Kreative IP- / Subnetz- / DNS-Schemata

Ich habe nur ziemlich kleine Netzwerke verwaltet (<= 25 Knoten). Normalerweise setze ich das Gateway .1, DNS / Proxy als .10, Mail bei .20, Drucker bei .30-39 und so weiter und so fort. Ich verwende IP-Adressen nie direkt, da DNS-Hostnamen eindeutig der bessere Weg sind, aber ich möchte ein klares Muster / Layout / Design haben, wenn ich ein Netzwerk von Grund auf neu aufbaue.

Meine DNS-Zuordnung hat auch ein einfaches Namensmuster / Layout. Zum Beispiel haben alle meine Geräte zwei Namen; Ein formeller Name basierend auf der Rolle (dc01, mail02 usw.) und ein informeller Name. Nichts Besonderes, aber sehr einfach und überschaubar.

Ich versuche, ein intuitiveres / kreativeres IP / Subnetz / DNS-Schema zu finden (wenn es etwas Besseres gibt). Ich bin sicher, dass andere abhängig von den Netzwerkzielen und dergleichen intuitivere Schemata haben. Mein Netzwerk, an dem ich arbeite, ist noch klein, aber ich habe zahlreiche Geräte, mit denen ich zu kämpfen habe.

Ich suche nach einem allgemeinen Muster oder einer Methode zum Zuweisen von IP-Adressen (Bereichen / Klassen), DNS-Namen und Subnetzwerken, die 4-5 Hauptpunkte umfassen:

1. Netzwerkdienste (Mail, Datei, Proxy usw.)
2. Softwareentwicklung (Umgebungen - dev / staging / prod,
3. Medien (Streaming, Übertragung großer Dateien, Archivierung)
4. Virtuelle Server / Desktops
5. VoIP

Ich habe noch nie direkt mit VoIP gearbeitet, aber es ist etwas, das für die Zukunft berücksichtigt werden muss.

Insgesamt habe ich von allen ein paar wirklich gute Ideen bekommen. Ich wünschte, ich könnte mehr Stimmen abgeben / akzeptierte Antworten. Danke für die Antworten!

Halte es einfach. So einfach wie möglich, aber dennoch sicher und flexibel. Entwerfen Sie Abstraktion in Dinge, was so klingt, als sei es nicht einfach, sondern der Weg zur Einfachheit.

Bei Subnetzen ist dies ziemlich häufig:

• Benutzer in einem Subnetz
• Gäste auf einem anderen
• Server in ihrem eigenen Subnetz
• VOIP auch alleine.

Filtern Sie den Datenverkehr nach Bedarf durch jedes Subnetz. Verwenden Sie möglicherweise VLANs. Ich hoffe, Sie sind mit der CLI Ihres bevorzugten Netzwerkgeräteherstellers bestens vertraut.

DNS wird Ihnen nicht gefallen, aber ... verwenden Sie alles, was für Sie funktioniert. Persönlich möchte ich Servern einen völlig abstrakten Hostnamen geben, der nicht mit ihren Diensten verbunden ist. Ich CNAME-Dienste dann auf den Hostnamen. Auf diese Weise verursachen die Migrationsdienste keine Kopfschmerzen bei DNS-Änderungen. Oder zumindest nicht so viele. Ich bevorzuge es auch, virtuelle Server mit av vor dem Hostnamen zu benennen.

Beispiele:

• Der neue Datenbankserver heißt Athena. Es wird für immer Athena heißen.
• Athena ist CNAMED für das, was es tut: SQL08ENT-CRM, SQL08ENT-AEGIS (das Sicherheitssystem), SQL08ENT-DOCMAN. Vielleicht auch CNAMED basierend auf Geographie. Oder vielleicht enthält der Hostname eine geografische Position. Athena-ATL. Athena-Sydney. Was auch immer funktioniert.
• Der Server befindet sich im Server-Subnetz, für das standardmäßig eine Verweigerungsrichtlinie gilt. Es enthält den richtigen Datenverkehr aus den richtigen Subnetzen.

Behalten. Es. Einfach. (aber funktional)

Ich habe bei einer Organisation ähnlicher Größe gearbeitet (wir hatten eine / 26), die aus Gründen, die über mich hinausgingen, der Ansicht war, dass ein fein abgestimmtes IP-Zuweisungsschema für die Betriebsintegrität von größter Bedeutung ist. Das Gateway musste .1 sein, die Drucker mussten zwischen .2 und .12 sein, die Server zwischen .13 und .20 und so weiter. Wir haben sogar Unterlagen zu einzelnen Hosts aufbewahrt.

Das ist ein großer Schmerz im Arsch. Egal wie fleißig ich war, ich konnte niemals eine Dokumentation auf dem neuesten Stand halten. Es hat nicht geholfen, dass wir keine DNS-Dienste hatten. Daher war die Verwendung dieser Dokumentation zum IP-Zuweisungsschema die einzige "Namens" -Dienstleistung, die wir hatten (was auf seltsame Weise dazu führte, dass sie unverzichtbarer erschien als sie wirklich war).

Für ein Netzwerk Ihrer Größe würde ich einige Dinge empfehlen (von denen Sie die meisten bereits getan haben):

• Einfach - Sie verwalten nicht Hunderte von Hosts. Die Komplexität Ihrer Lösung sollte die Komplexität der Umgebung widerspiegeln. Widerstehen Sie der Versuchung, übermäßig klug zu sein. Sie werden sich später bedanken.

  1. Nutzen Sie Ihren verfügbaren IP-Speicherplatz und geben Sie Ihren Kunden 60% über DHCP. Richten Sie dynamische DNS-Dienste ein, damit Sie nie wieder eine verdammte IP-Adresse suchen müssen. Vergiss es, sie im Auge zu behalten. Profitieren.

  2. Reservieren Sie die anderen 30% für IP-Adressen, die Sie verwalten: Server, Drucker, Netzwerkgeräte, Testdienste. usw. Verwenden Sie DNS, um dies zu dokumentieren. Meiner Meinung nach gibt es keine größere Zeitverschwendung, als all diese "vom Administrator verwalteten" IP-Adressen (im Gegensatz zu DHCP-verwalteten IP-Adressen) mithilfe einer Excel-Tabelle (auf die Sie ständig verweisen und die Sie pflegen müssen) sorgfältig zu verfolgen. , wenn Sie diese Anstrengungen unternehmen könnten, um eine selbstdokumentierende und weitaus nützlichere DNS-Lösung zu unterstützen.

  3. Lassen Sie die letzten 10% Ihrer Adresse oben in Ihrem IP-Adressraum unbenutzt. Eine kleine Reserve tut nie weh.

  4. Passen Sie die Verhältnisse an Ihre Umgebung an. Einige Umgebungen haben mehr Clients, andere sind "server" (dh "vom Administrator verwaltet") schwer.

• Netzwerkdienste (Mail, Datei, Proxy usw.)
• Softwareentwicklung (Umgebungen - dev / staging / prod,

Beide fallen in die Kategorie "vom Administrator verwalteter" IP-Bereich.

• Medien (Streaming, Übertragung großer Dateien, Archivierung)

Meiner Meinung nach hat dies wenig mit Subnetzen und alles mit Netzwerküberwachung zu tun.

• Virtuelle Server / Desktops

Server sind "Administrator-verwaltet", Desktops (dh Client-Computer) sollten "DHCP-verwaltet" sein.

• VoIP

Ein physisch diskretes Netzwerk wäre ideal ... aber das ist unrealistisch. Das nächstbeste wäre ein separates VLAN und Subnetz. Dies ist ungefähr der einzige Punkt in einem kleinen Netzwerk, an dem ich wirklich das Bedürfnis verspüre, den Verkehr zu trennen (mit Ausnahme von Dingen, die öffentlich zugänglich sind).

Für IP-Zuweisungen

Mein Rat ist , alles unter der 10.0.0.0/8 Subnetz zu platzieren, die folgende Struktur verwendet: 10. site. division.device

• site ist ein physischer Standort oder ein logisches Äquivalent (z. B. NY-Büro, NJ-Büro, DR-Einrichtung, Entwicklungsumgebung).
• divisionist eine logische Unterteilung, die für Sie Sinn macht. zB
  0 => Switches / Router
  1 => Admins, 2 => Benutzer
  3 => VOIP
  4 => Gäste
• devices sind einzelne Geräte (PCs, Server, Telefone, Switches usw.)

Die Idee hier ist, dass Sie leicht anhand der Adresse feststellen können, was ein Gerät ist und wo es sich befindet: 10.2.1.100 ist die Workstation eines Administrators an "Site # 2".

Dieses Modell wird aus klassenbasierten IP-Zuweisungen abgeleitet: Die Klasse A (/ 8) ist Ihr Unternehmen. Jeder Standort erhält eine Klasse B (/ 16), und jede logische Unterteilung an einem Standort erhält eine Klasse C (/ 24) für ihre Geräte.
Es ist möglich (und manchmal wünschenswert), etwas Größeres als a / 24 für die "Division" -Ebene zu verwenden, und Sie können dies mit Sicherheit tun: Alles von a / 17 bis a / 24 ist mit diesem Schema im Allgemeinen ein faires Spiel.

Für DNS-Namen

Mein Rat ist, ein ähnliches Schema wie die oben beschriebene IP-Zuweisung zu befolgen:

• Alles ist verwurzelt mycompany.com
• Jede Site (/ 16) hat ihre eigene sitename.mycompany.comSubdomain.
• Logische Unterteilungen können eine (oder mehrere) Unterdomänen innerhalb der Site haben, zum Beispiel:
  • voip.mycompany.com(mit Geräten wie tel0000.voip.mycompany.com, tel0001.voip.mycompany.com, etc.)
  • switches.mycompany.com
  • workstations.mycompany.com (möglicherweise weiter unterteilt in admin, user & guest)
• Geräte sollten aussagekräftige Namen haben. Beispielsweise:
  • Benennen Sie Telefone so, dass Sie anhand des DNS-Namens sehen können, welche Nebenstelle sie klingeln.
  • Benennen Sie Workstations basierend auf ihrem Hauptbenutzer.
  • Identifizieren Sie eindeutig "Gast" -IP-Adressen.
  • Benennen Sie Server, damit Sie erkennen können, was sie sind / was sie tun.
    Dies kann durch die Verwendung von „langweilig“ Namen erreicht werden ( www01, www02, db01, db02, mail, etc.) oder durch ein Benennungsschema Verkündung und klebt es (zum Beispiel: Mail - Server ist nach Felsen benannt, Web - Server benannt nach Bäumen, Datenbankserver sind benannt nach Malern).
    Langweilige Namen sind für eine neue Person leichter zu lernen, coole Namensschemata machen mehr Spaß. Treffen Sie Ihre Wahl.

Sonstige Hinweise

In Bezug auf virtuelle Server:
Betrachten Sie diese als physische Maschinen (trennen Sie sie nach Abteilung / Zweck und nicht nach der Tatsache, dass sie "virtuell" sind. Haben Sie eine separate Abteilung für das Hypervisor / VM-Verwaltungsnetzwerk.
Dies scheint wichtig zu sein Sie wissen jetzt, ob eine Box virtuell oder physisch ist, aber wenn Ihr Überwachungssystem "Hey, E-Mail ist ausgefallen!" sagt, lautet die Frage, die Sie stellen, "Welche Computer sind mit E-Mails verbunden?", nicht "Welche Computer sind" virtuelle und die physische sind?“.
Beachten Sie, dass Sie DO , falls ein Hypervisor - Host bläst, müssen eine praktische Art und Weise zu identifizieren , ob eine Maschine virtuell oder physisch, aber das ist eine Herausforderung für Ihre Monitoring - System, nicht Ihre Netzwerkarchitektur.

In Bezug auf VOIP:
VOIP (insbesondere Sternchen) ist ein Synonym für "Sicherheitsloch". Schieben Sie all Ihre VOIP-Inhalte in ein eigenes Subnetz und ein eigenes VLAN und lassen Sie es nicht in die Nähe von sensiblen Objekten.
Jedes VOIP-Telefon, das ich im letzten Jahr gesehen habe, unterstützt die VLAN-Trennung (tatsächlich unterstützen alle sowohl Sprach- als auch Daten-VLANs, sodass Sie das Telefon weiterhin als Durchgang für Desktop-Ethernet-Verbindungen verwenden können). Nutzen Sie diesen Vorteil - Sie werden es nicht bereuen, wenn Ihre VOIP-Umgebung gehackt wird.

Planung und Dokumentation:
Zeichnen Sie Ihr Netzwerk auf Papier, bevor Sie Adressen und DNS-Namen zuweisen. Zeichnen Sie es zuerst mit Bleistift auf ein GROSSES Blatt Papier.
Machen Sie viele Fehler.
Großzügig löschen.
Fluch fließend.
Sobald Sie für mindestens 10 Tage aufhören zu fluchen und zu löschen, ist es Zeit, das Diagramm in Visio / Graffle / ein anderes elektronisches Format als offizielles Netzwerkdiagramm zu setzen. Schützen Sie dieses Diagramm. Behalten Sie es in seiner heiligsten Richtigkeit bei, wenn Sie Geräte hinzufügen und entfernen, Ihre Organisation erweitern und Ihre Netzwerkstruktur ändern.
Dieses Netzwerkdiagramm ist Ihr bester Freund, wenn Sie Änderungen vornehmen, neuen Administratoren das Netzwerk erklären oder einen mysteriösen Fehler beheben müssen.