Schemi IP / subnet / dns creativi

11

Ho amministrato solo reti piuttosto piccole (<= 25 nodi). Di solito inserisco il gateway .1, dns / proxy come .10, posta a .20, stampanti a .30-39 e così via e così via. Non utilizzo mai direttamente gli indirizzi IP poiché i nomi host DNS sono chiaramente il modo migliore, ma mi piace avere un modello / layout / progettazione chiari quando si crea una rete da zero.

La mia mappatura DNS ha anche un semplice schema / layout di denominazione. Ad esempio, tutti i miei dispositivi hanno due nomi; un nome formale basato sul ruolo (dc01, mail02, ecc.) e un nome informale. Niente di speciale, ma davvero semplice e gestibile.

Sto cercando di capire uno schema IP / Sottorete / DNS più intuitivo / creativo (se c'è qualcosa di meglio). Sono sicuro che altri hanno schemi più intuitivi a seconda degli obiettivi della rete e simili. La mia rete su cui sto lavorando è ancora piccola, ma ho numerosi dispositivi con cui confrontarmi.

Sto cercando uno schema o una metodologia generale per assegnare l'indirizzo IP (intervalli / classi), i nomi DNS e le reti di sottoreti che comprendono 4-5 punti principali:

  1. Servizi di rete (posta, file, proxy, ecc.)
  2. Sviluppo software (ambienti - dev / staging / prod,
  3. Media (streaming, trasferimenti di file di grandi dimensioni, archiviazione)
  4. Server / desktop virtuali
  5. VoIP

Non ho mai lavorato direttamente con VoIP ma è qualcosa da prendere in considerazione per il futuro.

Nel complesso ho avuto delle idee davvero buone da tutti. Vorrei poter dare più voti / risposte accettate. Grazie per le risposte!

networking  ip  subnet 
osij2is
fonte

Risposte:

9

Mantienilo semplice. Il più semplice possibile, ma garantendo comunque sicurezza e flessibilità. Progettare l'astrazione nelle cose, che suona come se non fosse semplice, ma in realtà è il percorso verso la semplicità stessa.

Per quanto riguarda le sottoreti, questo è abbastanza comune:

  • Utenti su una sottorete
  • Ospiti su un altro
  • Server sulla propria sottorete
  • VOIP da solo.

Filtrare il traffico attraverso ciascuna sottorete secondo necessità. Possibilmente utilizzare VLAN. Spero che tu abbia familiarità con la CLI del tuo fornitore di dispositivi di rete preferito.

Per quanto riguarda il DNS, non ti piacerà questo ... ma usa qualunque cosa funzioni per te. Personalmente, mi piace dare ai server un nome host totalmente astratto senza legami con i suoi servizi. Quindi servizi CNAME al nome host. In questo modo i servizi di migrazione non causano mal di testa al cambiamento DNS. O almeno non così tanti. Preferisco anche nominare i server virtuali con anteposto al nome host.

Esempi:

  • Il nuovo server di database si chiama Athena. Si chiamerà Athena per sempre.
  • Athena è CNAMED per quello che fa: SQL08ENT-CRM, SQL08ENT-AEGIS (il sistema di sicurezza), SQL08ENT-DOCMAN. Forse anche CNAMED basato sulla geografia. O forse il nome host avrà geografia. Athena-ATL. Athena-Sydney. Basta che funzioni.
  • Il server si trova nella subnet del server con un criterio di rifiuto predefinito. Ha incluso il traffico adeguato dalle subnet appropriate.

Mantenere. Si. Semplice. (ma funzionale)

Wesley
fonte
1
Athena è Atene, che è già una città ;-)
dmourati,
+1: Amen sul semplice + funzionale. Non ho pensato a una politica di rifiuto predefinita sulla sottorete, quindi è qualcosa che dovrò incorporare. Non sono esperto nella CLI per lo switch di rete (Netgear), ma è qualcosa che posso capire. Usi entrambe le sottoreti E le VLAN o solo una e non l'altra? Quale dovrebbe avere la precedenza?
osij2is
Se potessi votarti di nuovo, lo farei. Questo è esattamente il motivo per cui sto ponendo questa domanda qui: " Progettare l'astrazione nelle cose, che suona come se non fosse semplice, ma in realtà è il percorso verso la semplicità stessa ". Questo è esattamente ciò a cui sto puntando. Per fortuna sei più eloquente e succinto di me. ;)
osij2is
1
@ osij2is Non uso molto né le sottoreti né le VLAN poiché sono principalmente un piccolo imprenditore. Preferirei usare le VLAN poiché è proprio quello che ho usato principalmente in passato. Tuttavia, sono disposto ad essere accusato di sindrome del martello. Quando tutto ciò che hai è dot-one-q, tutto sembra un problema VLAN. Sì, uno strato di astrazione è buono. Sempre. Due strati è una tana di coniglio. Tre strati sono un segno di abuso di LSD.
Wesley,
1
@WesleyDavid - Re: Netgear, certamente non sono la scelta MIGLIORE, ma le loro cose "ProSafe" possono essere configurate per fare 802.1Q (VLAN con tag). L'implementazione è conforme agli standard come meglio posso determinare: funziona bene con altri fornitori e ti consente di sostituire gradualmente gli attrezzi Juniper o Cisco in seguito, quando il tempo / i finanziamenti lo consentono. L'aspetto negativo di Netgear è che è davvero più orientato all'amministrazione del browser Web rispetto alla gestione della CLI, che rallenta un buon amministratore di rete.
voretaq7,
9

Ho lavorato in un'organizzazione di dimensioni simili (avevamo un / 26), che per ragioni al di là di me, i poteri che si ritiene che uno schema di allocazione IP finemente dettagliato sia fondamentale per l'integrità operativa. Il gateway doveva essere .1, le stampanti dovevano essere tra .2 e .12, i server tra .13 e .20 e così via. Abbiamo anche conservato la documentazione sui singoli host.

Questo è un grande dolore nel culo. Non importa quanto fossi diligente, non riuscivo mai a mantenere aggiornata la documentazione. Non ha aiutato il fatto che non disponessimo di alcun servizio DNS, quindi l'utilizzo di questo schema di allocazione IP è stato l'unico servizio di "denominazione" che avevamo (il che, in un modo strano, lo ha reso più indispensabile di quanto non fosse in realtà).

Per una rete delle tue dimensioni, consiglierei alcune cose (la maggior parte delle quali hai già fatto):

  • Semplice : non stai gestendo centinaia di host. La complessità della tua soluzione dovrebbe riflettere la complessità dell'ambiente. Resisti alla tentazione di essere eccessivamente intelligente. Ti ringrazierai più tardi.

    1. Prendi il tuo spazio IP disponibile e dai il 60% ai tuoi clienti via DHCP. Configura alcuni servizi DNS dinamici in modo da non dover più guardare un dannato indirizzo IP. Dimentica di tenerne traccia. Profitto.

    2. Prenota l'altro 30% per gli indirizzi IP che gestisci: server, stampanti, dispositivi di rete, servizi di test. ecc. UTILIZZARE DNS PER DOCUMENTARE QUESTO. A mio avviso, non c'è più grande perdita di tempo che tenere traccia scrupolosamente di tutti questi indirizzi IP "gestiti dall'amministratore" (al contrario degli indirizzi IP gestiti DHCP) utilizzando un foglio di calcolo Excel (che è necessario fare costantemente riferimento e mantenere) , quando potresti dedicarti a supportare una soluzione DNS autodocumentata e molto più utile.

    3. Mantieni l'ultimo 10% del tuo indirizzo nella parte superiore dello spazio di indirizzamento IP inutilizzato. Una piccola riserva non fa mai male.

    4. Regola i rapporti come ritieni adatti al tuo ambiente. Alcuni ambienti avranno più client, altri saranno "server" (cioè "gestiti dall'amministratore") pesanti.

  • Servizi di rete (posta, file, proxy, ecc.)
  • Sviluppo software (ambienti - dev / staging / prod,

Entrambi rientrano nella categoria dello spazio IP "gestito dall'amministratore".

  • Media (streaming, trasferimenti di file di grandi dimensioni, archiviazione)

A mio avviso, ciò ha poco a che fare con la sottorete e tutto ciò che riguarda il monitoraggio della rete.

  • Server / desktop virtuali

I server sono "gestiti dall'amministratore", i desktop (ovvero i computer client) devono essere "gestiti dal DHCP".

  • VoIP

Una rete fisicamente discreta sarebbe l'ideale ... ma non è realistico. La prossima cosa migliore sarebbe una VLAN e una sottorete separate. Si tratta dell'unico punto in una piccola rete in cui sentirei davvero la necessità di separare il traffico (ad eccezione di cose accessibili pubblicamente).

2
Parole. Upvote. Oh aspetta, questo non è Reddit. Ad ogni modo, "Resistete alla tentazione di essere eccessivamente intelligenti". Citato per la verità!
Wesley,
5

Per allocazioni IP

Il mio consiglio è di posizionare tutto sotto la sottorete 10.0.0.0/8, usando la seguente struttura: 10 site.. division.device

  • site è una posizione fisica o un equivalente logico (ad es. ufficio di New York, ufficio di New Jersey, struttura DR, ambiente di sviluppo).
  • divisionè una suddivisione logica che ha senso per te. es.
    0 => Switch / Router
    1 => Amministratori, 2 => Utenti
    3 => VOIP
    4 => Ospiti
  • devicesono singoli dispositivi (PC, server, telefoni, switch, ecc.)

L'idea qui è che puoi facilmente determinare cos'è un dispositivo e dove si trova tramite il suo indirizzo: 10.2.1.100 è la stazione di lavoro di un amministratore nel "Sito n. 2".

Questo modello deriva da assegnazioni IP basate su classi: la Classe A (/ 8) è la tua azienda. Ogni posizione ottiene una Classe B (/ 16) e ogni divisione logica in una posizione ottiene una Classe C (/ 24) per i propri dispositivi.
È possibile (e talvolta desiderabile) usare qualcosa di più grande di un / 24 per il livello di "divisione", e puoi certamente farlo: qualsiasi cosa da un / 17 ad un / 24 è generalmente un gioco equo con questo schema.

Per i nomi DNS

Il mio consiglio è di seguire uno schema simile all'assegnazione IP che ho descritto sopra:

  • Tutto è radicato mycompany.com
  • Ogni sito (/ 16) ha il proprio sitename.mycompany.comsottodominio.
  • Le divisioni logiche possono avere uno (o più) sottodomini all'interno del sito, ad esempio:
    • voip.mycompany.com(con i dispositivi gradiscono tel0000.voip.mycompany.com, tel0001.voip.mycompany.comecc)
    • switches.mycompany.com
    • workstations.mycompany.com (eventualmente suddiviso ulteriormente in admin, user & guest)
  • I dispositivi dovrebbero avere nomi significativi. Per esempio:
    • Assegna un nome ai telefoni in modo da poter vedere l'estensione che squillano in base al nome DNS.
    • Denominare le workstation in base all'utente principale.
    • Identificare chiaramente gli indirizzi IP "guest".
    • Server dei nomi in modo da poter dire cosa sono / cosa fanno.
      Ciò può essere realizzato utilizzando "noioso" nomi ( www01, www02, db01, db02, mail, etc.) o promulgando uno schema di denominazione e attenersi ad esso (ad esempio: i server di posta prendono il nome da pietre, i server web sono chiamati dopo gli alberi, i server di database sono dal nome di pittori).
      I nomi noiosi sono più facili da imparare per una nuova persona, i fantastici schemi di denominazione sono più divertenti. Fai la tua scelta.

Note varie

Per quanto riguarda i server virtuali:
considerali come se fossero macchine fisiche (separale per divisione / scopo anziché per il fatto che sono "virtuali". Hanno una divisione separata per la rete di amministrazione Hypervisor / VM.
Può sembrare importante a te ora per sapere se una casella è virtuale o fisica, ma quando il tuo sistema di monitoraggio dice "Ehi, la posta elettronica è inattiva!" la domanda che ti chiederai è "Quali macchine sono correlate alla posta elettronica?", non "Quali macchine sono virtuale e fisica che sono?".
si noti che è DO bisogno di un modo pratico per identificare se una macchina è virtuale o fisica nel caso in cui un host hypervisor esplode, ma questa è una sfida per il sistema di monitoraggio, non la vostra architettura di rete.

Riguardo a VOIP:
VOIP (in particolare l'asterisco) è sinonimo di "Security Hole". Elimina tutte le tue voci VOIP sulla propria sottorete e sulla propria VLAN e non lasciarle vicino a qualcosa di sensibile.
Ogni telefono VOIP che ho visto nell'ultimo anno supporta la segregazione VLAN (in realtà tutti supportano sia VLAN voce che dati, quindi puoi comunque utilizzare il telefono come pass-through per le connessioni ethernet desktop). Approfitta di questo: sarai felice di averlo fatto se / quando il tuo ambiente VOIP viene violato.

Informazioni su pianificazione e documentazione:
disegna la tua rete su carta prima di iniziare ad assegnare indirizzi e nomi DNS. In effetti, disegnalo prima a matita su un GRANDE foglio di carta.
Fai molti errori.
Cancella liberamente.
Maledire fluentemente.
Una volta che hai smesso di imprecare e cancellare per almeno 10 giorni è tempo di mettere il diagramma in Visio / Graffle / Qualche altro formato elettronico come diagramma di rete ufficiale. Salvaguarda questo diagramma. Mantienilo nella sua santissima correttezza mentre aggiungi e rimuovi dispositivi, fai crescere la tua organizzazione e modifichi la struttura della tua rete.
Questo diagramma di rete sarà il tuo migliore amico quando dovrai apportare modifiche, spiegare la rete ai nuovi amministratori o risolvere un misterioso errore.

voretaq7
fonte
Nota che presumo che stai andando su NAT, principalmente perché presumo che tu voglia avere> 1 siti e vuoi VPN tra di loro.
voretaq7,
+1: Mi piace l'uso degli ottetti e la correlazione con la posizione (e / o la virtualizzazione come dici tu). Questo potrebbe essere espanso in diverse divisioni logiche, ma l'idea ha molto senso. Anche per le informazioni su VoIP.
osij2is
L'ottetto si interrompe quando hai> 200 o più dispositivi - può diventare limitante se hai 1000 persone in un ufficio e tutti hanno telefoni IP sui loro banchi. Un piccolo avvertimento da tenere presente :-)
voretaq7,
@ vortaq7: ho ipotizzato quel punto ma comunque buono da notare. Ad ogni modo, usare l'IP come un modo di organizzare le cose logicamente e fisicamente è bello. Inoltre, il buon punto tra virtuale e fisico è praticamente irrilevante. È bello essere organizzati ma il payoff per questa separazione è nella migliore delle ipotesi marginale.
osij2is
@ osij2is - Virtual vs Physical è sicuramente rilevante, non penso che l'infrastruttura di rete sia il posto giusto per registrarla (o, se necessario, farlo con DNS creando record A o CNAME separati come app01.hypervisor02.site.mycompany.com). Un sistema di monitoraggio ben studiato e implementato è il secondo elemento essenziale (dopo l'organizzazione della rete) in qualsiasi ambiente a cui tieni.
voretaq7,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.