我只pipe理相当小的networking(<= 25个节点)。 通常我把网关.1,DNS /代理为.10,邮件为.20,打印机为.30-39等等。 我从不直接使用IP地址,因为DNS主机名显然是更好的方式,但是我从头开始构buildnetworking时,希望有一个清晰的模式/布局/devise。
我的DNS映射也有一个简单的命名模式/布局。 例如,我的所有设备都有两个名字; 一个基于angular色的正式名称(dc01,mail02等)和一个非正式的名字。 没有什么奇特的,但真正简单和易于pipe理。
我试图找出一个更直观/创造性的IP /子网/ DNSscheme(如果有更好的东西)。 我相信其他人有更直观的scheme取决于networking目标等。 我正在工作的networking仍然很小,但我有许多设备可以与之抗衡。
我正在寻找一种通用的模式或方法来分配IP地址(范围/类别),DNS名称和子networking,包括4-5个主要点:
我从来没有直接与VoIP合作,但是这是未来需要考虑的问题。
总的来说,我从每个人都得到了一些很好的想法 希望我能给出更多的投票/接受的答案。 感谢您的回应!
把事情简单化。 尽可能简单,但仍然考虑到安全性和灵活性。 将抽象概念devise成事物,听起来并不简单,事实上却是简单化的途径。
至于子网,这是相当普遍的:
根据需要过滤每个子网的stream量。 可能使用VLAN。 我希望你非常熟悉你select的networking设备供应商的CLI。
至于DNS,你不会喜欢这个,但是…使用任何适合你的东西。 就我个人而言,我喜欢给服务器一个完全抽象的主机名,与服务无关。 然后我将CNAME服务转换为主机名。 这样迁移服务不会导致DNS更改头痛。 或者至less,不是那么多。 我也更喜欢用主机名前缀的av来命名虚拟服务器。
例子:
保持。 它。 简单。 (但function)
我曾经在一个类似规模的组织工作(我们有一个26岁),由于我无法理解的原因,这种权力被认为是一种细粒度的知识产权分配scheme,对于操作的完整性至关重要。 网关必须是.1,打印机必须在.2和.12之间,服务器在.13和.20之间等等。 我们甚至保存了单个主机上的文档。
这是屁股巨大的痛苦。 无论我是多么勤奋,我似乎永远不会保留任何文件。 这对我们没有任何DNS服务没有帮助,所以使用这个IP分配scheme文档是我们唯一的“命名”服务(以一种奇怪的方式,使它看起来比实际上更不可或缺)。
对于你的大小的networking,我会推荐一些东西(其中大部分已经完成):
简单 – 你不pipe理数百个主机。 您的解决scheme的复杂性应该反映环境的复杂性。 抵制诱惑过于聪明。 稍后你会感谢你。
把你可用的IP空间,并通过DHCP给你的客户60%。 设置一些types的dynamicDNS服务,所以你永远不必再看一个该死的IP地址。 忘记跟踪他们。 利润。
为您pipe理的IP地址另外保留30%:服务器,打印机,networking设备,testing服务。 使用DNS来logging这个。 在我看来,通过使用Excel电子表格(您必须经常参考和维护),不必花费更多的时间浪费时间来跟踪所有这些“pipe理员pipe理的”IP地址(而不是DHCPpipe理的IP地址) ,当你可以把这个努力,以支持自我logging和更有用的DNS解决scheme。
将最后10%的地址保留在未使用的IP寻址空间的顶部。 有一点储备永远不会伤害。
根据您的环境调整比例。 有些环境会有更多的客户端,有些则会是“服务器”(即“pipe理员pipe理”)。
这些都属于“pipe理员pipe理”IP空间的范畴。
在我看来,这与子网划分以及与networking监控有关的一切无关。
服务器是“pipe理员pipe理的”,桌面(即客户机)应该是“DHCPpipe理的”。
一个物理上离散的networking将是理想的… 但这是不现实的。 下一个最好的事情将是一个单独的VLAN和子网。 这是我认为需要隔离stream量的小型networking中唯一的一点(除了可公开访问的东西外)。
对于IP分配
我的build议是将所有东西放在10.0.0.0/8子网下,使用以下结构:10. site 。 division 。 device
site是一个物理位置或逻辑等价物(如纽约办事处,新泽西州办公室,DR设施,开发环境)。 division是对你有意义的逻辑细分。 例如 device是个人设备(PC,服务器,电话,交换机等) 这里的想法是,您可以通过地址轻松确定设备是什么以及它在哪里。10.2.1.100是“站点#2”的pipe理员工作站。
这个模型来源于基于类的IP分配:A类(8)是你的企业。 每个位置都获得一个B类(/ 16),并且每个位置的逻辑分区都会为其设备获取一个C类(/ 24)。
有可能(有时候也希望)使用大于/ 24的比“/ division”级别更大的东西,你当然可以这样做:从/ 17到24的任何东西通常都是公平的。
对于DNS名称
我的build议是按照类似的方式来执行上述的知识产权任务:
mycompany.com sitename.mycompany.com子域。 voip.mycompany.com (使用像tel0000.voip.mycompany.com , tel0001.voip.mycompany.com等设备) switches.mycompany.com workstations.mycompany.com (可能进一步分为admin,user和guest) www01 , www02 , db01 , db02 , mail等)或者通过颁布命名scheme并坚持下来来实现(例如:邮件服务器以岩石命名,web服务器命名为树,数据库服务器是以画家的名字命名的)。 杂项说明
关于虚拟服务器:
把它们看作是物理机器一样(把它们按部门/目的分开,而不是由于它们是“虚拟”的事实)。为Hypervisor / VM Administrationnetworking分开一个部门。
现在看来重要的是要知道一个盒子是虚拟的还是物理的,但是当你的监控系统显示“嗨,电子邮件已closures! 你会问的问题是“哪些机器与电子邮件有关?”,而不是“哪些机器是虚拟的,哪些是物理的?”。
请注意,如果虚拟机pipe理程序主机发生故障,您需要一种实际的方法来识别虚拟机或物理机是否是虚拟的或物理的,但是这对您的监控系统而不是您的networking体系结构是一个挑战。
关于VOIP:
VOIP(特别是星号)是“安全漏洞”的同义词。 把你所有的VOIP东西都放到自己的子网和它自己的VLAN上,不要让它靠近任何敏感的东西。
我去年见过的每个VOIP电话都支持VLAN隔离(实际上它们都支持语音和数据VLAN,因此您仍然可以使用手机作为桌面以太网连接的直通)。 利用这一点 – 如果/当你的VOIP环境被黑客入侵,你会很高兴。
关于规划和文件:
在开始分配地址和DNS名称之前,在纸上绘制您的networking。 事实上,先用铅笔画在大纸上。
犯了很多错误。
消除宽松。
诅咒stream利。
一旦你停止诅咒和擦除至less10天,是时候把图作为你的官方networking图Visio / Graffle /其他电子格式。 保护这个图。 当您添加和移除设备,扩大您的组织,并修改您的networking结构时,请保持它的最神圣的正确性。
当你必须做出改变时,这个networking图将成为你最好的朋友,向新的pipe理员解释networking,或者解决一个神秘的故障。