web-dev-qa-db-ja.com

ヒントと提案IPアドレスの再アドレス指定?

こんにちはserverfaultUniverse、

私の進化し拡大しているローカルエリアネットワークは、現在クラスCアドレスを使用しています。私のネットワークは、サイト/場所に応じて複数のサブネットで構成されています。

192.168.1.xはサイトHQです
192.168.5.xはセカンダリサイトです
192.168.10.xは3番目であり、以下同様です。

簡単に言えば、私はこのネットワーク設計を、12人で始め、現在300人を超えるフルタイム/パートタイムの従業員がいる会社を辞めた前の管理者から継承しました。クライアントVPNアクセスはまだありません。ただし、サイト間のVPN設定はあります。

編集-私の現在の設定と将来の計画に関する詳細を含めるには:

  • メインサイトとセカンダリサイト(サブネット)には25台の物理サーバーがあります。ブランチサイトには5つあります(各ドメインコントローラー)。したがって、合計すると、これは今後3年間で約50%増加すると予想されます。

  • 現在、WebサーバーとDominoWebメールサーバーが公開されています。 DMZ、Client Access VPN、およびSite to SiteVPN用のCiscoASAを購入して、既存の既製(Linksys)VPN /ルーターソリューションを置き換えました。私が目にする唯一の変更は、DominoをExchange(OWA)に置き換えることであり、インターネット上でアクセス可能なCiscoVPNサーバーを追加しようとしています。

  • 合計で、メインルーターからのDHCPは、メインサーバーと同じサブネットであるメイン192.168.1.xサブネット上のクライアントワークステーションに150個のIPをリースしています。他のサブネット上の残りのサイトの複数のサブネット上の約100のIP。

  • 管理「ネットワーク」(HP ProLiant iLO)は、メインの1.xサブネット上にあります。

  • ISCSI SANまたはVoIPを実装する当面の計画はありませんが、これらは将来的に可能性が高いです。
  • 私たちのMFP(プリンター)はすべて静的IPであり、アドレス変更が発生した場合はおそらく再マッピングする必要があります。
  • ゲスト/訪問者にゲストアクセスWiFiを追加したい。
  • ただし、クライアントアクセスVPNは優先順位のリストの一番上にあります。

次のようになります。192.168.1.xは、アドレス10〜40を使用するサーバーで構成されます。40〜50を使用するプリンター。ワークステーション50〜200。200〜250を使用するiLO管理アドレス。

私の質問は、Cisco ASAを介したネットワークへの外部クライアントアクセスの準備として、192.168.1.xまたは192.168.0.xは企業にとってあまり良い選択ではないことを理解しているため、HQサイトのアドレスを変更したいと思います。サブネット-LANに接続するときにホームユーザーのLANと競合する可能性があると思いますか?あなたの経験を通して、サブネットの再アドレス指定を進める方法について、誰か提案やヒントがありますか。このネットワークを設計した場合、10.0.0.0を使用していたので、それに合わせてネットワークを変更することに傾倒しています。ありがとうございました。

vpnciscoip-addresssubnetnetwork-design
4
RSXAdmin

これは、最初に頭から離れたものに飛び込むだけでなく、一歩下がってipデザインを再評価する良い機会だと思います。あなたがしていること:)

私が最初にすることは、各サイトの評価を行うことです。

  • サイトにサーバーはありますか?
    • 幾つ?
    • これは今後3年間で成長すると思いますか?
    • いくらですか?
  • サイトには公開サーバーがありますか?
    • 幾つ?
    • これが増えると思いますか?
  • サイトには何人のクライアントがいますか?
  • サイトには管理ネットワークがありますか?
  • 現場にはどのような技術が実装されていますか?新しいテクノロジーを実装する予定はありますか?
    • iSCSI?
    • VoIP?
  • このサイトは、セキュリティ認証に該当するものを扱っていますか?
    • HIPPA
    • SOX
    • PCI
  • 訪問者はいますか?
  • WIFIを実装していますか?
    • ゲストにWIFIへのアクセスを許可しますか?
  • クライアントアクセスVPNを許可しますか?

評価が完了したら、IPスペースの設計に進むことができます。

次に、必要に応じて10.0.0.0/8サブネットを取得します( Evan Andersonのすばらしい投稿をプラグイン

上記の項目のほぼすべてについて、ベストプラクティスは、独自のサブネットを与えることです(もちろん、サイズを決定するための主要な質問を除く)。

8
Zypher

VPNアクセスで私が遭遇したことの1つは、デフォルトとして10.0.1.xおよび10.0.0.xアドレスを使用するベンダーがたくさんあることです。私のネットワークでは、10.0.0.0/21がサーバーサブネットであるため、リモートアクセスのサポートが非常に困難です。もう一度やり直す必要がある場合は、サーバーアドレススペースを10ネットスペースの最上部(10.253.0.0/21など)に配置します。これは、デフォルト構成でそれほど高いベンダーを見たことがないためです。 VPNから絶対にアクセスできないことがわかっているリソースがある場合は、それらのリソースにIPスペースの下限を利用できます。

FWIW .. Cisco/Linksysが192.168。にあることを知っています。範囲とAppleは、10または172アドレススキームのいずれかを使用して空港を出荷します。

お役に立てば幸いです

1
Nick Zepp

覚えておく価値のあることの1つは、ほとんどのルーターがネットワークインターフェイスにセカンダリIPアドレスを持つことを処理できるため、すべてが一度に変更される「国旗制定記念日」は必ずしも必要ではないということです。

サーバーのアドレス空間をクライアントのアドレス空間から分離することをお勧めします。これにより、将来、ネットワークインフラストラクチャが分離される可能性が広がります。

サイトにVoIPを設置したら、電話とPCをどのように相互作用させるかを検討します。少なくともCisco電話は、PCを電話の後ろにピギーバックすることをサポートしており、スイッチポートをより効率的に使用できます。そして、Quincey Adamsが親切に指摘しているように、電話とPCは、taht構成で別々のVLAN上に置くことができます(そしてそうすべきです)。

それ以外は、ザイファーのポイントはすべて考慮する価値があります。

0
Vatine

HQ 10.1.1/8ネットワークを置き換えるために192.168.1/8サブネットに変更したいとします。あなたは次のことをします、

  1. 新しいサブネットを使用するようにDHCP構成を変更します
  2. HQ内の静的IP構成を手動で変更します(プリンターやサーバーなど)
  3. 新しいサブネットを他の場所にある既存の192.168/16アドレスに接続するルートを設定します

これはスターターです。さらに詳しく説明すると、何が省略されているかがわかります。

0
nik

これをチェックしてください

MySubnetPlanner

それはプロセスから退屈を取り除きます。

0
dbasnett