IPv4 주소 공간 계획 모범 사례

크레이그 콘스탄틴 (Craig Constantine)의 최근 질문은 IPv6에 관한 것이지만, 많은 사람들이 아직 IPv6의 최첨단에 있지 않고 여전히 새롭거나 향상된 IPv4 배포를 책임지고 있습니다.

여기에 직접 제공된 공개 문서 또는 지침에 대해 자체 엔터프라이즈 IPv4 주소 공간 계획을 확인하고 싶습니다. 주소 지정은 DC와 캠퍼스 사이에 이상적으로 고려해야 할 고유 한 요구 사항이 있습니다.

특히 지역, 도시, 캠퍼스, 건물, 층, 업 링크, WAN 링크, 루프백 등에 대한 개인 (RFC1918) IP 공간 할당 을 계획하기위한 모범 사례가 무엇인지 알고 싶습니다 . 유무선. 내부 네트워크와 게스트 네트워크. * 나는 이것 자체가 개방형 질문 일 수 있음을 알고 있으므로 IPv6 답변과 비슷한 방식으로 입증되고 잘 계획된 계획에 대한 특정 참조 또는 예제를 찾고 있습니다. 제안 된 CIDR 블록은 공간이 할당 될 때 도움이됩니다.

물론 라우팅을위한 집계가 필요하며 ACL을 단순화하는 기능도 필요합니다. 직원, 계약자 또는 게스트 여부에 관계없이 모든 무선 사용자를 집계하는 것과 비교하여 유선 또는 무선과 같은 모든 직원 서브넷을 집계하려는 ACL과의 상충 관계가 있습니다.

우리는 반 소규모 회사이기 때문에 사설 네트워크를 다소 자유로이 무너 뜨 렸습니다.

Vlan 당 / 24 위치 당 / 16

혈당이 퍼져서 10/24 초를 건너 뜁니다. 블랜 번호는 세 번째 옥텟과 일치합니다. 위치는 10/16 초부터 순차적입니다.

즉

• 10.10.1.0/24-위치 A, 관리 계획 1

• 10.10.11.0/24-위치 A, 무선 Vlan 11

• 10.11.11.0/24-위치 B, 무선 VLAN 11

• 10.11.81.0/24-위치 B, SAN Vlan 81

• 10.11.101.0/24-위치 B, 유선 오피스 Vlan 101

블랜 예제 :

• 1-관리

• 2-무선 관리

• 11-무선 액세스

• 21-손님

• 31-모바일 기기

• 41-공장 장비

• 51-SAN

• 61-VoIP

• 71-유선 액세스

등등.

우리가 본 이점은 다음과 같습니다.

• / 16을 통해 전체 위치를 쉽게 참조 할 수 있습니다. 우리는 이것을 VPN ACL에 자주 사용합니다.

• 웹 필터링을 위해 장치 유형을 그룹화하기 쉽습니다.

• 다음 10/24 내의 Vlan은 이전 루트와 동일한 유형에 속합니다.

  • 예를 들어, 공장 장비 ... Vlan 31, 24/7 원격 액세스 권한이있는 특정 공급 업체의 경우 Vlan (32 또는 33 또는 34)을 최대 40 개까지 자체 Vlan에 제공했습니다. IP / ACE를 세분화하지 않고도 지원합니다. 제조 팀이 더 많은 장비를 투입해야하는 경우 VPN ACL을 업데이트 할 필요가 없습니다. 여기에는 Vlan 간의 액세스 ACL / ACE도 포함됩니다.

  • 또 다른 예 : SAN Vlan은 중복성을 위해 최소한 두 개를 사용합니다. 그래서 그들은 항상 81과 82입니다.

  • 마지막 예 : 무선 관리는 자체 Vlan, 2로 나뉩니다. WLAN 컨트롤러가 필요한 AP가 충분하지만 컨트롤러 예산이 없기 때문에이 작업을 수행합니다. 이 Vlan은 tftp 및 dhcp 옵션을 사용하여 중앙 구성 저장소에서 AP를 자동으로 구성하고 부팅하며 자동 부팅 할 수있는 다른 장비가 무선 구성을 가져 오기를 원하지 않습니다.

이 설정을 사용하면 IP를보고 해당 장비의 위치와 유형을 쉽게 알 수 있습니다. 이는 제한된 VPN 사용자의 경우 구성 파일에서 ACL / ACE가 적다는 것을 의미합니다. 또한 Vlan에서 IP가 부족하거나 트래픽을 더 분리해야 할 경우 확장을위한 호흡 공간이 있습니다. 우리는 소규모 회사이기 때문에 아직 3 자리 숫자로 구분되지 않았습니다. 충분한 성장 실.

IPv4가 오랫동안 사용되어 왔기 때문에 사람들이 IPv4 공간을 할당하기로 선택한 방법은 백만 가지입니다.

우리 (ISP)의 경우 순수 전송 링크 (일반적으로 / 30)에서 가능한 가장 작은 서브넷 크기를 사용하고 고객 측면에서 IPv4의 모든 사용자가 얼마나 짧은 지에 따라 요구 사항에 따라 달라집니다. 총괄 규칙은 모든 고객을 자신의 실체로 취하고 그에 따라 요구 사항을 수집해야합니다.

내부 RFC1918 항목과 관련하여 PUBLIC IPv4 공간을 언급하는 경우 물론 모든 확장입니다. 확장을위한 공간을 구축 할 수 있도록 할당 계획을 세우십시오 (예 : 건물에 50 명만 있으면됩니다 / 26). 다음 크기의 서브넷이지만 확장을 허용하기 위해 / 24를 제공하기 때문입니다.

또 다른 좋은 방법은 집계에 할당하는 것입니다. 즉, 10 층의 건물이있는 경우 건물에 / 20 (또는 그 이상)을 할당 한 다음 해당 층 / 20의 각 층 / 부서에 대한 서브넷을 할당 할 수 있습니다. 각 층의 모든 개별 서브넷이 아닌 나머지 네트워크에 / 20 만 알립니다.