我想验证自己的企业IPv4根据此处直接给出的任何公共文件或指南处理空间规划。解决方案在DC和园区之间有一些独特的需求,最好考虑一下。
我特别希望了解为规划区域,城市,校园,建筑物,楼层,上行链路,WAN链接,环回等的私有(RFC1918)IP空间分配而存在的最佳实践。有线与无线。内部网络与访客网络。 *我知道这本身可能是一个开放性问题,所以我正在寻找与IPv6答案类似的,经过验证和深思熟虑的计划的特定参考或示例。建议的CIDR块将在分配空间时有所帮助。
当然,需要用于路由的聚合,并且具有简化的ACL的能力也需要。在ACL中需要权衡取舍,以聚合所有员工子网(例如,有线或无线)与聚合所有无线用户(无论是员工,承包商还是访客)无关。
#1 楼
在一家半小型公司中,我们在某种程度上很自由地破坏了我们的专用网络:/每个VLAN 24个
/每个位置16个
VLAN传播跳,每次跳过10/24秒。 VLAN号与第三个八位位组匹配。位置是连续的,从10/16英寸开始。
ie
10.10.1.0/24-位置A,管理VLAN 1
10.10.11.0 / 24-位置A,无线Vlan 11
10.11.11.0/24-位置B,无线Vlan 11
10.11.81.0/24-位置B,SAN Vlan 81
10.11.101.0/24 -位置B,有线办公室Vlan 101
Vlan示例:
1-管理
2-无线管理
11-无线访问
21-访客
31-移动设备
41-工厂设备
51-SAN
61-VoIP
71-有线访问
等等。
我们看到的好处是:
易于通过/ 16引用整个位置。我们经常将其用于VPN ACL。
易于将设备类型分组在一起进行Web过滤。
后10个/ 24s内的任何Vlan与先前的根属于同一类型。
例如工厂设备... Vlan 31,对于某些具有24/7远程访问权限的供应商,我们给了他们自己的Vlan,32或33或34,最高40.他们的VPN访问将他们限制在他们支持的设备上,而无需了解IP / ACE。如果制造团队需要添加更多设备,则无需更新VPN ACL。这还包括Vlan之间的访问ACL / ACE。
另一个示例:SAN Vlan,我们至少使用两个来实现冗余。因此它们始终是81和82。
最后一个例子:无线管理被分解为自己的Vlan2。我们这样做是因为我们有足够的AP来需要WLAN控制器,但没有控制器预算。此Vlan使用tftp和dhcp选项自动配置和从中央配置库启动AP,我们不希望其他可以自动启动的设备提取无线配置。
此设置为我们提供了一种查看IP并了解其所属设备的位置和类型的简便方法。对于我们来说,这意味着配置文件中的ACL / ACE更少,尤其是在有限的VPN用户上。如果我们在Vlan中的IP用完了,或者因为我们需要进一步隔离流量,我们还有扩展的空间。而且由于我们是一家小公司,所以我们尚未将位置编号分为三位数。大量的增长空间。
#2 楼
鉴于IPv4已经存在了很长时间,因此人们可以选择数百万种不同的方式来分配其IPv4空间。对于我们(一家ISP),我们在纯传输链路(//通常情况下为30),然后就客户而言,这取决于他们的需求,因为每个人在IPv4上的时间都太短,这意味着您不必使用总括规则,而必须将每个客户视为自己的实体,并相应地收集他们的要求。 br />
如果要提到PUBLIC IPv4空间,那就是所有的事情,就内部RFC1918而言,然后计划您的分配,以便为扩展空间建造建筑物(例如,建筑物中只有50个人,不要仅仅因为它的下一个尺寸的子网就给他们一个/ 26,而是给他们一个/ 24以便进行扩展。
另一种好的做法是分配聚合,也就是说,如果您的建筑物10层为建筑物分配/ 20(或更大),然后为每个f分配子网/ 20以外的楼层/部门,这样,您只能将/ 20通告给网络的其余部分,而不是每个楼层的所有单个子网。
评论
编辑Q.表示我对私有IP空间规划最感兴趣。我假设聚合是每个人都理解的目标,但是我将其添加以阐明期望的目标。
–generalnetworkerror
13年6月3日在8:03
评论
通过为每个位置提供一个/ 16并遵守该计划,还可以使您总结这些位置之间的WAN链接,这从路由表的角度来看是很好的。假设您具有正确的核心/分发设计!
–knotseh
13年6月3日在4:42