Best Practice für die Vergabe privater IP-Bereiche?

14

Ist es üblich, bestimmte private IP-Adressbereiche für bestimmte Zwecke zu verwenden?

Ich beginne damit, Virtualisierungssysteme und Speicherserver einzurichten. Jedes System verfügt über zwei Netzwerkkarten, eine für den Zugriff auf das öffentliche Netzwerk und eine für die interne Verwaltung und den Speicherzugriff.

Ist es üblich, dass Unternehmen bestimmte Bereiche für bestimmte Zwecke verwenden? Wenn ja, was sind diese Bereiche und Zwecke? Oder macht es jeder anders?

Ich möchte es einfach nicht ganz anders machen als es üblich ist, um Dinge für Neueinstellungen usw. zu vereinfachen.

Tauren
quelle
Ich würde das ändern, weil es wahrscheinlich mehr als 254 Geräte auf einer Etage gibt als 254 Etagen in einem Gebäude, siehe google.com/ . Verwenden Sie also die ersten 200 Adressen des 3. Oktetts für Stockwerke, dann die letzten 54 Adressen und das verbleibende Oktett für Geräte. Damit sind 254 * 54 Geräte möglich. Drucker, Workstations, Laptops, Internet der Dinge (IOT) (das heute am häufigsten verwendete Hype-Wort, gefolgt von „Menschen“, „Technologie“) [Toaters, Lichtschalter, Lichtsteuerungen, Kaffeekannen.
Dennis

Antworten:

20

Die meisten Systeme haben versucht, die IP-Bereiche einer Hierarchie von Geografie und / oder Systemkomponenten zuzuordnen.

Ein Arbeitgeber nutzte in der Regel:

10.building.floor.device(mit Nichtbenutzer-Ressourcen-VLANs, die 10.x.100.xto verwenden 10.x.120.x)

und

10.major_system.tier_or_subsystem.component

caelyx
quelle
@caelyx: das klingt nach einem guten ansatz, den ich gebrauchen könnte. Vielen Dank!
Tauren
@Tauren - keine Sorge; freue mich zu helfen! Vielen Dank für die positive Bewertung :)
caelyx
1
Ich würde das ändern, weil es wahrscheinlich mehr als 254 Geräte auf einer Etage gibt als 254 Etagen in einem Gebäude, siehe google.com/. Verwenden Sie also die ersten 200 Adressen des 3. Oktetts für Stockwerke, dann die letzten 54 Adressen und das verbleibende Oktett für Geräte. Damit sind 254 * 54 Geräte möglich. Drucker, Workstations, Laptops, Internet der Dinge (IOT) (das heute am häufigsten verwendete Hype-Wort, gefolgt von „Menschen“, „Technologie“) [Toaters, Lichtschalter, Lichtsteuerungen, Kaffeekannen. - Dennis gerade bearbeiten
Dennis
6

Eine Sache, die ich vorschlagen würde, ist, zufällig ausgewählte private Bereiche aus dem 10.0.0.0/8-Block für alle Ihre privaten Adressen zu verwenden. Dies vermeidet viele Probleme, insbesondere beim Einrichten von VPNs zwischen Heim- / Partnernetzwerken und Ihrem Unternehmensnetzwerk. Die meisten Heimrouter (und viele Unternehmenssetups) verwenden 192.168.0.0/24 oder 10.0.0.0/24, sodass Sie Stunden damit verbringen, verschiedene Verbindungsprobleme zu lösen, wenn Sie versuchen, die Verbindung zwischen zwei privaten Netzwerken herzustellen.

Wenn Sie jedoch einen zufälligen Bereich wie 10.145.0.0/16 und von dort aus ein Subnetz ausgewählt haben, ist es weitaus unwahrscheinlicher, dass Sie mit dem privaten IP-Bereich eines Geschäftspartners oder Heimnetzwerks "kollidieren".

Malayter
quelle
1
Für die Standortadressierung können Sie das Subnetz 10.0.0.0/24 verwenden und den Längen- und Breitengrad im Ersatzoktett codieren. ;-)
Der Unix-Hausmeister
Es sei denn, Ihre Standorte sind weniger als einen Grad voneinander entfernt. Wir hatten zwei Büros, die ein paar Häuserblocks voneinander entfernt waren, was in Lat /
Lon
1
Wenn dies ein Problem ist (und es sich um ein vernünftiges handelt), verwenden Sie den dritten privaten IP-Bereich: 172. (16-31) .0.0 / 16. Die meisten Leute wissen nicht einmal, dass es da ist. Ich habe es nur an einem Ort jemals in Gebrauch gesehen.
Dan Pritts
@DanPritts Rackspace verwendet 172.16.0.0/12 ausgiebig für Hosting- und Cloud-Server. Wahrscheinlich wegen seiner "Dunkelheit". Wie bei 10.0.0.0/8 ist es jedoch besser, nach Möglichkeit zufällige Bits dieses Bereichs auszuwählen, um mögliche Kollisionen zu vermeiden.
Malayter
1
@ RyanTM Wow, ich habe den RFC nie so genau gelesen. Ich bin froh zu sehen, dass mein eigenes Fazit, das auf schmerzhaften Erfahrungen basiert, tatsächlich mit dem Standard übereinstimmt.
Malayter
2

RFC1918 beschreibt die 3 IP-Blöcke, die für den privaten Adressraum reserviert sind. Die 2 häufigsten sind:

  • 10.0.0.0 - 10.255.255.255 (10/8 Präfix)
  • 192.168.0.0 - 192.168.255.255 (192.168 / 16 Präfix)

Wenn Sie ein separates Netzwerk für die Speicherung einrichten, ist es wahrscheinlich sinnvoll, einen ähnlichen IP-Bereich zu wählen, der sich jedoch geringfügig von dem unterscheidet, den Sie für das reguläre Netzwerk verwenden. Konsistenz ist gut, aber die Verwendung unterschiedlicher IP-Bereiche ermöglicht es Ihnen, gleichzeitig mit beiden Netzwerken verbunden zu sein, zum Beispiel, wenn Sie etwas nachschlagen müssen, während Sie die Verwaltung mit Ihrem Laptop durchführen.

Nic
quelle
Mein Laptop erhält also eine IP-Nummer im Bereich 192.168.0.x von DHCP. Ich denke, dass mein Speichernetzwerk im 10.xxx-Bereich liegen sollte, damit sie wirklich getrennt bleiben. Ist dies gängige Praxis, oder verwenden viele Orte 192.168.1.x für ihre Speicherung?
Tauren
2
172.16-31 / 16 also =) Wird aber nicht viel benutzt.
Antoine Benkemoun
2
@Tauren: 192.168.1.x / 24 ist genauso getrennt von 192.168.0.x / 24 wie 10.0.0.x / 24. Es kann nicht "mehr" oder "weniger" getrennt sein. Sie sind in verschiedenen Subnetzen,
Punkt
Das gilt für Computer, aber nicht für die Leute, die daran arbeiten. Es ist eine gute Sache, die Mitarbeiter nicht zu verwirren, und die Namensstandards tragen wesentlich dazu bei.
Pboin
@pulegium: ja, ich verstehe sie sind eigentlich getrennt, aber ich meinte im "menschlichen Sinne", wie @pboin erwähnt.
Tauren
2

Bei der IP-Adressierung herrscht ungefähr so ​​viel Konsens wie bei den Servernamen (siehe diese Site ad naseum), es kommt nur auf die persönlichen Vorlieben an - in der Regel der erste, der alles eingerichtet hat!

Nein, es gibt keine richtige Möglichkeit, dies zu tun - wählen Sie einfach eine der 3 RFC1918-Serien (cheers @Nic Waller), unterteilen Sie sie in Subnetze (traditionell werden / 24s, aber / 23s immer beliebter). Weisen Sie eines der Subnetze für den öffentlichen Zugriff und eines für den privaten Zugriff zu. Wirklich der schwierige Teil ist das Einrichten der VLANs und ACLs.

Persönlich bevorzuge ich die Verwendung des 10.xxx-Bereichs, da ich ihn schneller als die beiden anderen eingeben kann, aber es macht wirklich keinen Unterschied, es sei denn, Sie benötigen die größere Größe (192.168.xx gibt Ihnen 256 Subnetze mit 254 IP-Adressen, 10.xxx dagegen 65.536).

Ich würde nicht vorschlagen, die Bereiche zu mischen, zum Beispiel 192.168.xx für privat und 10.xxx für öffentlich, technisch sollte es keine Rolle spielen, aber es wäre sehr verwirrend.

Jon Rhoades
quelle
@ Jon, danke für deine Vorschläge. Dies hilft, das meiste zu bestätigen, was ich für den Fall hielt.
Tauren
Wie kann der 10.xxx-Bereich öffentlich sein? Sind sie öffentlichen Geräten zugeordnet, die über ein VPN auf das Netz zugreifen? (Scheint der einzige Weg)
Dennis