克雷格·康斯坦丁(Craig Constantine)最近提出的一个问题与IPv6有关,但是许多人还没有站在IPv6的最前沿,仍然负责新的或改进的IPv4部署。
我想根据此处直接提供的任何公共文档或指南来验证我自己的企业IPv4地址空间规划。 解决方案在DC和园区之间有一些独特的需求,最好考虑一下。
我特别希望了解为规划区域,城市,校园,建筑物,建筑物,楼层,上行链路,WAN链接,环回等的专用(RFC1918)IP空间分配而存在的最佳实践。 有线与无线。内部网络与访客网络。*我知道这本身可能是一个开放性问题,因此我正在寻找与IPv6答案类似的,经过验证和深思熟虑的计划的特定参考或示例。建议的CIDR块将在分配空间时有所帮助。
当然,需要用于路由的聚合,并且具有简化的ACL的能力也是需要的。ACL的权衡取舍是希望聚合所有员工子网,例如,有线还是无线,而不是聚合所有无线用户,无论他们是员工,承包商还是访客。
Answers:
在一家半小型公司中,我们如此自由地破坏了我们的专用网络:
/ 24每个VLAN / 16每个位置
VLAN分散开来,每次跳过10 / 24s。VLAN号与第三个八位位组匹配。位置是连续的,开始于10 / 16s。
即
10.10.1.0/24-位置A,管理VLAN 1
10.10.11.0/24-位置A,无线VLAN 11
10.11.11.0/24-位置B,无线VLAN 11
10.11.81.0/24-位置B,SAN Vlan 81
10.11.101.0/24-位置B,有线办公室Vlan 101
VLAN示例:
1-管理
2-无线管理
11-无线访问
21-客人
31-移动设备
41-工厂设备
51-SAN
61-VoIP
71-有线访问
等等。
我们看到的好处是:
易于通过/ 16引用整个位置。对于VPN ACL,我们经常使用它。
易于将设备类型组合在一起进行Web过滤。
接下来的10/24秒内的任何VLAN都属于与先前根相同的类型。
因此,例如,工厂设备... Vlan 31,对于某些具有24/7远程访问权限的供应商,我们为他们提供了自己的Vlan(32或33或34,最多40个)。他们的VPN访问限制了他们使用的设备支持,而无需详细了解IP / ACE。如果制造团队需要添加更多设备,则无需更新VPN ACL。这也包括VLAN之间的访问ACL / ACE。
另一个示例:SAN Vlan,为了冗余,我们最少使用其中两个。因此它们始终是81和82。
最后一个示例:无线管理被分解为自己的Vlan2。我们这样做是因为我们有足够的AP来需要WLAN控制器,但没有控制器预算。此VLAN使用tftp和dhcp选项自动配置并从中央配置存储库引导AP,我们不希望其他可以自动引导的设备提取无线配置。
此设置为我们提供了一种查看IP并了解其所属设备的位置和类型的简便方法。这意味着对我们来说配置文件中的ACL / ACE更少,尤其是在有限的VPN用户上。如果我们在Vlan中的IP用完了,或者因为我们需要进一步隔离流量,我们还有扩展的空间。而且由于我们是一家小公司,所以我们尚未将位置编号分为三位数。大量的增长空间。
鉴于IPv4已经存在了很长时间,人们选择了数百万种不同的方式来分配其IPv4空间。
对于我们(一家ISP),我们在纯传输链路上使用最小的子网大小(通常为/ 30),然后就客户而言,这取决于他们的需求,这是因为每个人在IPv4上的时间都很短,而不是使用一揽子规则,您必须将每个客户视为自己的实体,并相应地收集他们的要求。
这就是所有的过程,如果您指的是公共IPv4空间,那么就内部RFC1918而言,然后计划您的分配,以便为扩展空间进行构建(例如,建筑物中只有50个人,不要给他们一个/ 26的空间)因为它是下一个尺寸的子网,但也许给它们一个/ 24以便扩展。
另一个好的做法是分配聚合,即如果您的建筑物有10层,则为该建筑物分配一个/ 20(或更大),然后为该楼层/部门分配的子网超出/ 20,则可以仅将/ 20播发到网络的其余部分,而不播发每个楼层的所有单个子网。