какому-либо устройству, того заслуживает или нет. И хотя в «реальном мире» общедоступного Интернета вам придется просто подчиняться приказам вашего интернет-провайдера, вы свободны выбирать свой путь и свою окончательную судьбу, когда дело касается вашей собственной частной сети.
Как всем известно (или должно быть известно), мощный RFC 1918 утверждает, что IP-адреса частных сетей могут быть разделены только на три больших блока:
192.168.0.0/16
172.16.0.0/12
10.0.0.0/8
Какой твой любимый?
Какого размера вы обычно выбираете для создания подсети, независимо от того, сколько устройств вы действительно нужно к нему подключиться?
Как вы думаете, его следует свести к минимуму или он должен быть как можно более великолепным и великолепным?
Вы верите в законность «круглых» подсетей (/ 8, / 16, / 24) или предпочитаете анархию и ползучий хаос «необъятных»?
Вы следуете Священной Школе Наших Врат Должно быть .1, Нечестивому Храму Нет, Это Должно быть .254, или кощунственным учениям Ордена Ордена Кончится тем, чем Мы хотим, чтобы Он закончился?
В глубине души вы чувствуете, что у серверов должны быть «низкие» адреса, а у клиентов - «высокие»? Или только Судьба определит, как называться Сервер и Клиент?
Всегда ли вы используете (или пытаетесь использовать) одни и те же конечные числа во всех подсетях, которыми вы управляете, чтобы вы могли найти свой шлюз и свой DNS в час вашей большой нужды?
Вы верите в DHCP или в статическую адресацию? И вы верите в их гибридное дитя, DHCP с резервированием, даже для неклиентских машин, таких как сетевые принтеры или, да простят вас все боги, серверы?
"Take this and divide it; this is my 2^32 address space,
which shall be endlessly fragmented for all your addressing needs,
until IPv6 may finally come."
Я поклоняюсь алтарю 00001010/11111111. Боги рассердились бы, если бы вы не тосковали по самой большой из сетей. Это обеспечивает максимальную гибкость и меньше всего конфликтует с сетями плебея.
Я считаю, что хороший / 24 - идеальный размер для большинства сетей, у вас есть место, чтобы растянуться, дать вашим серверам немного передышки, вам нужно помнить, что у них есть проблемы с личным пространством, как и у всех нас.
Единственный раз, когда я трачу клетки мозга, предоставленные мне богами сети и серверов, чтобы подсеть намного дальше, - это те части оборудования, которые думают, что они лучше, чем все остальные - маршрутизаторы, коммутаторы, межсетевые экраны, на которые я смотрю ТЫ! Те, кого я пытаюсь ограничить размером / 25 или меньше, иначе их высокомерие начало распространяться на серверы, и вы просто не можете позволить серверам выйти из строя. Плохие, плохие вещи случаются, если вы позволите этому продолжаться, файлы начнут исчезать, службы выйдут из строя - это нехорошо, говорю вам, совсем не хорошо! Однако, чтобы поддерживать сетевое оборудование в рабочем состоянии, мы позволяем маршрутизаторам / брандмауэрам использовать первые используемые адреса в подсети (может быть .1 ... может быть .33 - в зависимости от вашей сетевой маски), что обычно поддерживает их соответствие.
«Никогда не смешивай клиентов и служителей, потому что если ты поступишь, то будет великая битва, и погибнут те, кто верят, что могут контролировать их» -BOFH 20:15
«Ибо, если ты позволишь немытым беспрепятственным доступ к твоим самым драгоценным ресурсам, ты будешь изгнан из храма наших богов и заклеймен - Пользователь» - БОФ 16: 2
Нет веских причин для установки DHCP-сервера в производственной сети - серверная сборка - да, производственная - НЕТ. Клиентские сети, всегда есть DHCP, резервирование там, где они вам нужны (или требуются вашим аудитором!)
«Тот, кто контролирует распределение в сети, чертовски уверен, что это удобно ему и никому другому» - BOFH 1: 1
... перевел да используйте те же адреса хостов где можно ... все будет проще.
Помимо всех приведенных здесь мудрых предложений, одно, которое я нашел полезным: для удобства не используйте ту же сеть, что и ваш офис, или другие локальные сети, к которым вам, возможно, придется подключаться (удаленно).
Эта подсказка значительно улучшила мою жизнь с VPN: например, наличие одной и той же подсети может раздражать, когда 192.168.0.1 может быть ваш домашний маршрутизатор и удаленный сервер, который вы пытаетесь исправить. Тогда вам придется добавить ручной маршрут через интерфейс VPN и т. Д.
Для всего остального есть Mastercard.
Мое любимое решение для адресации для многосайтовой настройки.
10.DATACENTER.RACK.RACKU + 100
Каждая стойка получает / 24, которые я подключаю к паре основных коммутаторов / маршрутизаторов.
Он довольно сильно ориентирован на детали, но я могу многое сделать, просто взглянув на IP-адрес.
С парой основных маршрутизаторов у меня есть два плавающих маршрута по умолчанию .1 и .2. (HSRP / VRRP) Фактические IP-адреса интерфейсов: .3 и .4.
Маршрут по умолчанию Odd Us до .1 Even Us маршрут по умолчанию до .2
Я установил диапазон DHCP 200–240 для выполнения тестирования загрузки PXE перед назначением официального IP.
10.x.x.x; анархия и ползучий хаос (/ 22 на самом деле чертовски полезная подсеть, не слишком большая и не слишком маленькая, поэтому оставьте то же самое, независимо от размера, второй октет определяет основное местоположение, третий определяет под-местоположение); шлюз всегда равен 1, серверы начинаются с 11 (с основным DNS-сервером 11), затем клиенты (начиная с 10.x.1.x / 10.x.5.x / и т. д. с использованием подсети / 22), наконец, принтеры и другие устройства (начиная с 10.x.3.x, 10.x.7.x и т. д.); серверы с одинаковыми ролями в каждой подсети по возможности имеют одинаковый адрес; DHCP для клиентских ПК, статический для всего остального, резервирование, используемое для определенных «специальных» клиентов, где есть устаревшие приложения и устаревшие модели безопасности, которые полагаются на определенный IP-адрес.
Вот и все. :)
Размер подсети, конечно, следует выбирать в зависимости от размера сети, с достаточным пространством для будущего расширения, потому что переадресация всегда является большой проблемой. Тем не менее, мои любимые подсети - это те, которые начинаются с 192.168.0. и 10 .: Я действительно терпеть не могу 172. один, и, конечно, для этого нет никакой рациональной причины: это чисто эстетическая проблема.
Я предпочитаю «круглые» подсети, потому что с ними намного легче запоминать маски подсети, сети и широковещательные адреса, а также знать, к какой подсети принадлежит адрес.
Я предпочитаю выбирать подсети 192.168.X класса C для небольших сетей, где 254 адреса наверняка будет достаточно; Обычно я здесь довольно консервативен и выбираю самые простые из них: 192.168.0 и 192.168.1; Еще мне очень нравится 192.168.42.0/24, за очевидные причины.
Для более крупных сетей я обычно следую тому же принципу: используя 10 адресов, вы можете иметь 256 подсетей с 65534 хостами или 65536 подсетей с 254 хостами: более чем достаточно для любой сети, без необходимости в модных / 13, / 28 или / 27 подсетей. Конечно, всегда могут быть исключения, но это мое общее правило.
Я твердо верю в порядок, когда дело доходит до управления сетями и системами, потому что компьютерные системы, как правило, хаотичны по своей сути (как в теории хаоса): малейшая ошибка может иметь непредсказуемые результаты. При сетевой адресации я стараюсь всегда использовать одни и те же конечные адреса для одних и тех же ролей; это моя типичная разбивка сети класса C:
.1 - шлюз по умолчанию.
.11 и .12 (и, возможно, .13, .14 и т. Д.) - это контроллеры домена, DNS и WINS (если они используются) серверы.
.25 - почтовый сервер.
.80 - это веб-сервер или прокси-сервер (если он есть).
Обычно я использую «низкие» адреса для серверов и «высокие» для клиентов; первые всегда статичны, а вторые назначаются с помощью DHCP. Я большой поклонник DHCP и динамического DNS для клиентов, но я бы никогда не использовал его для серверов и других «фиксированных» систем, таких как сетевые принтеры и сканеры.
Если сеть больше и более сегментирована, мне нравится размещать серверы в одной подсети, а клиенты - в другом; клиентских (и даже серверных) подсетей, конечно, может быть больше одной, если сеть достаточно большая, чтобы требовать VLAN.
Мне нравится 10. Он красивый и короткий, и предлагает огромное количество возможностей для расширения.
После 10 я обычно работаю в / 16, но я план их на / 8 (обычно это хороший размер для бизнес-единицы). Работать в восьмерках приятно, потому что (если ваша компания не крупная) вы можете просто назначить бизнес-единицу 10.1.0.0, и вам не придется беспокоиться о том, что в ближайшее время у них закончится место. Очевидно, что если у вас более 255 бизнес-единиц, ymmv.
Я обычно использую 1 для шлюза просто потому, что это упрощает запоминание. В любом случае, если вы используете один и тот же номер в каждой подсети, это не имеет значения. Помимо шлюза, я не резервирую определенные IP-адреса для определенных типов серверов.
Обычно я размещаю все серверы в их собственных подсетях гетто, чтобы следить за ними и следить за тем, чтобы они не смешивались с дрянными рабочими столами. Если мне нужно их смешивать, то да, я резервирую первые 50 или около того адресов для серверов / всего, что требует статического IP. Опять же, это просто вопрос меньшего набора текста. Пользователи настольных компьютеров редко заботятся об их IP-адресе, и вам не часто нужно его вводить.
Мне нравится DHCP (у нас есть тонны ноутбуков), но вам нужно соединить его с зарегистрированными MAC-адресами, иначе любой придурок с улицы может войти и подключить, и это не так. MAC не безопасны, но с точки зрения безопасности они по крайней мере не хуже статики. Я не использую "зарегистрированный" DHCP; Я не сторонник Windows DHCP. Если я собираюсь использовать статику и динамику в одной подсети, я просто устанавливаю диапазон DHCP 51–255 или аналогичный, а статику - 1–50.