创意 IP/子网/DNS 方案

tag-icon tag-icon networking ip subnet
创意 IP/子网/DNS 方案

我只管理过相当小的网络(<=25 个节点)。通常我将网关设置为 .1,dns/代理设置为 .10,邮件设置为 .20,打印机设置为 .30-39 等等。我从不直接使用 IP 地址,因为 DNS 主机名显然是更好的方式,但我喜欢在从头开始构建网络时有一个清晰的模式/布局/设计。

我的 DNS 映射也有一个简单的命名模式/布局。例如,我的所有设备都有两个名称;一个基于角色的正式名称(dc01、mail02 等),另一个是非正式名称。没有什么特别的,但非常简单且易于管理。

我正在尝试找出更直观/更有创意的 IP/子网/DNS 方案(如果有更好的方案)。我相信其他人有更直观的方案,具体取决于网络目标等。我正在处理的网络仍然很小,但我要处理大量设备。

我正在寻找一种通用模式或方法来分配 IP 地址(范围/类别)、DNS 名称和子网网络,其中包含 4-5 个要点:

  1. 网络服务(邮件、文件、代理等)
  2. 软件开发(环境 - dev/staging/prod,
  3. 媒体(流媒体、大文件传输、归档)
  4. 虚拟服务器/桌面
  5. 网络电话

我从未直接使用过 VoIP,但这是未来需要考虑的事情。

总的来说,我从大家那里得到了一些非常好的想法。希望我能给出更多的投票/接受答案。感谢大家的回复!

答案1

保持简单。尽可能简单,但仍要保证安全性和灵活性。将抽象设计成事物,这听起来并不简单,但实际上却是通往简单本身的途径。

对于子网来说,这是相当常见的:

  • 同一子网上的用户
  • 另一家酒店的客人
  • 位于自己子网上的服务器
  • VOIP 本身也如此。

根据需要过滤通过每个子网的流量。可能使用 VLAN。我希望您非常熟悉所选网络设备供应商的 CLI。

至于 DNS,你不会喜欢这个,但是……使用任何适合你的方式。就我个人而言,我喜欢给服务器一个完全抽象的主机名,与其服务没有任何关系。然后我将服务 CNAME 到主机名。这样,迁移服务不会引起 DNS 更改麻烦。或者至少不会那么多。我还喜欢在主机名前面加上 av 来命名虚拟服务器。

例子:

  • 新的数据库服务器名为 Athena。它将永远被命名为 Athena。
  • Athena 的 CNAMED 功能如下:SQL08ENT-CRM、SQL08ENT-AEGIS(安全系统)、SQL08ENT-DOCMAN。也可能基于地理位置进行 CNAMED。或者主机名中可能包含地理位置。Athena-ATL。Athena-Sydney。无论哪种方式都可以。
  • 该服务器位于具有默认拒绝策略的服务器子网中。它包含来自适当子网的适当流量。

把事情简单化。(但功能齐全)

答案2

我曾在一家规模类似的组织工作过(我们有一个 /26),出于我无法理解的原因,当权者认为精细的 IP 分配方案对于运营完整性至关重要。网关.1,打印机介于 .2 和 .12 之间,服务器介于 .13 和 .20 之间,等等。我们甚至保存了有关各个主机的文档。

这真是太麻烦了。无论我多么勤奋,似乎都无法使任何文档保持最新。我们没有任何 DNS 服务,因此使用此 IP 分配方案文档是我们拥有的唯一“命名”服务(奇怪的是,这让它看起来比实际上更加不可或缺)。

对于您规模的网络,我建议做几件事(其中大部分您已经做过了):

  • 简单的- 您无需管理数百台主机。解决方案的复杂性应反映环境的复杂性。抵制过度聪明的诱惑。您以后会感谢自己的。

    1. 利用可用的 IP 空间,并通过 DHCP 将 60% 提供给客户端。设置某种动态 DNS 服务,这样您就再也不必查看该死的 IP 地址了。忘记跟踪它们。获利。

    2. 保留另外 30% 用于 IP 地址管理:服务器、打印机、网络设备、测试服务等。使用 DNS 来记录这些内容。在我看来,没有什么比使用 Excel 电子表格(您必须不断参考和维护)刻意跟踪所有这些“管理员管理的”IP 地址(而不是 DHCP 管理的 IP 地址)更浪费时间了,而您可以将这些精力投入到支持自我记录且更有用的 DNS 解决方案中。

    3. 保留 IP 地址空间顶部的最后 10% 的地址,不要使用。保留一点总是好的。

    4. 根据你的环境调整比例。有些环境会有更多的客户端,有些环境会是“服务器”(即“管理员管理”)居多。

  • 网络服务(邮件、文件、代理等)
  • 软件开发(环境 - dev/staging/prod,

这两者都属于“管理员管理的” IP 空间类别。

  • 媒体(流媒体、大文件传输、归档)

在我看来,这与子网划分关系不大,而与网络监控关系密切。

  • 虚拟服务器/桌面

服务器是“管理员管理的”,桌面(即客户端机器)应该是“DHCP 管理的”。

  • 网络电话

物理上离散的网络是理想的......这不现实。次优方案是使用单独的 VLAN 和子网。这大概是小型网络中唯一真正需要隔离流量的地方(除了那些可公开访问的内容)。

答案3

对于 IP 分配

我的建议是将所有内容置于 10.0.0.0/8 子网下,使用以下结构:10 site...divisiondevice

  • site是一个物理位置或逻辑等效位置(例如纽约办公室、新泽西办公室、DR 设施、开发环境)。
  • division是一个对你来说有意义的逻辑细分。例如
    0 => 交换机/路由器
    1 => 管理员,2 => 用户
    3 => VOIP
    4 => 访客
  • device是单独的设备(个人电脑、服务器、电话、交换机等)

这里的想法是,您可以通过其地址轻松确定设备是什么以及它在哪里:10.2.1.100 是“站点 #2”的管理员工作站。

此模型源自基于类别的 IP 分配:A 类 (/8) 代表您的企业。每个位置获得一个 B 类 (/16),位置的每个逻辑分区为其设备获得一个 C 类 (/24)。
对于“分区”级别,可以使用大于 /24 的地址(有时也是可取的),您当然可以这样做:从 /17 到 /24 的任何地址通常都适用于此方案。

对于 DNS 名称

我的建议是遵循与上面描述的 IP 分配类似的方案:

  • 一切根植于mycompany.com
  • 每个站点(/16)都有自己的sitename.mycompany.com子域名。
  • 逻辑分区可能在站点内有一个(或多个)子域,例如:
    • voip.mycompany.com(使用tel0000.voip.mycompany.comtel0001.voip.mycompany.com等设备)
    • switches.mycompany.com
    • workstations.mycompany.com(可能进一步细分为管理员、用户和访客)
  • 设备应该具有有意义的名称。例如:
    • 命名电话,以便您可以根据 DNS 名称看到他们响铃的分机。
    • 根据主要用户命名工作站。
    • 明确识别“访客” IP 地址。
    • 命名服务器,以便您能知道它们是什么/它们做什么。
      这可以通过使用“无聊”的名称(www01www02db01db02mail等)或颁布命名方案并坚持使用来实现(例如:邮件服务器以岩石命名,Web 服务器以树木命名,数据库服务器以画家命名)。
      无聊的名称更容易让新手学习,而酷炫的命名方案则更有趣。任您挑选。

其他说明

关于虚拟服务器:
将它们视为物理机器(按部门/用途而不是按“虚拟”的事实进行划分)。为虚拟机管理程序/虚拟机管理网络设立一个单独的部门。
现在,了解一个盒子是虚拟的还是物理的似乎很重要,但是当您的监控系统说“嘿,电子邮件坏了!”时,您要问的问题是“哪些机器与电子邮件相关?”,而不是“哪些机器是虚拟的,哪些是物理的?”。
请注意,您需要一种实用的方法来识别机器是虚拟的还是物理的,以防虚拟机管理程序主机崩溃,但这对您的监控系统来说是一个挑战,而不是您的网络架构。

关于 VOIP:
VOIP(尤其是星号)是“安全漏洞”的同义词。将所有 VOIP 内容放在自己的子网和 VLAN 上,不要让它靠近任何敏感内容。
去年我见过的每部 VOIP 电话都支持 VLAN 隔离(实际上它们都支持语音和数据 VLAN,因此您仍然可以将电话用作桌面以太网连接的直通通道)。充分利用这一点 - 如果/当您的 VOIP 环境遭到黑客攻击时,您会很高兴您这样做了。

关于规划和文档:
在开始分配地址和 DNS 名称之前,先在纸上画出您的网络。事实上,先用铅笔在一张大纸上画出来。
犯很多错误。
随意擦除。
随意咒骂。
一旦你停止咒骂和擦除至少 10 天,就该把图表放入 Visio/Graffle/其他电子格式作为你的官方网络图了。保护好这个图表。在你添加和删除设备、发展你的组织和修改你的网络结构时,保持它最神圣的正确性。
当你必须进行更改、向新管理员解释网络或排除神秘故障时,这个网络图将是你最好的朋友。

相关内容