创新的IP /子网/ dns方案

我只管理了相当小的网络（<= 25个节点）。通常，我将网关设置为.1，将dns / proxy设置为.10，将邮件设置为.20，将打印机设置为.30-39，依此类推。我从不直接使用IP地址，因为DNS主机名显然是更好的方法，但我希望从头开始构建网络时要有清晰的模式/布局/设计。

我的DNS映射也具有简单的命名模式/布局。例如，我所有的设备都有两个名称。一个基于角色的正式名称（dc01，mail02等）和一个非正式名称。没什么花哨的，但实际上很简单且易于管理。

我正在尝试找出一种更直观/更具创意的IP /子网/ DNS方案（如果有更好的方案）。我确定其他人会根据网络目标等采用更直观的方案。我正在使用的网络仍然很小，但是我有许多设备需要应对。

我正在寻找一种通用的模式或方法来分配IP地址（范围/类），dns名称和子网网络，其中包括4-5个要点：

1. 网络服务（邮件，文件，代理等）
2. 软件开发（环境-开发/阶段/产品，
3. 媒体（流媒体，大文件传输，存档）
4. 虚拟服务器/桌面
5. 网络电话

我从未直接与VoIP合作过，但这是将来要考虑的问题。

总体而言，我从每个人那里都得到了一些非常好的想法。希望我能给出更多的投票/可接受的答案。感谢您的回复！

把事情简单化。尽可能简单，但仍允许安全性和灵活性。将设计抽象为事物，这听起来似乎并不简单，但实际上是实现简单性的途径。

对于子网，这是相当普遍的：

• 一个子网上的用户
• 另一个客人
• 自己子网中的服务器
• 也可以单独使用VOIP。

根据需要过滤通过每个子网的流量。可能使用VLAN。希望您熟悉所选网络设备供应商的CLI。

对于DNS，您不会喜欢这样，但是...请使用适合您的方法。就个人而言，我想为服务器提供一个完全抽象的主机名，而与服务器的服务无关。然后我将CNAME服务到主机名。这样，迁移服务就不会引起DNS更改的麻烦。或至少没有那么多。我还更喜欢使用前缀主机名av来命名虚拟服务器。

例子：

• 新的数据库服务器名为Athena。它将永远被命名为雅典娜。
• 雅典娜因其功能而闻名：SQL08ENT-CRM，SQL08ENT-AEGIS（安全系统），SQL08ENT-DOCMAN。也许也基于地理位置进行了CNAMED。也许主机名将具有地理位置。雅典娜ATL。雅典娜-悉尼。无论如何。
• 该服务器位于具有默认拒绝策略的服务器子网上。它具有来自适当子网的适当流量。

保持。它。简单。（但功能正常）

我在一个类似规模的组织中工作（我们拥有/ 26），出于除我之外的原因，我认为，权力很薄的IP分配方案对于运营完整性至关重要。网关必须为.1，打印机必须为.2至.12，服务器必须为.13至.20，依此类推。我们甚至将文档保存在各个主机上。

这是一个巨大的痛苦。无论我多么勤奋，我似乎永远都无法保持任何文档最新。我们没有任何DNS服务并没有帮助，因此使用此IP分配方案文档是我们仅有的“命名”服务（以一种奇怪的方式，使它看起来比实际更不可缺少）。

对于您这样规模的网络，我建议您做一些事情（其中大部分已经完成）：

• 简单 -您无需管理数百台主机。解决方案的复杂性应反映环境的复杂性。抵制过于聪明的诱惑。稍后您将感谢您。

  1. 占用您的可用IP空间，并通过DHCP将60％的资源分配给您的客户端。设置某种动态DNS服务，这样您就不必再查看该死的IP地址。忘记跟踪它们。利润。

  2. 将其余30％保留给您管理的IP地址：服务器，打印机，网络设备，测试服务。等等。使用DNS记录此文件。在我看来，没有比通过使用Excel电子表格（必须不断引用和维护）跟踪所有这些“管理员管理的” IP地址（而不是DHCP管理的IP地址）浪费更多的时间了。 ，当您可能会竭尽全力支持自我记录和更有用的DNS解决方案时。

  3. 将地址的最后10％保留在IP寻址空间的顶部。一点储备永远不会痛。

  4. 根据您的环境调整比例。一些环境将具有更多的客户端，而某些环境将是“服务器”（即“管理员管理”）的客户端。

• 网络服务（邮件，文件，代理等）
• 软件开发（环境-开发/阶段/产品，

它们都属于“管理员管理”的IP空间。

• 媒体（流媒体，大文件传输，存档）

在我看来，这与子网划分无关，而与网络监视有关。

• 虚拟服务器/桌面

服务器是“管理员管理的”，台式机（即客户端计算机）应该是“ DHCP管理的”。

• 网络电话

物理上离散的网络将是理想的…… 但这是不现实的。最好的第二件事是将VLAN和子网分开。这是小型网络中我真正感到需要隔离流量的唯一一点（可公开访问的内容除外）。

对于IP分配

我的建议是使用以下结构将所有内容放置在10.0.0.0/8子网下：10 site。division。device

• site 是物理位置或逻辑等效位置（例如，纽约办公室，新泽西办公室，灾难恢复设施，开发环境）。
• division是对您有意义的逻辑细分。例如
  0 =>交换机/路由器
  1 =>管理员，2 =>用户
  3 => VOIP
  4 =>访客
• device是单个设备（PC，服务器，电话，交换机等）

这里的想法是，您可以通过其地址轻松确定设备的名称和位置：10.2.1.100是“站点2”上的管理员工作站。

此模型派生自基于类的IP分配：A类（/ 8）是您的企业。每个位置的设备均获得B类（/ 16），并且每个逻辑分区的设备均获得C类（/ 24）。
可以（有时是希望）将大于/ 24的值用于“除法”级别，并且您当然可以这样做：使用此方案，从/ 17到/ 24的任何东西通常都是公平的。

对于DNS名称

我的建议是遵循与上述IP分配类似的方案：

• 一切都植根于 mycompany.com
• 每个站点（/ 16）都有自己的sitename.mycompany.com子域。
• 逻辑分区在站点内可能具有一个（或多个）子域，例如：
  • voip.mycompany.com（与设备喜欢tel0000.voip.mycompany.com，tel0001.voip.mycompany.com等）
  • switches.mycompany.com
  • workstations.mycompany.com （可能进一步细分为管理员，用户和来宾）
• 设备应具有有意义的名称。例如：
  • 为电话命名，以便您可以看到基于DNS名称的电话分机。
  • 根据工作站的主要用户命名。
  • 清楚地标识“来宾” IP地址。
  • 命名服务器，以便您可以分辨出它们是什么/它们做什么。
    这可以通过使用“无聊”的名字（来完成www01，www02，db01，db02，mail，等），或者通过制定一个命名方案，并严格执行（例如：邮件服务器的岩石而得名，网络服务器后树木命名，数据库服务器以画家的名字命名）。
    无聊的名字对于新人来说更容易学习，很酷的命名方案更有趣。随便你吧。

杂项说明

关于虚拟服务器：
将它们与物理计算机一样考虑（按部门/用途对其进行分类，而不是按它们是“虚拟”的事实进行分离。对Hypervisor / VM管理网络进行单独的划分。
这似乎很重要）现在就可以知道盒子是虚拟的还是物理的，但是当您的监视系统显示“嘿，电子邮件已关闭！”时，您要问的问题是“哪些计算机与电子邮件相关？”，而不是“哪些计算机与电子邮件相关？虚拟和物理是？”。
请注意，您不要需要识别机器是否是万一虚拟或物理管理程序主机炸毁的一条可行之路，但是这是你的监控系统，不是你的网络架构的挑战。

关于VOIP：
VOIP（尤其是星号）是“安全漏洞”的同义词。将所有VOIP内容推到自己的子网和自己的VLAN上，不要让它靠近任何敏感的东西。
去年我见过的每台VOIP电话都支持VLAN隔离（实际上，它们都支持语音和数据VLAN，因此您仍然可以将其用作桌面以太网连接的直通）。利用这一优势-如果/当您的VOIP环境被黑客入侵时，您会感到很高兴。

关于计划和文档：
在开始分配地址和DNS名称之前，请在纸上绘制网络。实际上，先用铅笔在大纸上画出来。
犯很多错误。
自由擦除。
流利地诅咒。
一旦停止诅咒和擦除至少10天，就可以将图表转换为Visio / Graffle /其他电子格式了，作为您的正式网络图。保护该图。在添加和删除设备，发展组织和修改网络结构时，请使其保持在最正确的状态。
当您必须进行更改，向新管理员说明网络或对神秘故障进行故障排除时，此网络图将是您最好的朋友。