Como você escolhe seu endereçamento IP?

Na vida de um administrador de sistema, sempre chegará um momento em que uma sub-rede IP precisará ser definida. Seja na sua pequena LAN doméstica ou na WAN infinita da empresa, onde a loucura se esconde nas profundezas de rotas desconhecidas, os endereços IP sempre precisam ser escolhidos, divididos e atribuídos a algum dispositivo, merecendo ou não. E, enquanto estiver no "mundo real" da Internet pública, você terá que obedecer às ordens do seu ISP, e poderá escolher seu caminho e seu destino final quando se trata de sua própria rede privada.

Como todos sabem (ou deveriam saber), a poderosa RFC 1918 afirma que os endereços IP da rede privada só podem cair em três grandes blocos:

192.168.0.0/16
172.16.0.0/12
10.0.0.0/8

Qual é o seu favorito?
Qual o tamanho que você costuma escolher para criar uma sub-rede, independentemente do número de dispositivos que você realmente precisa para se conectar a ela?
Você acha que deve ser o mínimo possível ou deve ser o maior e mais glorioso possível?
Você acredita na lei e na ordem das sub-redes "redondas" (/ 8, / 16, / 24) ou prefere a anarquia e o caos rastejante das "não-redondas"?
Você segue que a Escola Sagrada de Nosso Portal Deveria Ser .1, o Templo Profano do Não Deveria Ser .254, ou os ensinamentos blasfemos da Ordem Dele Terminarão com o Que Queremos Que Desse Final?
Você acha que os servidores devem ter endereços "baixos" e os clientes devem usar endereços "altos"? Ou apenas o Destino definirá como o servidor e o cliente serão chamados?
Você sempre usa (ou tenta usar) os mesmos números finais em todas as sub-redes que gerencia, para poder encontrar seu gateway e seu DNS na hora de sua grande necessidade?
Você acredita em DHCP ou em endereço estático? E você acredita no filho híbrido deles, DHCP With Reservations, mesmo para máquinas não clientes, como impressoras de rede ou, todos os deuses podem perdoá-lo, servidores?

"Take this and divide it; this is my 2^32 address space,
 which shall be endlessly fragmented for all your addressing needs,
 until IPv6 may finally come."

Eu adoro no altar de 00001010/11111111. Os deuses ficariam zangados se você não ansiasse pela maior das redes. Permite a maior flexibilidade e menos conflitos com as redes do pleb.

Acho que um bom / 24 é o tamanho perfeito para a maioria das redes, você tem espaço para se esticar, permite que os servidores tenham espaço para respirar, é preciso lembrar que eles têm problemas de espaço pessoal, como todos nós.

A única vez que passo as células cerebrais que me foram concedidas pelos deuses das redes e servidores para sub-rede muito mais longe é para aqueles equipamentos que pensam que são melhores que todos os outros - roteadores, comutadores, firewalls que estou vendo VOCÊ! Aqueles que eu tento limitar a / 25 ou menos; caso contrário, sua arrogância começaria a se espalhar para os servidores, e você simplesmente não pode permitir que os servidores saiam da linha. Coisas ruins e ruins acontecem se você deixar isso continuar, os arquivos começam a desaparecer, os serviços falham, nada bom, eu te digo, nada bom! Para manter o equipamento de rede alinhado, permitimos que os roteadores / firewalls usem os primeiros endereços utilizáveis ​​em uma sub-rede (pode ser 0,1 ... pode ser 0,33 - depende da sua máscara de rede) que normalmente os mantém alinhados.

"Nunca misturarás clientes e servidores, pois, se o fizer, haverá uma grande batalha e arruinará aqueles que acreditam que podem controlá-los" -BOFH 20:15

"Porque, se o teu acesso irrestrito e não lavado aos teus recursos mais preciosos, sereis expulsos do templo dos nossos deuses e marcados com" Usuário "-BOFH 16: 2

Não há um bom motivo para ter um servidor DHCP em uma rede de produção - compilação do servidor sim, produção NÃO. As redes de clientes sempre têm DHCP, reservas onde você precisa delas (ou é exigido pelo seu auditor!)

"Vós que controla a alocação de rede, assegura-se de que é conveniente para ele e para mais ninguém" -BOFH 1: 1

... traduzido sim, use os mesmos endereços de host onde você pode ... tudo será mais fácil.

Além de todas as sugestões sábias fornecidas aqui, uma que eu achei útil: por uma questão de conforto, evite ter a mesma rede que seu escritório ou outras LANs às quais você possa ter que se conectar (remotamente).

Essa dica melhorou bastante minha vida na VPN: por exemplo, ter a mesma sub-rede pode ser irritante quando 192.168.0.1pode ser seu roteador doméstico e servidor remoto que você está tentando corrigir. Então você teria que adicionar uma rota manual através da interface VPN, etc.

Para todo o resto, há Mastercard.

Minha solução atual de endereçamento favorito para uma configuração de vários sites.

10.DATACENTER.RACK.RACKU + 100

Cada rack recebe um / 24, que eu termino em um par de switches / roteadores principais.

É bastante detalhista, mas posso deduzir muito apenas olhando para um endereço IP.

Com um par de roteadores principais, tenho duas rotas padrão flutuantes .1 e .2. (HSRP / VRRP) Os IPs reais da interface são 0,3 e 0,4.

Odd Us rota padrão para .1 Even Us rota padrão para .2

Coloquei um intervalo de DHCP entre 200 e 240 para realizar testes PXE antes do IP oficial ser atribuído.

10.xxx; anarquia e caos rastejante (/ 22 é realmente uma sub-rede malditamente útil, nem muito grande nem muito pequena, portanto, mantenha o mesmo, independentemente do tamanho, o segundo octeto define um local primário e o terceiro define um sub-local); o gateway é sempre 1, os servidores iniciam em 11 (com o DNS primário em 11), os clientes (iniciam em 10.x.1.x / 10.x.5.x / etc usando uma sub-rede / 22), finalmente impressoras e outros dispositivos (começando em 10.x.3.x, 10.x.7.x, etc); servidores com as mesmas funções em cada sub-rede têm o mesmo endereço sempre que possível; DHCP para PCs clientes, estático para todo o resto, reservas usadas para determinados clientes "especiais" onde existem aplicativos herdados e modelos de segurança herdados que dependem de um endereço IP específico.

É sobre isso. :)

É claro que o tamanho da sub-rede deve ser escolhido com base no tamanho da rede, com espaço suficiente para expansão futura, porque o re-endereçamento é sempre uma grande dor. Dito isto, minhas sub-redes favoritas são aquelas que começam com 192.168. e 10: eu realmente não suporto 172, e é claro que isso não tem nenhuma razão racional: é puramente uma preocupação estética.

Eu prefiro sub-redes "redondas", porque com elas é muito mais fácil lembrar de máscaras de sub-rede, redes e endereços de broadcast e saber a qual sub-rede um endereço pertence.

Costumo escolher sub-redes 192.168.X classe C para redes pequenas, onde 254 endereços certamente serão suficientes; Eu sou geralmente bastante conservador aqui, e vou com o mais simples deles: 192.168.0 e 192.168.1; Eu também gosto muito de 192.168.42.0/24, por razões óbvias .

Para redes maiores, geralmente sigo o mesmo princípio: usando 10. endereços, você pode ter 256 sub-redes de 65534 hosts ou 65536 sub-redes de 254 hosts: mais do que suficiente para qualquer rede, sem a necessidade de fantasia / 13, / 28 ou / 27 sub-redes. É claro que sempre pode haver exceções, mas esta é minha regra geral.

Eu acredito fortemente na ordem quando se trata de gerenciamento de redes e sistemas, porque os sistemas de computador tendem a ser caóticos em sua essência (como na teoria do caos): o menor erro pode ter resultados imprevisíveis. No endereçamento de rede, tento sempre usar os mesmos endereços finais para as mesmas funções; esta é minha divisão típica de uma rede classe C:

.1 é o gateway padrão.
.11 e .12 (e talvez .13, .14 e assim por diante) são controladores de domínio, servidores DNS e WINS (se estiverem em uso).
.25 é o servidor de correio.
.80 é o servidor da web ou o servidor proxy (se houver).

Eu costumo usar endereços "baixos" para servidores e endereços "altos" para clientes; os primeiros são sempre estáticos, enquanto os segundos são atribuídos usando DHCP. Sou um grande fã de DHCP e DNS dinâmico para clientes, mas nunca o usaria para servidores e outros sistemas "fixos", como impressoras e scanners de rede.

Se a rede for maior e mais segmentada, eu gosto de colocar servidores em uma sub-rede e clientes em outro lugar; as sub-redes do cliente (e até do servidor) podem, obviamente, ser mais de uma, se a rede for grande o suficiente para exigir VLANs.

Eu gosto de 10. É agradável e curto, e oferece uma enorme quantidade de espaço para expansão.

Depois das 10, geralmente trabalho em / 16, mas planejo- os em / 8 (que geralmente são de bom tamanho para uma unidade de negócios). Trabalhar nos anos 8 é bom porque (a menos que sua empresa seja grande), você pode apenas atribuir uma unidade de negócios 10.1.0.0 e não precisará se preocupar com a falta de espaço em breve. Obviamente, se você tiver mais de 255 unidades de negócios, sim.

Normalmente eu uso 1 para o gateway, apenas porque facilita a lembrança. De qualquer forma, desde que você use o mesmo número em todas as sub-redes, isso não importa. Além do gateway, não reservo ips específicos para tipos específicos de servidores.

Normalmente, eu despejo todos os servidores em suas próprias sub-redes do gueto, para que eu possa ficar de olho neles e garantir que eles não se misturem com áreas de trabalho ruins. Se eu precisar misturá-los, sim, reservo os primeiros 50 endereços para servidores / qualquer coisa que precise de um IP estático. Novamente, é apenas uma questão de menos digitação. Os usuários de desktop raramente se importam com o IP e não é necessário digitá-lo com frequência.

Eu gosto de DHCP (temos toneladas de laptops), mas você precisa associá-lo a endereços MAC registrados, ou qualquer bobagem da rua pode entrar e se conectar e isso é um não-não. Os MACs não são seguros, mas são pelo menos tão bons quanto estáticos, no que diz respeito à segurança. Eu não uso DHCP "registrado"; Eu não sou uma pessoa DHCP do Windows. Se eu quiser ter estática e dinâmica na mesma sub-rede, basta definir o intervalo do DHCP para 51-255 ou semelhante e colocar a estática em 1-50.