Meilleure pratique pour attribuer des plages IP privées?

14

Est-il courant d'utiliser certaines plages d'adresses IP privées à certaines fins?

Je commence à étudier la configuration de systèmes de virtualisation et de serveurs de stockage. Chaque système dispose de deux cartes réseau, une pour l'accès au réseau public et une pour la gestion interne et l'accès au stockage.

Est-il courant que les entreprises utilisent certaines gammes à certaines fins? Si oui, quels sont ces domaines et objectifs? Ou est-ce que tout le monde le fait différemment?

Je ne veux tout simplement pas le faire complètement différemment de la pratique standard afin de simplifier les choses pour les nouvelles embauches, etc.

networking virtualization routing storage-area-network Tauren
la source
Je modifierais cela car il y a plus de chances qu'il y ait plus de 254 appareils sur un étage que 254 étages dans un bâtiment, voir google.com/… . Donc, utilisez les 200 premières adresses du 3e octet pour le plancher, puis utilisez les 54 dernières adresses et l'octet restant pour les périphériques. Cela donne 254 * 54 appareils possibles. Imprimantes, postes de travail, ordinateurs portables, Internet des objets (IOT) (le mot de battage le plus galvaudé aujourd'hui, suivi de «gens», «technologie») [Grille-pain, interrupteurs d'éclairage, contrôleurs d'éclairage, cafetières.
Dennis

Réponses:

20

La plupart des systèmes que j'ai vus tentent de mapper les plages IP à une hiérarchie de composants géographiques et / ou système.

Un employeur avait tendance à utiliser:

10.building.floor.device(avec les VLAN de ressources non utilisateur utilisant 10.x.100.xto 10.x.120.x)

et

10.major_system.tier_or_subsystem.component

caelyx
la source
@caelyx: cela ressemble à une bonne approche que je pourrais utiliser. Merci!
Tauren
@Tauren - pas de soucis; heureux d'aider! Merci pour le vote positif :)
caelyx
1
Je modifierais cela car il y a plus de chances qu'il y ait plus de 254 appareils sur un étage que 254 étages dans un bâtiment, voir google.com/…. Donc, utilisez les 200 premières adresses du 3e octet pour le plancher, puis utilisez les 54 dernières adresses et l'octet restant pour les périphériques. Cela donne 254 * 54 appareils possibles. Imprimantes, postes de travail, ordinateurs portables, Internet des objets (IOT) (le mot de battage le plus galvaudé aujourd'hui, suivi de «gens», «technologie») [Grille-pain, interrupteurs d'éclairage, contrôleurs d'éclairage, cafetières. - Dennis vient d'éditer
Dennis
6

Une chose que je suggère est d'utiliser des plages privées sélectionnées au hasard dans le bloc 10.0.0.0/8 pour toutes vos adresses privées. Cela évite de nombreux problèmes, en particulier lors de la configuration de VPN entre les réseaux domestiques / partenaires et votre réseau d'entreprise. La plupart des routeurs domestiques (et de nombreuses configurations d'entreprise) utilisent 192.168.0.0/24 ou 10.0.0.0/24, vous passerez donc des heures à résoudre divers problèmes de connectivité lorsque vous essayez d'établir une connectivité entre deux réseaux privés.

Si, toutefois, vous avez choisi une plage aléatoire comme 10.145.0.0/16, puis un sous-réseau à partir de là, il est beaucoup moins probable que vous "heurtiez" une plage IP privée d'un partenaire commercial ou d'un réseau domestique.

rmalayter
la source
1
pour l'adressage de site, vous pouvez mettre en sous-réseau 10.0.0.0/24 et coder la longitude et la latitude dans l'octet de rechange. ;-)
The Unix Janitor
À moins que vos sites ne soient distants de moins d'un degré. Nous avions deux bureaux à quelques pâtés de maisons à un moment donné, qui sont à moins de 0,02 degrés l'un de l'autre en termes de lat / lon ;-)
rmalayter
1
Si c'est un problème (et c'est raisonnable), utilisez la troisième plage d'adresses IP privées: 172. (16-31) .0.0 / 16. La plupart des gens ne savent même pas que c'est là. Je ne l'ai vu que dans un seul endroit.
Dan Pritts
@DanPritts Rackspace utilise largement 172.16.0.0/12 pour l'hébergement et les serveurs cloud. Probablement à cause de son "obscurité". Comme avec 10.0.0.0/8, cependant, il est préférable de choisir des bits aléatoires de cet espace si possible pour éviter les collisions potentielles.
rmalayter
1
@RyanTM wow, je n'ai jamais lu le RFC de si près. Heureux de voir que ma propre conclusion basée sur une expérience douloureuse correspond en fait à la norme.
rmalayter
2

La RFC1918 détaille les 3 blocs IP réservés pour l'espace d'adressage privé. Les 2 communs sont:

  • 10.0.0.0 - 10.255.255.255 (préfixe 10/8)
  • 192.168.0.0 - 192.168.255.255 (préfixe 192.168 / 16)

Si vous configurez un réseau séparé pour le stockage, il serait probablement judicieux de choisir une plage IP similaire mais légèrement différente de celle que vous utilisez pour la mise en réseau régulière. La cohérence est bonne, mais l'utilisation de plages IP différentes vous permet d'être connecté aux deux réseaux simultanément, par exemple si vous avez besoin de rechercher quelque chose lors de la gestion avec votre ordinateur portable?

Nic
la source
Mon ordinateur portable obtient donc un numéro IP dans la plage 192.168.0.x de DHCP. Je pense que mon réseau de stockage devrait être dans la gamme 10.xxx pour les garder vraiment séparés. Est-ce une pratique courante, ou de nombreux endroits utilisent-ils quelque chose comme 192.168.1.x pour leur stockage?
Tauren
2
172.16-31 / 16 aussi =) Peu utilisé cependant.
Antoine Benkemoun
2
@Tauren: 192.168.1.x / 24 est aussi distinct de 192.168.0.x / 24 que 10.0.0.x / 24. Il ne peut pas être "plus" ou "moins" séparé. Ils sont sur différents sous-réseaux, point
final
C'est vrai pour les ordinateurs, mais pas pour les personnes qui y travaillent. Ne pas confondre les membres du personnel est une bonne chose, et les normes de dénomination y contribuent largement.
pboin
@pulegium: oui, je comprends qu'ils sont en fait séparés, mais je voulais dire dans le "sens humain", comme le mentionne @pboin.
Tauren
2

Il y a autant de consensus sur l'adressage IP que sur les noms de serveurs (voir ce site ad naseum), cela se résume à des préférences personnelles - généralement du premier gars à tout configurer!

Non, il n'y a pas de manière appropriée de le faire - choisissez simplement l'une des 3 gammes RFC1918 (cheers @Nic Waller), divisez-la en sous-réseaux (traditionnellement / 24s mais / 23s deviennent plus populaires). Attribuez un des sous-réseaux pour l'accès public et un pour les réseaux privés - travail effectué. Vraiment, la partie difficile est la configuration des VLAN et des ACL.

Personnellement, je préfère utiliser la plage 10.xxx car je peux la taper plus rapidement que les deux autres, mais cela ne fait vraiment aucune différence à moins que vous ayez besoin de la plus grande taille (192.168.xx vous donne 256 sous-réseaux de 254 adresses IP tandis que 10.xxx vous donne 65 536).

Je ne suggérerais pas de mélanger les plages, par exemple en ayant 192.168.xx pour privé et 10.xxx pour public, techniquement cela ne devrait pas avoir d'importance mais ce serait très déroutant.

Jon Rhoades
la source
@Jon, merci pour vos suggestions. cela aide à confirmer la plupart de ce que je pensais être le cas.
Tauren
Comment la gamme 10.xxx peut-elle être publique? S'ils sont attribués à des appareils publics accédant au net via un VPN? (Semble le seul moyen)
Dennis