IPv4地址空间规划最佳实践

Question

Constantine最近提出的一个问题涉及到IPv6，但许多人还没有在IPv6方面处于领先地位，仍然负责新的或改进的IPv4部署。

我想根据这里直接给出的任何公共文档或指导来验证我自己的企业IPv4地址空间规划。解决方案在DC和校园之间有一些独特的需求，这是理想的考虑。

我特别希望了解为地区、城市、校园、建筑物、楼层、上行、广域网链路、环回等地区、城市、校园规划私有(RFC1918) IP空间分配的最佳实践。内部网络和客人网络。*我知道，这本身可能是一个开放的问题，所以我正在寻找具体的参考或例子，证明和深思熟虑的计划类似的方式，IPv6的答案。建议的CIDR块在分配空间时会很有帮助。

当然，对于路由的聚合是必要的，简化ACL的能力也是如此。ACL中有一种折衷的方式，就是希望聚合所有员工子网，例如，无论是有线还是无线还是聚合所有无线用户，不管他们是员工、承包商还是客人。

Answer 1

作为一家半小型公司，我们在某种程度上打破了我们的私人网络，就像这样：

每个Vlan的/24每个位置的/16

Vlans是分散的，每跳过10 /24s。Vlan号码与第三个八进制匹配。位置是顺序的，从10 /16s开始。

即

• 10.10.1.0/24 -地点A，管理Vlan 1
• 10.10.11.0/24 -地点A，无线Vlan 11
• 10.11.11.0/24 -地点B，无线Vlan 11
• 10.11.81.0/24 -地点B，SAN Vlan 81
• 10.11.101.0/24 -地点B，有线办公室Vlan 101

Vlan示例：

• 1-管理
• 2-无线管理
• 11 -无线接入
• 21 -客人
• 31 -移动设备
• 41 -工厂设备
• 51-SAN
• 61 - VoIP
• 71 -有线接入

诸若此类。

我们从中看到的好处是：

• 通过/16很容易地引用整个位置。我们经常将它用于VPN。
• 便于将设备类型组合在一起进行网页过滤。
• 下一个10 /24s中的任何Vlan都属于与前一个根相同的类型。
  • 例如，工厂设备..。Vlan 31，对于某些24/7远程访问的供应商，我们给他们自己的Vlan，32或33或34，最多40。他们的VPN访问将他们限制在他们支持的设备上，而不会在IP/ACEs上获得细粒度。如果制造团队需要投入更多的设备，我们不需要更新VPN ACL。这还包括在Vlans之间访问ACL/ACEs。
  • 另一个例子: SAN，我们至少使用其中两个来实现冗余。所以他们总是81岁和82岁。
  • 最后一个例子:无线管理被划分到它自己的Vlan，2.我们这样做是因为我们有足够的AP来需要WLAN控制器，但是控制器没有预算。此Vlan使用tftp和dhcp选项自动配置并从中央配置回购启动AP，我们不希望其他可以自动启动的设备拉出无线托拉斯。

这个设置为我们提供了一种简单的方法来查看IP并知道它所属的设备的位置和类型。这意味着在配置文件中为我们减少ACL/ACEs，特别是在有限的VPN用户上。如果Vlan中的in没有了，或者因为我们需要进一步隔离流量，我们也有扩展的空间。因为我们是一家小公司，我们还没有细分成三位数的位置编号。有足够的成长空间。

Answer 2

考虑到IPv4已经存在这么长时间了，人们选择分配IPv4空间的方式有上百万种。

对于我们( ISP)来说，我们在纯传输链路上使用最小的子网大小(通常是/30)，然后就客户而言，这取决于他们的需求，因为每个人在IPv4上的时间都有多短，这意味着你必须把每个客户作为他们自己的实体，并相应地收集他们的需求。

当然，如果您指的是公共IPv4空间，那么就内部RFC1918的内容来规划您的分配，这样您就可以在扩展的空间内构建(例如，一栋大楼只有50人，不要仅仅因为它是下一个大小的子网就给他们一个/26，而是可能给他们一个/24以允许扩展。

另一个好的做法是分配给聚合，也就是说，如果你有一个10层的大楼，将一个/20 (或更大的)分配给大楼，然后从该/20中为每个楼层/部门分配子网，这样你就可以只为网络的其他部分做/20广告，而不是为每一层的所有单独子网做广告。