Comment choisissez-vous votre adresse IP?

Dans la vie d'un administrateur système, viendra toujours un moment où un sous-réseau IP doit être défini. Que ce soit votre petit LAN domestique ou le WAN sans fin de l'entreprise où la folie se cache dans les profondeurs de routes inconnues, les adresses IP devront toujours être choisies, divisées et attribuées à un appareil, le méritant ou non. Et, alors que dans le «monde réel» de l'Internet public, vous devrez simplement obéir aux ordres de votre FAI, vous êtes libre de choisir votre chemin et votre destin ultime en ce qui concerne votre propre réseau privé.

Comme tout le monde le sait (ou devrait le savoir), le puissant RFC 1918 déclare que les adresses IP des réseaux privés ne peuvent tomber que dans trois grands blocs:

192.168.0.0/16
172.16.0.0/12
10.0.0.0/8

Quel est ton préféré?
Quelle taille choisissez-vous habituellement pour créer un sous-réseau, quel que soit le nombre d'appareils dont vous avez vraiment besoin pour vous y connecter?
Pensez-vous qu'il devrait être réduit au minimum, ou devrait-il être aussi grand et glorieux que possible?
Croyez-vous à la loi et à l'ordre des sous-réseaux "ronds" (/ 8, / 16, / 24), ou préférez-vous l'anarchie et le chaos rampant des sous-réseaux "non arrondis"?
Suivez-vous l'École sacrée de notre passerelle devrait être .1, le temple impie de No It should be.
Vous sentez-vous dans votre cœur que les serveurs devraient avoir des adresses «basses» et que les clients devraient utiliser des adresses «hautes»? Ou est-ce que seul le destin définira comment le serveur et le client seront appelés?
Utilisez-vous toujours (ou essayez-vous d'utiliser) les mêmes numéros de fin dans tous les sous-réseaux que vous gérez, afin que vous puissiez trouver votre passerelle et votre DNS à l'heure de votre grand besoin?
Croyez-vous au DHCP ou à l'adressage statique? Et avez-vous confiance en leur enfant hybride, DHCP With Reservations, même pour les machines non clientes comme les imprimantes réseau ou, que tous les dieux vous pardonnent, les serveurs?

"Take this and divide it; this is my 2^32 address space,
 which shall be endlessly fragmented for all your addressing needs,
 until IPv6 may finally come."

Je vénère à l'autel de 00001010/11111111. Les dieux seraient en colère si vous ne souhaitiez pas le plus grand des réseaux. Il permet la plus grande flexibilité et le moins de conflits avec les réseaux de la plèbe.

Je trouve qu'un joli / 24 est la taille parfaite pour la plupart des réseaux, vous avez de la place pour vous étendre, laissez les serveurs avoir une certaine marge de manœuvre, vous devez vous rappeler qu'ils ont des problèmes d'espace personnel comme nous tous.

La seule fois où je passe les cellules cérébrales qui m'ont été accordées par les dieux du réseau et des serveurs à sous-réseauter beaucoup plus loin, c'est pour ces équipements qui pensent qu'ils sont meilleurs que tout le monde - routeurs, commutateurs, pare-feu que je regarde VOUS! Ceux que j'essaie de limiter à un / 25 ou moins, sinon leur orgueil commencerait à se répandre sur les serveurs, et vous ne pouvez tout simplement pas laisser les serveurs se déranger. De mauvaises, de mauvaises choses se produisent si vous laissez cela continuer, les fichiers commencent à disparaître, les services tombent en panne, pas bon je vous le dis, pas bon du tout! Pour garder l'équipement de réseau en ligne cependant, nous laissons les routeurs / pare-feu utiliser les premières adresses utilisables dans un sous-réseau (pourrait être 0,1 ... pourrait être 0,33 - dépend de votre masque de réseau) qui les maintient normalement en ligne.

"Tu ne mélangeras jamais clients et serveur, car si tu le fais, il y aura une grande bataille, et tu ruineras ceux qui croient pouvoir les contrôler" -BOFH 20:15

"Car si tu laisses l'accès sans entraves non lavé à tes ressources les plus précieuses, tu seras jeté du temple de nos Dieux, et marqué - Utilisateur" -BOFH 16: 2

Il n'y a aucune bonne raison d'avoir un serveur DHCP sur un réseau de production - construction du serveur oui, production NON. Les réseaux clients, ont toujours DHCP, réservations là où vous en avez besoin (ou sont requis par votre auditeur!)

"Vous qui contrôlez l'allocation du réseau, assurez-vous que cela convient à lui et à personne d'autre" -BOFH 1: 1

... traduit oui utilisez les mêmes adresses d'hôte où vous pouvez ... tout sera plus facile.

Outre toutes les suggestions judicieuses données ici, une que j'ai trouvée utile: pour plus de confort, évitez d'avoir le même réseau que votre bureau ou d'autres réseaux locaux auxquels vous pourriez avoir à vous connecter (à distance).

Cette astuce a considérablement amélioré ma vie VPN: par exemple, avoir le même sous-réseau peut être ennuyeux alors que 192.168.0.1pourrait être votre routeur domestique et votre serveur distant que vous essayez de réparer. Ensuite, vous devez ajouter un itinéraire manuel via l'interface VPN, etc.

Pour tout le reste, il y a Mastercard.

Ma solution d'adressage préférée actuelle pour une configuration multi-sites.

10.DATACENTER.RACK.RACKU + 100

Chaque rack a un / 24, que je termine sur une paire de commutateurs / routeurs principaux.

C'est assez fortement axé sur les détails, mais je peux en déduire beaucoup simplement en regardant une adresse IP.

Avec une paire de routeurs principaux, j'ai deux routes par défaut flottantes .1 et .2. (HSRP / VRRP) Les adresses IP réelles de l'interface sont .3 et .4.

Route par défaut impaire vers .1 Route par défaut entre nous vers .2

J'ai mis une plage DHCP à 200-240 pour effectuer des tests PXE avant que l'IP officielle ne soit attribuée.

10.xxx; l'anarchie et le chaos rampant (/ 22 est en fait un putain de sous-réseau utile, ni trop grand ni trop petit, alors gardez le même quelle que soit la taille, le deuxième octet définit un emplacement principal, le troisième définit un sous-emplacement); la passerelle est toujours 1, les serveurs commencent à 11 (avec le DNS principal étant 11), puis les clients (à partir de 10.x.1.x / 10.x.5.x / etc en utilisant un sous-réseau / 22), enfin les imprimantes et autres appareils (à partir de 10.x.3.x, 10.x.7.x, etc.); les serveurs ayant les mêmes rôles dans chaque sous-réseau ont la même adresse lorsque cela est possible; DHCP pour les PC clients, statique pour tout le reste, réservations utilisées pour certains clients "spéciaux" où il existe des applications héritées et des modèles de sécurité hérités qui reposent sur une adresse IP spécifique.

C'est à peu près ça. :)

La taille du sous-réseau doit bien sûr être choisie en fonction de la taille du réseau, avec suffisamment de place pour une expansion future, car le réadressage est toujours une grande difficulté. Cela dit, mes sous-réseaux préférés sont ceux qui commencent par 192.168. et 10: je n'en supporte vraiment pas 172. et bien sûr cela n'a aucune raison rationnelle: c'est purement une préoccupation esthétique.

Je préfère les sous-réseaux «ronds», car avec eux, il est beaucoup plus facile de se souvenir des masques de sous-réseau, des réseaux et des adresses de diffusion, et de savoir à quel sous-réseau appartient une adresse.

J'ai tendance à choisir des sous-réseaux de classe C 192.168.X pour les petits réseaux où 254 adresses suffiront sûrement; Je suis généralement assez conservateur ici et je choisis les plus simples: 192.168.0 et 192.168.1; J'aime aussi beaucoup 192.168.42.0/24, pour des raisons évidentes .

Pour les grands réseaux, je suis généralement le même principe: en utilisant 10. adresses, vous pouvez avoir 256 sous-réseaux de 65534 hôtes, ou 65536 sous-réseaux de 254 hôtes: plus que suffisant pour n'importe quel réseau, sans avoir besoin de fantaisie / 13, / 28 ou / 27 sous-réseaux. Il peut bien sûr toujours y avoir des exceptions, mais c'est ma règle générale.

Je crois fermement à l'ordre en matière de gestion de réseaux et de systèmes, car les systèmes informatiques ont tendance à être chaotiques dans leur essence (comme dans la théorie du chaos): la plus petite erreur peut avoir des résultats imprévisibles. Dans l'adressage réseau, j'essaie de toujours utiliser les mêmes adresses de fin pour les mêmes rôles; voici ma répartition typique d'un réseau de classe C:

.1 est la passerelle par défaut.
.11 et .12 (et peut-être .13, .14 et ainsi de suite) sont des contrôleurs de domaine, des serveurs DNS et WINS (si utilisés).
.25 est le serveur de messagerie.
.80 est le serveur Web ou le serveur proxy (s'il y en a un).

J'utilise habituellement des adresses "basses" pour les serveurs et des adresses "hautes" pour les clients; les premiers sont toujours statiques, tandis que les seconds sont attribués via DHCP. Je suis un grand fan du DHCP et du DNS dynamique pour les clients, mais je ne l'utiliserais jamais pour les serveurs et autres systèmes "fixes", comme les imprimantes et scanners réseau.

Si le réseau est plus grand et plus segmenté, j'aime mettre les serveurs sur un sous-réseau et les clients ailleurs; les sous-réseaux client (et même serveur) peuvent bien sûr être plus d'un, si le réseau est suffisamment grand pour nécessiter des VLAN.

J'aime 10. C'est agréable et court, et offre une énorme quantité d'espace pour l'expansion.

Après 10, je travaille habituellement en / 16, mais je les planifie en / 8 (qui sont généralement de bonne taille pour une unité commerciale). Travailler en 8 est agréable car (à moins que votre entreprise ne soit massive), vous pouvez simplement affecter une unité commerciale 10.1.0.0 et vous n'aurez pas à vous soucier de leur manque d'espace de si tôt. Évidemment, si vous avez plus de 255 unités commerciales, ymmv.

J'utilise généralement 1 pour la passerelle, simplement parce que cela facilite la mémorisation. Quoi qu'il en soit, tant que vous utilisez le même numéro sur chaque sous-réseau, cela n'a pas d'importance. À part la passerelle, je ne réserve pas d'ips spécifiques à des types de serveurs spécifiques.

Habituellement, je vide tous les serveurs sur leurs propres sous-réseaux du ghetto, donc je peux garder un œil sur eux et m'assurer qu'ils ne se mélangent pas avec des bureaux de merde. Si je dois les faire mélanger, alors, oui, je réserve les 50 premières adresses pour les serveurs / tout ce qui a besoin d'une adresse IP statique. Encore une fois, c'est juste une question de moins de frappe. Les utilisateurs de bureau se soucient rarement de leur adresse IP et vous n'avez pas souvent besoin de la saisir.

J'aime DHCP (nous avons des tonnes d'ordinateurs portables), mais vous devez coupler cela avec des adresses MAC enregistrées, ou n'importe quel shmuck de la rue peut entrer et se connecter et c'est un non non. Les MAC ne sont pas sécurisés, mais ils sont au moins aussi bons que la statique, en ce qui concerne la sécurité. Je n'utilise pas de DHCP "enregistré"; Je ne suis pas une personne DHCP Windows. Si je veux avoir des statiques et des dynamiques sur le même sous-réseau, je viens de définir la plage DHCP sur 51-255 ou similaire, et de mettre la statique en 1-50.