Составление IP-плана для малого предприяния
Недавно помогал одному системному администратору настраивать маршрутизатор одной не безызвестной компании. И решил до прихода к нему получить детальное техническое задание, чтобы не решать массу параллельных вопросов по приходу и не оставить человека обиженным. Но в очередной раз столкнулся с тем, что у начинающих сисадминов странное понимание топологии своей сети и то, что они не доверяют таким проверенным механизмам как DHCP и стремятся использовать статические IP-адреса. По этому когда я запросил у человека IP-план сети он развёл руки и сказал, что нет такого и, что у него везде всё руками прописано. Забавно, что даже имена серверов были внесены в файлы hosts на компах руками.
По этому я бы хотел написать небольшую заметку о том как я развожу локальные сети и намечаю IP-план. Для начала необходимо определить будут ли использоваться VLAN, есть ли необходимость в дополнительной изоляции подсетей, будут ли использоваться устройства без выхода в интернет и нужны ли дополнительные управляемые коммутаторы. Уже после этого можно строить IP-план. Он пригодится даже для маленьких компаний, в которых нет необходимости жестких ограничений и нет параноидальной системы безопасности. Вот о таких сетях я и хочу поговорить.
В небольших компаниях редко используется два провайдера, по этому подойдёт практически любой роутер. В нашем же случае было два провайдера и около полусотни сетевых устройств. Ранее переключение осуществлялось ручным перетыканием кабеля локальной сети в один из двух роутеров. Также использовалось несколько неуправляемых свитчей соединённых грозью. Всё это хозяйство заменили Cisco 1911 с дополнительной сетевой четырёхпортовой платой и Cisco Catalist 2960-48. После монтажа всё приобрело красивый и эстетичный вид.
Но вернёмся к IP-плану. Так как устройств не много, то я выделю под неё подсеть класса C состоящую из 256 адресов. Для наглядности я всё сведу в таблицу.
| Группа IP | Назначение |
|---|---|
| 192.168.*.1 | Шлюз. |
| 192.168.*.2 | Свитч ядра сети. |
| 192.168.*.3 | Сервер Hyper-V. |
| 192.168.*.4-19 | Физические устройства, серверы, точки доступа. |
| 192.168.*.20-29 | Виртуальные серверы. |
| 192.168.*.30-49 | IP-телефония и/или встраиваемые устройства с выходом в интернет. |
| 192.168.*.50-100 | Внешние пользователи PPTP и/или L2TP. |
| 192.168.*.101-191 | Внутренние пользователи получающие адреса по DHCP. |
| 192.168.*.192-249 | Принт-серверы, сетевые МФУ, иные сетевые устройства которым запрещён выход в интернет. |
| 192.168.*.250-254 | Резерв для дополнительных свитчей и роутеров без доступа к интернету. | 192.168.*.255 | Бродкастовый адрес. |
Для небольшой компании подобного IP-плана более чем достаточно. В случае если компания содержит большое количество сотрудников, которых необходимо «развести» по разным изолированым подсетям, или есть серверная ферма, или большое количество удалённых пользователей, то будет совершенно иной IP-план. В нём нужно будет выделить несколько VLAN в которых будут работать эти устройства и компьютеры.
Во время написания статьи друзья спрашивали почему подсеть для устройств не имеющих выход в интернет имеет такую странную адресацию от 192 до 255. Дело в том, что при написании ACL для Cisco сложно оперировать диапазонами IP-адресов. Может быть у меня нет такого опыта, но задать диапазон я могу используя object-groups и это сразу уменьшает читаемость кода. Так же можно было добавить 50 запрещающих правил, которые могут никогда не сработать при типовой настройке сети. И я банально выделил подсеть из 64 IP-адресов которым будет запрещён доступ в интернет всего одной строчкой.
deny ip 192.168.*.192 0.0.0.63 any
Возможно я продолжу описание подобных вопросов в качестве заметок для заказчиков админов, дабы не обьяснять на пальцах целый час, что же я от них хочу получить.
Отредактировано:2020-09-07 06:02:28
И в такой маленькой компании есть отдельный сисадмин? Если честно, я не вижу, чем его можно занять, когда сеть работоспособна и настроена. Не проще ли и дешевле отдать сисадминство на аутсорс?