クリエイティブIP /サブネット/ dnsスキーム

かなり小さなネットワーク（<= 25ノード）のみを管理しました。通常、ゲートウェイ.1、dns / proxyを.10、メールを.20、プリンターを.30-39などに配置します。DNSホスト名の方が明らかに良い方法なので、IPアドレスを直接使用することはありませんが、ネットワークを最初から構築するときは、明確なパターン/レイアウト/設計が必要です。

DNSマッピングには、単純な命名パターン/レイアウトもあります。たとえば、すべてのデバイスには2つの名前があります。ロール（dc01、mail02など）に基づく1つの正式名と非公式名。派手なものはありませんが、本当にシンプルで管理しやすいです。

もっと直感的/創造的なIP /サブネット/ DNSスキームを見つけようとしています（もっと良いものがあれば）。他の人は、ネットワークの目的などに応じて、より直感的なスキームを持っていると確信しています。私が取り組んでいるネットワークはまだ小さいですが、競合するデバイスが多数あります。

4〜5つの主要なポイントを含むIPアドレス（範囲/クラス）、DNS名、およびサブネットネットワークを割り当てる一般的なパターンまたは方法を探しています。

1. ネットワークサービス（メール、ファイル、プロキシなど）
2. ソフトウェア開発（環境-dev / staging / prod、
3. メディア（ストリーミング、大容量ファイル転送、アーカイブ）
4. 仮想サーバー/デスクトップ
5. VoIP

VoIPを直接使用したことはありませんが、将来的に考慮する必要があります。

全体的に、私は皆からいくつかの本当に良いアイデアを得ました。私はより多くの票/受け入れられた答えを出すことができればいいのに。回答ありがとうございます！

複雑にしないでおく。可能な限りシンプルでありながら、セキュリティと柔軟性を確保します。物事への抽象化を設計します。これは単純ではないように聞こえますが、実際には単純さ自体への経路です。

サブネットに関しては、これはかなり一般的です：

• 1つのサブネット上のユーザー
• 別のゲスト
• 独自のサブネット上のサーバー
• VOIP自体も。

必要に応じて、各サブネットを通過するトラフィックをフィルタリングします。おそらくVLANを使用します。選択したネットワークデバイスベンダーのCLIに親しみがあることを願っています。

DNSについては、これは好きではありませんが、...あなたに合ったものを使用してください。個人的には、サーバーにサービスに関係のない完全に抽象的なホスト名を付けるのが好きです。次に、ホスト名に対してCNAMEサービスを提供します。そうすれば、サービスを移行してもDNS変更の頭痛の種になることはありません。または少なくとも、それほど多くはありません。また、ホスト名の前にavを付けて仮想サーバーに名前を付けることも好みます。

例：

• 新しいデータベースサーバーの名前はAthenaです。アテナという名前は永遠に続きます。
• Athenaは、SQL08ENT-CRM、SQL08ENT-AEGIS（セキュリティシステム）、SQL08ENT-DOCMANの機能を備えています。おそらく、地理に基づいてCNAMEDもされています。または、ホスト名に地理が含まれる場合もあります。アテナ-ATL。アテナ-シドニー。何でも動作します。
• サーバーは、既定の拒否ポリシーを持つサーバーサブネット上にあります。適切なサブネットから適切なトラフィックが含まれています。

保つ。それ。シンプル。（ただし機能的）

私は同じような規模の組織（/ 26を持っています）で働いていました。それは、私を超えた理由で、きめ細かなIP割り当てスキームが運用の整合性にとって最も重要であると感じていました。ゲートウェイは .1、プリンタは .2〜.12、サーバーは.13〜.20などのようにする必要がありました。個々のホストに関するドキュメントも保持しました。

これはお尻の大きな痛みです。どんなに勤勉だったとしても、ドキュメントを最新に保つことはできませんでした。DNSサービスがないことは役に立ちませんでした。したがって、このIP割り当てスキームのドキュメントを使用することが、唯一の "名前付け"サービスでした（奇妙な方法で、実際よりも不可欠に見えました）。

あなたの規模のネットワークには、いくつかのことをお勧めします（ほとんどはすでに行っています）：

• シンプル -何百ものホストを管理しているわけではありません。ソリューションの複雑さは、環境の複雑さを反映する必要があります。過度に賢い誘惑に抵抗してください。後で感謝します。

  1. 利用可能なIPスペースを確保し、DHCP経由でクライアントに60％を提供します。ある種のダイナミックDNSサービスをセットアップして、いまいましいIPアドレスをもう一度見る必要がないようにします。それらを追跡することを忘れてください。利益。

  2. 管理するIPアドレス用に他の30％を予約します：サーバー、プリンター、ネットワークデバイス、テストサービス。など。これを文書化するためにDNSを使用します。私の意見では、Excelスプレッドシートを使用して（DHCPで管理されたIPアドレスとは対照的に）これらの「管理者が管理した」IPアドレスすべてを熱心に追跡する以上に時間の無駄はありません。 、自己文書化とはるかに便利なDNSソリューションのサポートにその努力を注ぐことができるとき。

  3. IPアドレス空間の先頭にあるアドレスの最後の10％を未使用のままにしてください。少しのリザーブが痛むことはありません。

  4. ご使用の環境に合うように比率を調整してください。一部の環境ではより多くのクライアントが使用され、一部の環境では「サーバー」（つまり「管理者管理」）が重くなっています。

• ネットワークサービス（メール、ファイル、プロキシなど）
• ソフトウェア開発（環境-dev / staging / prod、

これらは両方とも「管理者管理」IPスペースのカテゴリに分類されます。

• メディア（ストリーミング、大容量ファイル転送、アーカイブ）

私の意見では、これはサブネット化とネットワーク監視に関係するすべてとはほとんど関係ありません。

• 仮想サーバー/デスクトップ

サーバーは「管理者管理」であり、デスクトップ（クライアントマシン）は「DHCP管理」である必要があります。

• VoIP

物理的に離散したネットワークが理想的ですが ... それは非現実的です。次に最適なのは、個別のVLANとサブネットです。これは、トラフィックを分離する必要性を本当に感じる小さなネットワークの唯一のポイントです（一般にアクセス可能なものを除く）。

IP割り当ての場合

私のアドバイスは、次の構造を使用して、すべてを10.0.0.0/8サブネットの下に配置することsiteです。division。device

• site 物理的な場所または同等の論理的な場所（NYオフィス、NJオフィス、DR施設、開発環境など）。
• divisionあなたにとって意味のある論理的な区分です。例
  0 =>スイッチ/ルーター
  1 =>管理者、2 =>ユーザー
  3 => VOIP
  4 =>ゲスト
• devicesは個々のデバイス（PC、サーバー、電話、スイッチなど）です。

ここでの考え方は、デバイスが何であるか、そのアドレスによってどこにあるかを簡単に判断できるということです。10.2.1.100は「サイト＃2」にある管理者のワークステーションです。

このモデルは、クラスベースのIP割り当てから派生しています。クラスA（/ 8）は企業です。各ロケーションはクラスB（/ 16）を取得し、ロケーションの各論理部門はデバイスのクラスC（/ 24）を取得します。
「分割」レベルに/ 24より大きい値を使用することは可能です（時には望ましいことです）。確かにそうすることができます。

DNS名の場合

私のアドバイスは、上記で説明したIP割り当てと同様のスキームに従うことです。

• すべてが根づいています mycompany.com
• 各サイト（/ 16）には独自のsitename.mycompany.comサブドメインがあります。
• 論理的な区分には、サイト内に1つ（または複数）のサブドメインが含まれる場合があります。次に例を示します。
  • voip.mycompany.com（のようなデバイスとtel0000.voip.mycompany.com、tel0001.voip.mycompany.com等）
  • switches.mycompany.com
  • workstations.mycompany.com （おそらく、管理者、ユーザー、ゲストにさらに分割されます）
• デバイスには意味のある名前を付ける必要があります。例えば：
  • 電話に名前を付けて、DNS名に基づいて呼び出している内線番号を確認できるようにします。
  • プライマリユーザーに基づいてワークステーションに名前を付けます。
  • 「ゲスト」IPアドレスを明確に識別します。
  • サーバーが何であるか/何をするのかがわかるようにサーバーに名前を付けます。
    これは「退屈」の名前（使用することによって達成することができwww01、www02、db01、db02、mail例えば（など）や命名規則を公布し、それに貼り付け：メールサーバーは、岩にちなんで命名され、Webサーバが木にちなんで命名され、データベースサーバがあります画家にちなんで名付けられた）。
    新しい人が退屈な名前を覚えるのは簡単で、クールな命名スキームはもっと楽しいです。好きなのを選びな。

その他のメモ

仮想サーバーについて：
。。彼らは物理マシン（部門/目的ではなく、彼らがしている「仮想」ハイパーバイザ/ VM管理ネットワーク用に別の部門を持っているという事実によって、それらを分離して、これらと同じかのように考えてみましょう
ことが重要に見えるかもしれませんボックスが仮想であるか物理であるかを知るために、監視システムが「Hey、Email is down！」と言うとき、あなたが尋ねる質問は「どのマシンが電子メールに関連しているのか」ではなく、「どのマシンが仮想および物理ありますか」。
あなたがいることを注意くださいマシンがハイパーバイザーホストが吹くが、これはあなたの監視システムのための課題ではなく、あなたのネットワークアーキテクチャである場合には仮想または物理的であるかを特定する実用的な方法が必要です。

VOIPについて：
VOIP（特にアスタリスク）は「セキュリティホール」の同義語です。VOIPをすべて独自のサブネットと独自のVLANに押し出し、機密情報の近くに置かないでください。
昨年私が見たすべてのVoIP電話は、VLAN分離をサポートしています（実際、これらはすべて音声VLANとデータVLANの両方をサポートしているため、デスクトップイーサネット接続のパススルーとして引き続き使用できます）。これを活用してください-あなたのVOIP環境がハッキングされた場合/あなたはあなたがしたことを喜んでいるでしょう。

計画とドキュメントについて：
アドレスとDNS名の割り当てを開始する前に、ネットワークを紙に描いてください。実際、最初に大きな紙に鉛筆でそれを描きます。
多くの間違いを犯します。
自由に消去します。
流Curに呪い。
呪いと消去を少なくとも10日間停止したら、図をVisio / Graffle /公式のネットワーク図として他の電子形式に入れます。この図を保護してください。デバイスを追加および削除し、組織を拡大し、ネットワーク構造を変更するときに、最も正確に維持します。
このネットワーク図は、変更を加えたり、ネットワークを新しい管理者に説明したり、不可解な障害のトラブルシューティングを行う必要がある場合に、あなたの親友になります。