创意IP/子网/dns方案

Question

我只管理了相当小的网络（<=25 个节点）。通常我把网关 .1，dns/proxy 设置为 .10，邮件设置为 0.20，打印机设置为 0.30-39 等等。我从不直接使用 IP 地址，因为 DNS 主机名显然是更好的方法，但我喜欢在从头开始构建网络时有一个清晰的模式/布局/设计。

我的 DNS 映射也有一个简单的命名模式/布局。例如，我所有的设备都有两个名称；一个基于角色的正式名称（dc01、mail02 等）和一个非正式名称。没有什么花哨的，但真正简单且易于管理。

我试图找出一个更直观/更有创意的 IP/子网/DNS 方案（如果有更好的东西）。我相信其他人有更直观的方案，具体取决于网络目标等。我正在使用的网络仍然很小，但我有许多设备需要处理。

我正在寻找一种通用模式或方法来分配 IP 地址（范围/类）、dns 名称和包含 4-5 个要点的子网：

1. 网络服务（邮件、文件、代理等）
2. 软件开发（环境 - dev/staging/prod，
3. 媒体（流媒体、大文件传输、存档）
4. 虚拟服务器/桌面
5. 网络电话

我从未直接使用 VoIP，但这是未来需要考虑的事情。

---

总的来说，我从每个人那里得到了一些非常好的想法。希望我能给出更多的选票/接受的答案。感谢您的回复！

Answer 1

把事情简单化。尽可能简单，但仍然考虑到安全性和灵活性。将抽象设计成事物，这听起来并不简单，但实际上是通向简单本身的途径。

至于子网，这很常见：

• 一个子网上的用户
• 另一位客人
• 服务器在自己的子网上
• VOIP 本身也是。

根据需要过滤通过每个子网的流量。可能使用 VLAN。我希望您非常熟悉您选择的网络设备供应商的 CLI。

至于 DNS，您不会喜欢这个，但是……使用适合您的任何方式。就个人而言，我喜欢给服务器一个完全抽象的主机名，与其服务无关。然后我对主机名进行 CNAME 服务。这样迁移服务就不会引起 DNS 更改问题。或者至少，没有那么多。我也更喜欢在主机名前加上 av 来命名虚拟服务器。

例子：

• 新的数据库服务器名为 Athena。它将永远被命名为雅典娜。
• Athena 是 CNAMED 的，因为它的作用是：SQL08ENT-CRM、SQL08ENT-AEGIS（安全系统）、SQL08ENT-DOCMAN。也许也是基于地理的 CNAMED。或者主机名中可能包含地理位置。雅典娜-ATL。雅典娜-悉尼。什么都行。
• 服务器位于具有默认拒绝策略的服务器子网上。它包含来自正确子网的正确流量。

保持。它。简单的。（但功能性）

Answer 2

我曾在一个类似规模的组织工作（我们有一个 /26），出于超出我的原因，我认为细粒度的 IP 分配方案对运营完整性至关重要。网关必须是 0.1，打印机必须在 0.2 和 0.12 之间，服务器必须在 0.13 和 0.20 之间等等。我们甚至将文档保存在各个主机上。

这是一个巨大的痛苦。无论我多么勤奋，我似乎永远无法保持任何文档的最新状态。我们没有任何 DNS 服务也无济于事，因此使用这个 IP 分配方案文档是我们唯一拥有的“命名”服务（奇怪的是，这使它看起来比实际更不可或缺）。

对于你这样规模的网络，我会推荐一些东西（其中大部分你已经做过了）：

• 简单- 您无需管理数百台主机。您的解决方案的复杂性应该反映环境的复杂性。抵制过于聪明的诱惑。以后你会感谢自己。

  1. 占用您的可用 IP 空间，并通过 DHCP 将 60% 分配给您的客户端。设置某种动态 DNS 服务，这样您就不必再次查看该死的 IP 地址。忘记跟踪它们。利润。

  2. 为您管理的IP 地址保留其他 30% ：服务器、打印机、网络设备、测试服务。等。使用 DNS 来记录这一点。在我看来，没有比使用 Excel 电子表格（您必须经常参考和维护）刻意跟踪所有这些“管理员管理的”IP 地址（而不是 DHCP 管理的 IP 地址）更浪费时间的了，当您可以努力支持自我记录和更有用的 DNS 解决方案时。

  3. 将地址的最后 10% 保留在未使用的 IP 地址空间顶部。一点储备永远不会受到伤害。

  4. 根据您认为适合您的环境来调整比率。有些环境将有更多的客户端，有些将是“服务器”（即“管理员管理的”）繁重的。

• 网络服务（邮件、文件、代理等）
• 软件开发（环境 - dev/staging/prod，

这些都属于“管理员管理的”IP 空间类别。

• 媒体（流媒体、大文件传输、存档）

在我看来，这与子网划分无关，而与网络监控有关。

• 虚拟服务器/桌面

服务器是“管理员管理的”，台式机（即客户端机器）应该是“DHCP 管理的”。

• 网络电话

物理上离散的网络将是理想的……但那是不现实的。下一个最好的事情是单独的 VLAN 和子网。这是小型网络中唯一一个我真正觉得需要隔离流量的地方（可公开访问的内容除外）。

Answer 3

对于 IP 分配

我的建议是将所有内容都放在 10.0.0.0/8 子网下，使用以下结构： 10. site. division.device

• site 是物理位置或逻辑等效位置（例如纽约办公室、新泽西办公室、DR 设施、开发环境）。
• division是对您有意义的逻辑细分。例如
  0 => 交换机/路由器
  1 => 管理员，2 => 用户
  3 => VOIP
  4=> 访客
• devices 是单个设备（PC、服务器、电话、交换机等）

这里的想法是您可以通过地址轻松确定设备是什么以及它在哪里：10.2.1.100 是“站点#2”的管理员工作站。

此模型源自基于类的 IP 分配：A 类 (/8) 是您的企业。每个位置都获得一个 B 类 (/16)，一个位置的每个逻辑分区为其设备获得一个 C 类 (/24)。
对于“除法”级别使用大于 /24 的值是可能的（有时是可取的），您当然可以这样做：从 /17 到 /24 的任何东西通常都是使用此方案的公平游戏。

对于 DNS 名称

我的建议是遵循与我上面描述的 IP 分配类似的方案：

• 一切根植于 mycompany.com
• 每个站点 (/16) 都有自己的sitename.mycompany.com子域。
• 逻辑部门在站点内可能有一个（或多个）子域，例如：
  • voip.mycompany.com（与设备喜欢tel0000.voip.mycompany.com，tel0001.voip.mycompany.com等）
  • switches.mycompany.com
  • workstations.mycompany.com （可能进一步细分为管理员、用户和访客）
• 设备应该有有意义的名称。例如：
  • 为电话命名，以便您可以根据 DNS 名称查看它们振铃的分机。
  • 根据主要用户命名工作站。
  • 清楚地识别“访客”IP 地址。
  • 名称服务器，以便您可以分辨它们是什么/它们做什么。
    这可以通过使用“无聊”的名称（www01、www02、db01、db02、mail等）或通过公布命名方案并坚持使用来实现（例如：邮件服务器以岩石命名，Web 服务器以树命名，数据库服务器是以画家的名字命名）。
    新人更容易学习无聊的名字，酷的命名方案更有趣。随你挑。

杂项笔记

关于虚拟服务器：
将它们视为物理机器（按部门/用途而不是根据它们是“虚拟”的事实来分隔它们。为管理程序/VM 管理网络单独划分。
这似乎很重要现在让您知道一个盒子是虚拟的还是物理的，但是当您的监控系统说“嘿，电子邮件已关闭！”您会问的问题是“哪些机器与电子邮件有关？”，而不是“哪些机器与电子邮件有关？”虚拟和物理是？”。
请注意，您不要需要识别机器是否是万一虚拟或物理管理程序主机炸毁的一条可行之路，但是这是你的监控系统，不是你的网络架构的挑战。

关于 VOIP：
VOIP（特别是星号）是“安全漏洞”的同义词。把你所有的 VOIP 东西都放到它自己的子网和它自己的 VLAN 上，不要让它靠近任何敏感的东西。
我在去年看到的每部 VOIP 电话都支持 VLAN 隔离（实际上它们都支持语音和数据 VLAN，因此您仍然可以将电话用作桌面以太网连接的通路）。充分利用这一点 - 如果/当您的 VOIP 环境遭到黑客攻击时，您会很高兴。

关于规划和文档：
在开始分配地址和 DNS 名称之前，先在纸上画出您的网络。事实上，先用铅笔在一张大纸上画出它。
犯很多错误。
随意擦除。
咒骂流利。
一旦您停止诅咒和擦除至少 10 天，就可以将图表放入 Visio/Graffle/其他电子格式作为您的官方网络图表。保护好这张图。在您添加和删除设备、发展您的组织和修改您的网络结构时，保持它的至高无上的正确性。
当您必须进行更改、向新管理员解释网络或解决神秘故障时，此网络图将是您最好的朋友。