Mejores prácticas de planificación de espacio de direcciones IPv4

16

Una pregunta reciente de Craig Constantine se refería a IPv6, pero muchas personas aún no están a la vanguardia con IPv6 y aún son responsables de implementaciones de IPv4 nuevas o mejoradas.

Me gustaría validar mi propia planificación de espacio de direcciones IPv4 de la empresa contra cualquier documento público u orientación dada directamente aquí. El direccionamiento tiene algunas necesidades únicas entre el DC y el campus que idealmente se considerarían.

Estoy buscando específicamente ver qué mejores prácticas existen para planificar asignaciones de espacio IP privadas (RFC1918) para regiones, ciudades, campus, edificios, pisos, enlaces ascendentes, enlaces WAN, bucles, etc. Cableados vs inalámbricos. Redes internas vs. redes de invitados. * Sé que esto por sí solo puede ser un poco una pregunta abierta, por lo que estoy buscando referencias específicas o ejemplos de planes probados y bien pensados ​​de manera similar a las respuestas de IPv6. Los bloques CIDR sugeridos serían útiles a medida que se asigne el espacio.

La agregación para el enrutamiento, por supuesto, es deseable, y también lo es la capacidad de tener ACL simplificadas. Existe una compensación en las ACL con el deseo de agregar todas las subredes de los empleados, por ejemplo, ya sean cableadas o inalámbricas en lugar de agregar a todos los usuarios inalámbricos, independientemente de si son empleados, contratistas o invitados.

ipv4  best-practices 
generalnetworkerror
fuente

Respuestas:

10

Al estar en una empresa semi-pequeña, desglosamos nuestra red privada de manera liberal:

/ 24 por Vlan / 16 por ubicación

Los Vlans se extienden, omitiendo 10 / 24s por. El número de Vlan coincide con el tercer octeto. Las ubicaciones son secuenciales, comenzando 10/16 s.

es decir

  • 10.10.1.0/24 - Ubicación A, Administración Vlan 1

  • 10.10.11.0/24 - Ubicación A, Wireless Vlan 11

  • 10.11.11.0/24 - Ubicación B, Wireless Vlan 11

  • 10.11.81.0/24 - Ubicación B, SAN Vlan 81

  • 10.11.101.0/24 - Ubicación B, Wired Office Vlan 101

Ejemplos de Vlan:

  • 1 - gestión

  • 2 - gestión para inalámbrica

  • 11 - acceso inalámbrico

  • 21 - invitados

  • 31 - dispositivos móviles

  • 41 - equipamiento de fábrica

  • 51 - SAN

  • 61 - VoIP

  • 71 - Acceso por cable

Y así.

Los beneficios que vimos con esto son:

  • Fácil de referir a una ubicación completa a través de / 16. Usamos esto con bastante frecuencia para las ACL de VPN.

  • Fácil de agrupar los tipos de dispositivos para el filtrado web.

  • Cualquier Vlan dentro de los próximos 10 / 24s pertenece al mismo tipo que la raíz anterior.

    • Entonces, por ejemplo, equipo de fábrica ... Vlan 31, para ciertos proveedores que tienen acceso remoto 24/7, les dimos su propio Vlan, 32 o 33 o 34, hasta 40. Su acceso VPN los limita al equipo que ellos tienen. soporte sin obtener granularidad en IP / ACE. Si el equipo de fabricación necesita colocar más equipos, no tenemos que actualizar las ACL de VPN. Esto también incluye acceso a ACL / ACE entre Vlans.

    • Otro ejemplo: SAN Vlans, utilizamos dos de ellos como mínimo para redundancia. Entonces son siempre 81 y 82.

    • Último ejemplo: la gestión inalámbrica se divide en su propio Vlan, 2. Hacemos esto porque tenemos suficientes AP para necesitar un controlador WLAN pero no tenemos presupuesto para los controladores. Este Vlan usa las opciones tftp y dhcp para configurar y arrancar automáticamente los AP desde un repositorio de configuración central y no queremos otros equipos que puedan arrancar automáticamente para extraer las configuraciones inalámbricas.

Esta configuración nos brinda una manera fácil de ver una IP y conocer la ubicación y el tipo de equipo al que pertenece. Esto significa menos ACL / ACE en los archivos de configuración para nosotros, especialmente en usuarios de VPN limitados. También tenemos espacio para la expansión en caso de que nos quedemos sin IP en un Vlan o porque necesitemos segregar aún más el tráfico. Y como somos una empresa pequeña, todavía no hemos dividido la numeración de ubicaciones de tres dígitos. Mucho espacio de crecimiento.

some_guy_long_gone
fuente
Al dar un / 16 a cada ubicación y apegarse a ese plan también le permite resumir los enlaces WAN entre las ubicaciones, lo cual es bueno desde la perspectiva de la tabla de enrutamiento. ¡Asumiendo que tiene el diseño de núcleo / distribución adecuado!
knotseh
9

Dado que IPv4 ha existido durante tanto tiempo, hay millones de formas diferentes en que las personas eligen asignar su espacio IPv4.

Para nosotros (un ISP), utilizamos el tamaño de subred más pequeño posible en enlaces de tránsito puro (/ 30 generalmente) y luego, en términos de clientes, depende de cuáles sean sus necesidades, debido a lo corto que todo el mundo tiene IPv4 significa que en lugar de usar un La regla general debe tomar a cada cliente como su propia entidad y reunir sus requisitos en consecuencia.

Eso es todo por supuesto si se refería al espacio PÚBLICO IPv4, en términos del material interno de RFC1918, luego planifique sus asignaciones para que construya en un espacio para la expansión (por ejemplo, un edificio solo tiene 50 personas, no les dé un 26 porque es la subred del siguiente tamaño pero quizás les dé un / 24 para permitir la expansión.

Otra buena práctica es asignar al agregado, es decir, si tiene un edificio con 10 pisos, asigne un / 20 (o más grande) al edificio y luego asigne las subredes para cada piso / departamento de ese / 20, de esa manera puede anuncie solo el / 20 al resto de su red en lugar de todas las subredes individuales para cada piso.

David Rothera
fuente
Q editado para indicar que estoy principalmente interesado en la planificación del espacio IP privado. Asumí que la agregación era un objetivo que todos entendían, pero lo agregaré para aclarar que se desea.
generalnetworkerror
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.