Come scegli il tuo indirizzo IP?

Nella vita di un amministratore di sistema, arriverà sempre un momento in cui è necessario definire una sottorete IP. Che si tratti della tua piccola LAN domestica o della infinita WAN aziendale dove la follia si nasconde nelle profondità di rotte sconosciute, gli indirizzi IP dovranno sempre essere scelti, divisi e assegnati a qualche dispositivo, meritandolo o meno. E, mentre nel "mondo reale" di Internet pubblico dovrai solo obbedire agli ordini del tuo ISP, sei libero di scegliere il tuo percorso e il tuo destino finale quando si tratta della tua rete privata.

Come tutti sanno (o dovrebbero sapere), il potente RFC 1918 afferma che gli indirizzi IP della rete privata possono cadere solo in tre grandi blocchi:

192.168.0.0/16
172.16.0.0/12
10.0.0.0/8

Qual è il tuo preferito?
Quanto in genere scegli di creare una sottorete, indipendentemente dal numero di dispositivi realmente necessari per connetterti?
Pensi che dovrebbe essere ridotto al minimo o dovrebbe essere il più grande e glorioso possibile?
Credi nella legge e nell'ordine delle sottoreti "rotonde" (/ 8, / 16, / 24) o preferisci l'anarchia e il caos strisciante di quelle "non circoscritte"?
Seguirai la Sacra Scuola del nostro ingresso dovrebbe essere .1, il diabolico tempio di No dovrebbe essere .254, o gli insegnamenti blasfemi dell'Ordine di esso finiranno con qualunque cosa noi vogliamo che finisca?
Pensi che i server dovrebbero avere indirizzi "bassi" e i clienti dovrebbero usare quelli "alti"? O solo il destino definirà come devono essere chiamati il ​​server e il client?
Usi sempre (o provi a usare) gli stessi numeri finali in tutte le sottoreti che gestisci, in modo da poter trovare il tuo gateway e il tuo DNS nell'ora del tuo grande bisogno?
Credi nel DHCP o nell'indirizzamento statico? E hai fiducia nel loro figlio ibrido, DHCP With Reservations, anche per macchine non client come stampanti di rete o, tutti gli dei possono perdonarti, Server?

"Take this and divide it; this is my 2^32 address space,
 which shall be endlessly fragmented for all your addressing needs,
 until IPv6 may finally come."

Adoro l'altare di 00001010/11111111. Gli dei sarebbero arrabbiati se non desiderassi la più grande delle reti. Permette la massima flessibilità e meno conflitti con le reti della pleb.

Trovo che un bel / 24 sia la dimensione perfetta per la maggior parte delle reti, hai spazio per allungare, lascia che i tuoi server abbiano un po 'di respiro, devi ricordare che hanno problemi di spazio personale come tutti noi.

L'unica volta che trascorro le cellule cerebrali che mi sono state concesse dagli dei della rete e dei server per sottorete molto più lontano è per quei pezzi di apparecchiature che pensano di essere migliori di tutti gli altri - router, switch, firewall che sto guardando VOI! Quelli che cerco di limitare a un / 25 o più piccolo, altrimenti la loro arroganza inizierebbe a diffondersi sui server, e non puoi proprio lasciare che i server vadano fuori linea. Le cose brutte e brutte accadono se lo lasci andare avanti, i file iniziano a scomparire, i servizi si arrestano in modo anomalo, non va bene te lo dico, non va affatto bene! Per mantenere in linea le apparecchiature di rete, tuttavia, consentiamo ai router / firewall di utilizzare i primi indirizzi utilizzabili in una sottorete (potrebbe essere .1 ... potrebbe essere .33 - dipende dalla maschera di rete) che normalmente li mantiene in linea.

"Non mescolerai mai client e server, perché se lo farai ci sarà una grande battaglia, e rovinerai coloro che credono di poterli controllare" -BOFH 20:15

"Perché se lasci che il libero accesso senza restrizioni alle tue risorse più preziose, sarai gettato dal tempio dei nostri Dei e marchiato - Utente" -BOFH 16: 2

Non vi è alcuna buona ragione per avere un server DHCP su una rete di produzione - build del server sì, produzione NO. Reti client, hanno sempre DHCP, prenotazioni dove sono necessarie (o richieste dal revisore!)

"Chi controlla l'allocazione della rete, si accorge che sia conveniente per lui e per nessun altro" -BOFH 1: 1

... tradotto sì usa gli stessi indirizzi host dove puoi ... tutto sarà più facile.

Oltre a tutti i saggi suggerimenti forniti qui, uno che ho trovato utile: per motivi di comfort, evita di avere la stessa rete del tuo ufficio o di altre LAN a cui potresti dover connetterti (da remoto).

Questo suggerimento ha notevolmente migliorato la mia vita VPN: ad esempio avere la stessa sottorete potrebbe essere fastidioso quando 192.168.0.1potrebbero essere il router di casa e il server remoto che stai cercando di risolvere. Quindi dovresti aggiungere un percorso manuale attraverso l'interfaccia VPN, ecc.

Per tutto il resto c'è Mastercard.

La mia attuale soluzione di indirizzamento preferita per un'installazione multi-sito.

10.DATACENTER.RACK.RACKU + 100

Ogni rack riceve un a / 24, che termino su una coppia di switch / router core.

È piuttosto fortemente orientato ai dettagli, ma posso dedurre molto semplicemente guardando un indirizzo IP.

Con una coppia di router core, ho due route predefinite mobili .1 e .2. (HSRP / VRRP) Gli IP di interfaccia effettivi sono .3 e .4.

Percorso predefinito Dispari fino a .1 Anche percorso predefinito Dispari a .2

Ho impostato un intervallo DHCP su 200-240 per l'esecuzione di boot di test PXE prima dell'assegnazione dell'IP ufficiale.

10.xxx; anarchia e caos strisciante (/ 22 è in realtà una sottorete dannatamente utile, non troppo grande e non troppo piccola, quindi mantieni la stessa indipendentemente dalle dimensioni, il secondo ottetto definisce una posizione primaria, il terzo definisce una sotto-posizione); il gateway è sempre 1, i server iniziano da 11 (con DNS primario 11), quindi i client (a partire da 10.x.1.x / 10.x.5.x / etc usando una sottorete / 22), infine stampanti e altro dispositivi (a partire da 10.x.3.x, 10.x.7.x, ecc.); i server con gli stessi ruoli in ciascuna sottorete hanno lo stesso indirizzo ove possibile; DHCP per PC client, statico per tutto il resto, prenotazioni utilizzate per alcuni client "speciali" in cui esistono app legacy e modelli di sicurezza legacy che si basano su un indirizzo IP specifico.

Questo è tutto. :)

La dimensione della sottorete deve ovviamente essere scelta in base alle dimensioni della rete, con spazio sufficiente per future espansioni, perché il reindirizzamento è sempre un grosso problema. Detto questo, le mie sottoreti preferite sono quelle che iniziano con 192.168. e 10 .: Non riesco davvero a sopportare quelli 172. E ovviamente questo non ha alcun motivo razionale: è puramente una preoccupazione estetica.

Preferisco le sottoreti "rotonde", perché con esse è molto più facile ricordare le maschere di sottorete, le reti e gli indirizzi di trasmissione e sapere a quale sottorete appartiene un indirizzo.

Tendo a scegliere sottoreti di classe C 192.168.X per reti di piccole dimensioni in cui 254 indirizzi saranno sicuramente sufficienti; Di solito sono abbastanza conservatore qui, e vado con il più semplice di loro: 192.168.0 e 192.168.1; Mi piace anche 192.168.42.0/24, per ovvie ragioni .

Per le reti più grandi, di solito seguo lo stesso principio: usando 10. indirizzi puoi avere 256 sottoreti di 65534 host o 65536 sottoreti di 254 host: più che sufficienti per qualsiasi rete, senza bisogno di fantasia / 13, / 28 o / 27 sottoreti. Naturalmente ci possono essere sempre delle eccezioni, ma questa è la mia regola generale.

Credo fermamente nell'ordine quando si tratta di gestione della rete e dei sistemi, perché i sistemi informatici tendono ad essere caotici nella loro essenza (come nella teoria del caos): l'errore più piccolo può avere risultati imprevedibili. Nell'indirizzamento di rete, provo a usare sempre gli stessi indirizzi finali per gli stessi ruoli; questa è la mia tipica rottura di una rete di classe C:

.1 è il gateway predefinito.
.11 e .12 (e forse .13, .14 e così via) sono controller di dominio, server DNS e WINS (se in uso).
.25 è il server di posta.
.80 è il server Web o il server proxy (se presente).

Di solito uso indirizzi "bassi" per server e "alti" per client; i primi sono sempre statici, mentre i secondi sono assegnati tramite DHCP. Sono un grande fan di DHCP e DNS dinamico per i client, ma non lo userei mai per server e altri sistemi "fissi", come stampanti e scanner di rete.

Se la rete è più grande e più segmentata, mi piace mettere server su una sottorete e client altrove; le sottoreti client (e persino server) possono ovviamente essere più di una, se la rete è abbastanza grande da richiedere VLAN.

Mi piace 10. È bello e corto e offre una grande quantità di spazio per l'espansione.

Dopo 10 lavoro di solito in / 16, ma li pianifico per / 8 (che di solito sono di buone dimensioni per una business unit). Lavorare in 8's è bello perché (a meno che la tua azienda non sia enorme) puoi semplicemente assegnare una business unit 10.1.0.0 e non dovrai preoccuparti che a corto di spazio presto. Ovviamente, se hai più di 255 unità aziendali, ymmv.

Di solito uso 1 per il gateway, solo perché lo rende facile da ricordare. Ad ogni modo, fintanto che usi lo stesso numero su ogni sottorete, non importa. A parte il gateway, non riservo ips specifici per tipi specifici di server.

Di solito scarico tutti i server sulle loro sottoreti del ghetto, così posso tenerli d'occhio e assicurarmi che non si mescolino con i desktop schifosi. Se devo farli mescolare, allora sì, riservo i primi 50 indirizzi per server / qualsiasi cosa abbia bisogno di un IP statico. Ancora una volta si tratta solo di scrivere meno. Gli utenti desktop raramente si preoccupano di quale sia il loro IP e spesso non è necessario immetterlo.

Mi piace il DHCP (abbiamo tonnellate di laptop), ma è necessario accoppiarlo con indirizzi MAC registrati, o qualsiasi shmuck fuori strada può entrare e collegarsi e questo è un no no. I MAC non sono sicuri, ma almeno quanto quelli statici, per quanto riguarda la sicurezza. Non utilizzo DHCP "registrato"; Non sono una persona DHCP di Windows. Se avrò statici e dinamiche sulla stessa sottorete, ho appena impostato l'intervallo DHCP su 51-255 o simili e ho messo la statica in 1-50.