Práticas recomendadas para o planejamento do espaço de endereço IPv4

15

Uma pergunta recente de Craig Constantine dizia respeito ao IPv6, mas muitas pessoas ainda não estão na vanguarda do IPv6 e ainda são responsáveis ​​por implantações novas ou aprimoradas do IPv4.

Gostaria de validar meu próprio planejamento do espaço de endereços IPv4 da empresa em relação a documentos ou orientações públicas fornecidas diretamente aqui. O endereçamento tem algumas necessidades únicas entre o DC e o Campus que seriam idealmente consideradas.

Estou procurando especificamente as melhores práticas para planejar atribuições de espaço IP privado (RFC1918) para regiões, cidades, campus, prédios, pisos, uplinks, links WAN, loopbacks, etc. Com fio ou sem fio. Redes internas vs. redes de convidados. * Sei que isso por si só pode ser um pouco de uma pergunta em aberto, por isso estou procurando referências ou exemplos específicos para planos comprovados e bem pensados ​​de maneira semelhante às respostas do IPv6. Os blocos CIDR sugeridos seriam úteis à medida que o espaço é alocado.

A agregação para roteamento, é claro, é desejada, assim como a capacidade de ter ACLs simplificadas. Há uma troca nas ACLs com o desejo de agregar todas as sub-redes dos funcionários, por exemplo, com ou sem fio, ou com a agregação de todos os usuários sem fio, independentemente de serem funcionários, contratados ou convidados.

ipv4 best-practices generalnetworkerror
fonte

Respostas:

9

Por estarmos em uma empresa semi-pequena, dividimos nossa rede privada de maneira um tanto liberal:

/ 24 por Vlan / 16 por local

Os Vlans estão espalhados, pulando 10 / 24s por. O número da Vlan corresponde ao terceiro octeto. Os locais são seqüenciais, iniciando 10 / 16s em.

ie

  • 10.10.1.0/24 - Local A, Management Vlan 1

  • 10.10.11.0/24 - Localização A, Vlan sem fio 11

  • 10.11.11.0/24 - Localização B, Vlan sem fio 11

  • 10.11.81.0/24 - Localização B, SAN Vlan 81

  • 10.11.101.0/24 - Localização B, escritório com fio Vlan 101

Exemplos de Vlan:

  • 1 - gestão

  • 2 - gerenciamento para redes sem fio

  • 11 - acesso sem fio

  • 21 - convidados

  • 31 - dispositivos móveis

  • 41 - equipamentos de fábrica

  • 51 - SAN

  • 61 - VoIP

  • 71 - Acesso com fio

E assim por diante.

Os benefícios que vimos com isso são:

  • Fácil de se referir a um local inteiro via / 16. Usamos isso frequentemente para ACLs de VPN.

  • Fácil de agrupar tipos de dispositivos para filtragem na web.

  • Qualquer Vlan nos próximos 10 / 24s pertence ao mesmo tipo que a raiz anterior.

    • Por exemplo, equipamentos de fábrica ... Vlan 31, para determinados fornecedores que têm acesso remoto 24 horas por dia, 7 dias por semana, nós lhes oferecemos sua própria Vlan, 32 ou 33 ou 34, até 40. O acesso VPN deles os limita ao equipamento que eles suporte sem obter detalhes sobre IPs / ACEs. Se a equipe de fabricação precisar instalar mais equipamentos, não precisamos atualizar as ACLs da VPN. Isso também inclui ACLs / ACEs de acesso entre VLANs.

    • Outro exemplo: SAN Vlans, usamos dois deles no mínimo para redundância. Então eles são sempre 81 e 82.

    • Último exemplo: o gerenciamento sem fio é dividido em sua própria Vlan, 2. Fazemos isso porque temos pontos de acesso suficientes para precisar de um controlador WLAN, mas sem orçamento para os controladores. Essa Vlan usa as opções tftp e dhcp para configurar e inicializar automaticamente os APs de um repositório de configuração central e não queremos outros equipamentos que possam inicializar automaticamente para obter as configurações sem fio.

Essa configuração nos fornece uma maneira fácil de examinar um IP e saber a localização e o tipo de equipamento ao qual ele pertence. Isso significa menos ACLs / ACEs em arquivos de configuração para nós, especialmente em usuários de VPN limitados. Também temos espaço para expansão no caso de ficarmos sem IPs em uma Vlan ou porque precisamos separar ainda mais o tráfego. E como somos uma empresa pequena, ainda não dividimos a numeração de três dígitos. Muito espaço para crescimento.

some_guy_long_gone
fonte
Atribuir um / 16 a cada local e seguir esse plano também permite resumir os links da WAN entre os locais, o que é bom da perspectiva da tabela de roteamento. Supondo que você tenha o design de núcleo / distribuição adequado!
knotseh
9

Como o IPv4 existe há tanto tempo, existem milhões de maneiras diferentes pelas quais as pessoas escolhem alocar seu espaço IPv4.

Para nós (um ISP), usamos o menor tamanho de sub-rede possível em links de trânsito puro (/ 30 geralmente) e, em termos de clientes, depende de quais são suas necessidades, devido à falta de tempo de todos no IPv4 significa que, em vez de usar um regra geral, você deve considerar cada cliente como sua própria entidade e reunir os requisitos de acordo.

Isso é claro, se você estava se referindo ao espaço PÚBLICO IPv4, em termos do material interno da RFC1918, planeje suas alocações para criar espaço para expansão (por exemplo, um edifício tem apenas 50 pessoas, não dê a / 26 apenas porque é a próxima sub-rede de tamanho, mas talvez lhes dê um / 24 para permitir a expansão.

Outra boa prática é alocar para agregar, ou seja, se você tiver um prédio com 10 andares, aloque um / 20 (ou maior) ao prédio e aloque as sub-redes de cada andar / departamento desse / 20, para que você possa anuncie apenas o / 20 para o restante da sua rede, em vez de todas as sub-redes individuais de cada andar.

David Rothera
fonte
Q. editado para indicar que estou mais interessado em planejamento de espaço IP privado. Supus que a agregação era uma meta que todos entendiam, mas vou adicioná-la para esclarecer o que é desejado.
generalnetworkerror