IPv4アドレス空間計画のベストプラクティス


15

Craig Constantineからの最近の質問はIPv6に関係していましたが、多くの人々はまだIPv6の最先端ではなく、新しいまたは改善されたIPv4展開の責任を負っています。

ここで直接提供される公開ドキュメントまたはガイダンスに対して、自分のエンタープライズIPv4アドレス空間計画を検証したいと思います。 アドレシングには、DCとキャンパスの間に理想的に考えられるいくつかの固有のニーズがあります。

特に、地域、都市、キャンパス、建物、フロア、アップリンク、WANリンク、ループバックなどのプライベート(RFC1918)IPスペースの割り当てを計画するためのベストプラクティスを探しています。 有線とワイヤレス。内部ネットワークとゲストネットワーク。*これはそれ自体で自由回答形式の質問になる可能性があることを知っているので、IPv6の回答と同様の方法で実証済みでよく考えられた計画への具体的な参照や例を探しています。推奨されるCIDRブロックは、スペースが割り当てられるときに役立ちます。

もちろん、ルーティングのための集約が望まれており、ACLを簡素化する機能も望まれています。ACLにはトレードオフがあります。たとえば、有線かワイヤレスか、従業員、請負業者、ゲストかを問わずすべてのワイヤレスユーザーを集約するなど、すべての従業員サブネットを集約したいという要望があります。

回答:


9

中小企業であるため、私たちはプライベートネットワークをある程度自由に破壊しました。

VLANごとに/ 24、場所ごとに/ 16

VLANは10/24秒ごとにスキップされます。VLAN番号は3番目のオクテットと一致します。ロケーションは連続しており、10/16秒から始まります。

すなわち

  • 10.10.1.0/24-ロケーションA、管理VLAN 1

  • 10.10.11.0/24-ロケーションA、ワイヤレスVLAN 11

  • 10.11.11.0/24-ロケーションB、ワイヤレスVlan 11

  • 10.11.81.0/24-SAN Vlan 81のロケーションB

  • 10.11.101.0/24-ロケーションB、有線オフィスVlan 101

VLANの例:

  • 1-管理

  • 2-ワイヤレスの管理

  • 11-ワイヤレスアクセス

  • 21-ゲスト

  • 31-モバイルデバイス

  • 41-工場設備

  • 51-SAN

  • 61-VoIP

  • 71-有線アクセス

等々。

これで得られた利点は次のとおりです。

  • / 16で場所全体を簡単に参照できます。これはVPN ACLに頻繁に使用されます。

  • Webフィルタリングのためにデバイスタイプをグループ化するのは簡単です。

  • 次の10 / 24s内のVLANは、前のルートと同じタイプに属します。

    • たとえば、工場の設備... IP / ACEを細かくすることなくサポートします。製造チームがより多くの機器を投入する必要がある場合、VPN ACLを更新する必要はありません。これには、VLAN間のアクセスACL / ACEも含まれます。

    • 別の例:SAN Vlans、冗長性のために少なくとも2つを使用します。したがって、それらは常に81と82です。

    • 最後の例:ワイヤレス管理は独自のVlan 2に分割されます。これは、WLANコントローラーを必要とするAPがあり、コントローラーの予算がないためです。このVlanはtftpおよびdhcpオプションを使用して、中央構成リポジトリからAPを自動構成および起動します。自動起動できる他の機器がワイヤレス構成をプルすることは望ましくありません。

この設定により、IPを見て、IPが属する機器の場所とタイプを簡単に知ることができます。これは、特に制限されたVPNユーザーの場合、構成ファイル内のACL / ACEが少ないことを意味します。また、VlanでIPが不足した場合、またはトラフィックをさらに分離する必要がある場合、拡張の余地があります。そして、私たちは小さな会社であるため、まだ3桁のロケーション番号に分割していません。たくさんの成長室。


各場所に/ 16を指定し、その計画に従うことにより、場所間のWANリンクを要約することもできます。これは、ルーティングテーブルの観点からは適切です。適切なコア/ディストリビューション設計があると仮定します!
ノッチェ

9

IPv4が長い間存在してきたことを考えると、人々がIPv4スペースを割り当てるために選択する方法は数百万通りあります。

私たち(ISP)では、純粋な中継リンクで可能な限り最小のサブネットサイズ(通常は/ 30)を使用します。それから、顧客の観点からは、誰がIPv4を使用しているのではなく、包括的なルールでは、すべての顧客を独自のエンティティとして取得し、それに応じて要件を収集する必要があります。

それはもちろん、内部RFC1918の観点からPUBLIC IPv4スペースを参照する場合、拡張のためのスペースを構築するように割り当てを計画します(たとえば、建物に50人しかいないので、/ 26だけを与えないでください)なぜなら、次のサイズのサブネットですが、おそらく拡張を可能にするために/ 24を与えるからです。

別の良い習慣は、集約に割り当てることです。つまり、10階建ての建物がある場合、/ 20(またはそれ以上)を建物に割り当て、その/ 20から各階/部門にサブネットを割り当てます。各フロアの個々のサブネットすべてではなく、ネットワークの残りの部分に/ 20のみをアドバタイズします。


Q.を編集して、主にプライベートIPスペースの計画に関心があることを示しました。集約は誰もが理解できる目標であると考えましたが、それを追加して、望ましいことを明確にします。
generalnetworkerror
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.