提示和建议 IP 地址重新寻址?

tag-icon tag-icon vpn cisco ip-address subnet network-design
提示和建议 IP 地址重新寻址?

你好,serverfault Universe,

我不断发展和扩展的局域网目前使用的是 C 类地址。我的网络由多个子网组成,具体取决于站点/位置。

192.168.1.x 是站点总部
192.168.5.x 是辅助站点
192.168.10.x 是第三站点,依此类推。

长话短说 - 我从前任管理员那里继承了这个网络设计,他已经离开了公司,公司最初只有十几个人,现在有 300 多名全职/兼职员工。我们还没有客户端 VPN 访问权限;但我们有站点到站点 VPN 设置。

编辑-包括有关我当前设置和未来规划的详细信息:

  • 主站点和辅助站点(子网)有 25 台物理服务器。分支站点有 5 台(每个域控制器)。因此,我们预计未来 3 年内总增长量将达到约 50%。

  • 我们目前有一个面向公众的 Web 服务器和 Domino Web 邮件服务器。我已购买了 Cisco ASA 用于 DMZ、客户端访问 VPN 和站点到站点 VPN,以替换我们现有的现成 (Linksys) VPN/路由器解决方案。我看到的唯一变化是用 Exchange (OWA) 替换 Domino,并且我希望添加一个可在互联网上访问的 Cisco VPN 服务器。

  • 总的来说,我们主路由器的 DHCP 向我主 192.168.1.x 子网上的客户端工作站出租了 150 个 IP,这个子网恰好与我的主要服务器位于同一子网。其他子网上的其余站点在多个子网上大约有 100 个 IP。

  • 我们的管理“网络”(HP ProLiant iLO)位于主 1.x 子网上。

  • 目前还没有实施 iSCSI SAN 或 VoIP 的计划,但未来很有可能实施。
  • 我们的 MFP(打印机)都是静态 IP,如果发生重新寻址,则可能需要重新映射。
  • 我想为客人/访客添加访客访问 WiFi。
  • 然而,客户端访问 VPN 是优先事项中的首要任务。

它看起来像这样:192.168.1.x 由使用地址 10 到 40 的服务器、使用 40 到 50 的打印机、使用 50 到 200 的工作站以及使用 200 到 250 的 iLO 管理地址组成。

我的问题是,为了准备通过 Cisco ASA 让外部客户端访问我的网络,我想重新编址总部站点,因为我知道 192.168.1.x 或 192.168.0.x 不是公司子网的好选择 - 我相信当连接到我的 LAN 时,它可能与家庭用户的 LAN 发生冲突?根据您的经验,有没有人对我如何继续重新编址子网有任何建议和提示。如果我设计这个网络,我会使用 10.0.0.0,所以我倾向于更改它以适应。谢谢。

答案1

我想说,现在是时候退一步重新评估你的 IP 设计,而不是仅仅沉浸在脑海中浮现的想法中。你正在这样做 :)

我要做的第一件事是对每个站点进行评估:

  • 该网站有服务器吗?
    • 多少?
    • 我预计未来 3 年内这个数字会增长吗?
    • 多少?
  • 该网站是否有面向公众的服务器?
    • 多少?
    • 我期望它能增长吗?
  • 现场有多少客户?
  • 该站点是否有管理网络?
  • 现场采用了哪些技术?我计划采用新技术吗?
    • 互联网连接?
    • 网络电话?
    • ETC
  • 该网站是否涉及任何属于安全认证的内容?
    • 健康保险隐私及责任法
    • 萨班斯
    • PCI
  • 有访客吗?
  • 你们有WIFI吗?
    • 您允许访客使用 WIFI 吗?
  • 我要允许客户端访问 vpn 吗?

评估完成后,您就可以继续设计您的 IP 空间。

然后,我会根据需要将 10.0.0.0/8 子网接入(宣传 Evan Anderson 的精彩帖子

对于上述几乎所有项目,最佳做法是赋予它自己的子网(当然,确定大小的主要问题除外)。

答案2

我在 VPN 访问方面遇到的一个问题是,许多供应商使用 10.0.1.x 和 10.0.0.x 地址作为默认地址。在我的网络中,10.0.0.0/21 是我们的服务器子网,这使得支持远程访问变得非常困难。如果我必须再次这样做,我会将服务器地址空间放在 10 网络空间的最顶端(例如 10.253.0.0/21),因为我没有看到供应商的默认配置如此之高。如果您知道某些资源绝对无法通过 VPN 访问,那么您可以将 IP 空间的较低端用于这些资源。

仅供参考。我知道 Cisco / Linksys 在 192.168 范围内,而 Apple 使用 10 或 172 地址方案来运送机场。

希望有帮助

答案3

假设您想更改为10.1.1/8子网来替换您的总部192.168.1/8网络。您可以执行以下操作:

  1. 更改您的 DHCP 配置以使用新的子网
  2. 手动更改总部的任何静态 IP 配置(例如打印机和服务器)
  3. 设置路由以将新子网连接到192.168/16其他位置的现有地址

这是一个开始,如果你进一步阐述,我们就能知道可能遗漏了什么。

答案4

可能需要牢记的一件事是,大多数路由器可以处理网络接口上的辅助 IP 地址,因此您不一定需要一个所有内容同时改变的“标志日”。

您可能希望将服务器地址空间与客户端地址空间分开,这为将来分离网络基础设施提供了可能性。

一旦现场有了 VoIP,请考虑您希望电话和 PC 如何交互。至少思科电话支持将 PC 搭载在电话后面,从而更有效地利用交换机端口。而且,正如 Quincey Adams 善意指出的那样,电话和 PC 可以(并且应该)在这种配置中位于不同的 VLAN 上。

除此之外,Zypher 的观点都值得考虑。

相关内容