क्रिएटिव आईपी / सबनेट / डीएनएस योजनाएं

मैंने केवल छोटे नेटवर्क (<= 25 नोड्स) प्रशासित किए हैं। आमतौर पर मैं गेटवे .1, डीएनएस / प्रॉक्सी को .10, मेल को .20, प्रिंटर पर .30-39 और इसी तरह आगे और आगे लगाता हूं। मैं कभी भी सीधे IP पतों का उपयोग नहीं करता क्योंकि DNS होस्टनाम स्पष्ट रूप से बेहतर तरीका है, लेकिन मुझे खरोंच से नेटवर्क बनाते समय एक स्पष्ट पैटर्न / लेआउट / डिज़ाइन पसंद है।

मेरी डीएनएस मैपिंग में एक सरल नामकरण पैटर्न / लेआउट भी है। उदाहरण के लिए, मेरे सभी उपकरणों के दो नाम हैं; भूमिका के आधार पर एक औपचारिक नाम (dc01, mail02, आदि) और एक अनौपचारिक नाम। कुछ भी नहीं फैंसी, लेकिन असली सरल और प्रबंधनीय।

मैं एक अधिक सहज / रचनात्मक आईपी / सबनेट / डीएनएस योजना (यदि कुछ बेहतर है) का पता लगाने की कोशिश कर रहा हूं। मुझे यकीन है कि दूसरों के नेटवर्क के उद्देश्यों और इस तरह के आधार पर अधिक सहज योजनाएं हैं। मेरा नेटवर्क, जिस पर मैं काम कर रहा हूं, वह अभी भी छोटा है, लेकिन मेरे पास इससे निपटने के लिए कई उपकरण हैं।

मैं एक सामान्य पैटर्न या कार्यप्रणाली की तलाश कर रहा हूं ताकि आईपी एड्रेस (रेंज / क्लासेस), डीएनएस नाम और सबनेट नेटवर्क असाइन किया जा सके जिसमें 4-5 प्रमुख बिंदु शामिल हों:

1. नेटवर्क सेवाएं (मेल, फ़ाइल, प्रॉक्सी, आदि)
2. सॉफ्टवेयर विकास (वातावरण - देव / मंचन / ठेस,
3. मीडिया (स्ट्रीमिंग, बड़ी फ़ाइल स्थानांतरण, संग्रह)
4. वर्चुअल सर्वर / डेस्कटॉप
5. वीओआईपी

मैंने कभी भी वीओआईपी के साथ सीधे काम नहीं किया है, लेकिन यह भविष्य के लिए विचार करने के लिए कुछ है।

कुल मिलाकर मुझे सभी से कुछ अच्छे विचार मिले। काश मैं अधिक वोट / स्वीकृत उत्तर दे पाता। प्रतिक्रियाओं के लिए धन्यवाद!

इसे सरल रखें। जितना संभव हो उतना सरल, लेकिन फिर भी सुरक्षा और लचीलेपन की अनुमति। अमूर्त चीजों में डिजाइन, जो लगता है कि यह सरल नहीं है, लेकिन वास्तव में खुद सादगी का मार्ग है।

सबनेट के रूप में, यह काफी सामान्य है:

• उपयोगकर्ता एक सबनेट पर
• दूसरे पर मेहमान
• अपने स्वयं के सबनेट पर सर्वर
• वीओआइपी अपने दम पर भी।

आवश्यकतानुसार प्रत्येक सबनेट के माध्यम से ट्रैफ़िक फ़िल्टर करें। संभवतः VLANs का उपयोग करें। मुझे आशा है कि आप अपनी पसंद के नेटवर्क डिवाइस विक्रेता के सीएलआई से गहन रूप से परिचित हैं।

DNS के लिए, आप इसे पसंद नहीं करने जा रहे हैं लेकिन ... आपके लिए जो भी काम करता है उसका उपयोग करें। निजी तौर पर, मैं सर्वर को पूरी तरह से अमूर्त hostname देना पसंद करता हूं, जिसकी सेवाओं का कोई संबंध नहीं है। मैं तब होस्टनाम को CNAME सेवाएँ देता हूँ। इस तरह से प्रवासन सेवाओं के कारण डीएनएस परिवर्तन सिरदर्द नहीं होता है। या कम से कम, उतने नहीं। मैं भी होस्टनाम के लिए प्रचलित ए वी के साथ वर्चुअल सर्वर का नाम देना पसंद करता हूं।

उदाहरण:

• नए डेटाबेस सर्वर का नाम एथेना है। इसे हमेशा के लिए एथेना नाम दिया जाएगा।
• एथेना यह क्या करता है के लिए CNAMED है: SQL08ENT-CRM, SQL08ENT-AEGIS (सुरक्षा प्रणाली), SQL08ENT-DOCMAN। शायद भूगोल पर आधारित CNAMED भी। या शायद होस्टनाम में भूगोल होगा। एथेना-ATL। एथेना-सिडनी। जो कुछ भी काम करता है।
• सर्वर सर्वर सबनेट पर होता है जिसमें डिफ़ॉल्ट इनकार नीति होती है। इसमें उचित सबनेट से उचित यातायात शामिल है।

रखें। यह। सरल। (लेकिन कार्यात्मक)

मैंने एक समान आकार के एक संगठन में काम किया (हमारे पास एक / 26) था, जो कि मुझसे परे कारणों के लिए, शक्तियों-कि-महसूस किया जा सकता है कि एक बारीक दाने वाला आईपी आवंटन योजना परिचालन अखंडता के लिए सर्वोपरि थी। गेटवे को .1 होना था , प्रिंटर को .2 और .12 के बीच, .13 और .20 के बीच सर्वर इत्यादि होना था। हमने अलग-अलग मेजबानों पर भी प्रलेखन रखा।

यह गधे का बहुत बड़ा दर्द है। कोई फर्क नहीं पड़ता कि मैं कितना मेहनती था मैं कभी भी किसी भी दस्तावेज़ को चालू रखने के लिए प्रतीत नहीं हो सकता था। यह मदद नहीं करता था कि हमारे पास कोई डीएनएस सेवाएं नहीं थीं, इसलिए इस आईपी आवंटन योजना प्रलेखन का उपयोग केवल "नामकरण" सेवाएं थीं (जो कि एक अजीब तरीके से किया गया था, यह वास्तव में की तुलना में अधिक अपरिहार्य लगता है)।

आपके आकार के एक नेटवर्क के लिए मैं कुछ चीजों की सलाह दूंगा (जिनमें से अधिकांश आप पहले ही कर चुके हैं):

• सरल - आप सैकड़ों मेजबानों का प्रबंधन नहीं कर रहे हैं। आपके समाधान की जटिलता पर्यावरण की जटिलता को दर्शाती है। अति चतुर होने के प्रलोभन का विरोध करें। आप बाद में खुद को धन्यवाद देंगे।

  1. अपने उपलब्ध आईपी स्थान को लें और अपने ग्राहकों को डीएचसीपी के माध्यम से 60% दें। कुछ प्रकार की डायनेमिक DNS सेवाओं को सेट अप करें ताकि आपको कभी भी लानत आईपी पते पर फिर से न देखना पड़े। उन पर नज़र रखने के बारे में भूल जाओ। फायदा।

  2. आपके द्वारा प्रबंधित IP पतों के लिए अन्य 30% आरक्षित करें : सर्वर, प्रिंटर, नेटवर्क डिवाइस, परीक्षण सेवाएँ। आदि का उपयोग करने के लिए DNS का उपयोग करें। मेरी राय में, एक्सेल स्प्रेडशीट (जिसे आपको लगातार संदर्भित करना है और बनाए रखना है) का उपयोग करके इन सभी "व्यवस्थापक-प्रबंधित" आईपी पतों (जैसे डीएचसीपी प्रबंधित आईपी पतों के विपरीत) का ट्रैक रखने से समय की कोई बड़ी बर्बादी नहीं होती है। , जब आप उस प्रयास को एक स्व-दस्तावेजीकरण और कहीं अधिक उपयोगी DNS समाधान के समर्थन में डाल सकते हैं।

  3. अपने आईपी पते के शीर्ष पर अपने 10% पते को अप्रयुक्त स्थान पर रखें। थोड़ा रिजर्व कभी भी दर्द नहीं देता।

  4. अनुपात को समायोजित करें जैसा कि आप अपने पर्यावरण के लिए फिट देखते हैं। कुछ वातावरण में अधिक ग्राहक होंगे, कुछ "सर्वर" (यानी, "व्यवस्थापक-प्रबंधित") भारी होंगे।

• नेटवर्क सेवाएं (मेल, फ़ाइल, प्रॉक्सी, आदि)
• सॉफ्टवेयर विकास (वातावरण - देव / मंचन / ठेस,

ये दोनों "व्यवस्थापक-प्रबंधित" आईपी स्थान की श्रेणी में आते हैं।

• मीडिया (स्ट्रीमिंग, बड़ी फ़ाइल स्थानांतरण, संग्रह)

मेरी राय में यह सबनेटिंग और नेटवर्क मॉनिटरिंग के साथ सब कुछ करने के लिए बहुत कम है।

• वर्चुअल सर्वर / डेस्कटॉप

सर्वर "व्यवस्थापक-प्रबंधित" हैं, डेस्कटॉप (अर्थात क्लाइंट मशीन) "डीएचसीपी-प्रबंधित" होना चाहिए।

• वीओआईपी

एक शारीरिक रूप से असतत नेटवर्क आदर्श होगा ... लेकिन यह अवास्तविक है। अगली सबसे अच्छी बात एक अलग वीएलएएन और सबनेट होगी। यह छोटे नेटवर्क के एकमात्र बिंदु के बारे में है, जहां मैं वास्तव में ट्रैफ़िक को अलग करने की आवश्यकता महसूस करूंगा (उन चीजों को छोड़कर, जो कि सार्वजनिक रूप से सुलभ हैं)।

आईपी ​​आवंटन के लिए

मेरी सलाह निम्न संरचना का उपयोग करते हुए, सब कुछ 10.0.0.0/8 सबनेट के नीचे रखने की है site। division।device

• site एक भौतिक स्थान या तार्किक समतुल्य है (उदाहरण के लिए NY कार्यालय, NJ कार्यालय, DR सुविधा, विकास पर्यावरण)।
• divisionएक तार्किक उपखंड है जो आपको समझ में आता है। जैसे
  0 => स्विचेस / राउटर
  1 => एडमीन, 2 => उपयोगकर्ता
  3 => वीओआइपी
  4 => मेहमान
• deviceव्यक्तिगत उपकरण (पीसी, सर्वर, फोन, स्विच, आदि) हैं

यहां विचार यह है कि आप आसानी से यह निर्धारित कर सकते हैं कि एक उपकरण क्या है और इसके पते पर कहां है: 10.2.1.100 "साइट # 2" पर एक प्रशासक का कार्य केंद्र है।

यह मॉडल क्लास-आधारित आईपी असाइनमेंट्स से लिया गया है: क्लास ए (/ 8) आपका उद्यम है। प्रत्येक स्थान को क्लास बी (/ 16) मिलता है, और किसी स्थान पर प्रत्येक तार्किक विभाजन को उनके उपकरणों के लिए क्लास सी (/ 24) मिलता है।
"विभाजन" स्तर के लिए / 24 से कुछ बड़ा उपयोग करना संभव है (और कभी-कभी वांछनीय है), और आप निश्चित रूप से ऐसा कर सकते हैं: इस योजना के साथ आम तौर पर ए / 17 से 24/24 तक कुछ भी उचित खेल है।

DNS नामों के लिए

मेरी सलाह है कि उपरोक्त वर्णित आईपी असाइनमेंट के लिए एक समान योजना का पालन करें:

• सब कुछ जड़ है mycompany.com
• प्रत्येक साइट (/ 16) का अपना sitename.mycompany.comउपडोमेन है।
• साइट के भीतर तार्किक विभाजन में एक (या अधिक) उप डोमेन हो सकते हैं, उदाहरण के लिए:
  • voip.mycompany.com(उपकरणों की तरह साथ tel0000.voip.mycompany.com, tel0001.voip.mycompany.comआदि)
  • switches.mycompany.com
  • workstations.mycompany.com (संभवतः आगे व्यवस्थापक, उपयोगकर्ता और अतिथि में विभाजित)
• उपकरणों के सार्थक नाम होने चाहिए। उदाहरण के लिए:
  • फोन का नाम दें ताकि आप DNS नाम के आधार पर वे एक्सटेंशन देख सकें।
  • उनके प्राथमिक उपयोगकर्ता के आधार पर नाम कार्यस्थान।
  • स्पष्ट रूप से "अतिथि" आईपी पते की पहचान करें।
  • सर्वर का नाम दें ताकि आप बता सकें कि वे क्या हैं / वे क्या करते हैं।
    यह नाम "बोरिंग" का उपयोग (द्वारा पूरा किया जा सकता www01, www02, db01, db02, mail, आदि) या एक नामकरण योजना promulgating और (उदाहरण के लिए यह करने के लिए चिपके द्वारा: मेल सर्वर चट्टानों के नाम पर कर रहे हैं, वेब सर्वर के पेड़ के नाम पर कर रहे हैं, डेटाबेस सर्वर हैं चित्रकारों के नाम पर)।
    एक नए व्यक्ति के लिए बोरिंग नाम आसान हैं, शांत नामकरण योजनाएं अधिक मजेदार हैं। अपना चयन ले लो।

विविध नोट्स

वर्चुअल सर्वर के बारे में:
इन पर उसी तरह से विचार करें जैसे कि वे भौतिक मशीनें थीं (उन्हें "आभासी" होने के बजाय विभाजन / उद्देश्य से अलग करें। हाइपरवाइजर / वीएम प्रशासन नेटवर्क के लिए एक अलग विभाजन है।
यह महत्वपूर्ण लग सकता है । अब आप यह जान सकते हैं कि कोई बॉक्स वर्चुअल है या फिजिकल, लेकिन जब आपका मॉनिटरिंग सिस्टम कहता है "अरे, ईमेल डाउन है!" तो आप जो सवाल पूछ रहे होंगे वह यह है कि "कौन सी मशीनें ईमेल से संबंधित हैं?", न कि "कौन सी मशीनें।" आभासी और जो शारीरिक हैं? "।
ध्यान दें कि आप करते की पहचान करने के लिए कि क्या एक मशीन एक hypervisor मेजबान ऊपर चल रही है आभासी या मामले में भौतिक है की एक व्यावहारिक तरीका की जरूरत है, लेकिन यह अपने निगरानी प्रणाली, अपने नेटवर्क वास्तुकला नहीं करने के लिए एक चुनौती है।

वीओआइपी के बारे में:
वीओआइपी (विशेष रूप से तारांकन) "सुरक्षा छेद" का एक पर्याय है। अपने सभी वीओआइपी सामान को अपने स्वयं के सबनेट, और अपने वीएलएएन पर बंद कर दें, और इसे संवेदनशील के पास न जाने दें।
पिछले वर्ष में मैंने जो भी वीओआइपी फोन देखा है वह वीएलएएन अलगाव का समर्थन करता है (वास्तव में वे सभी आवाज और डेटा वीएलएएन दोनों का समर्थन करते हैं, इसलिए आप अभी भी डेस्कटॉप ईथरनेट कनेक्शन के लिए पास-थ्रू के रूप में फोन का उपयोग कर सकते हैं)। इसका लाभ उठाएं - आपको खुशी होगी कि आपने / जब आपका वीओआइपी वातावरण हैक हो गया है।

योजना और दस्तावेज़ीकरण के बारे में:
पते और डीएनएस नामों को असाइन करने से पहले अपने नेटवर्क को कागज पर ड्रा करें। वास्तव में, पहले कागज की एक बड़ी शीट पर इसे पेंसिल में खींचें।
बहुत सारी गलतियाँ करते हैं।
उदारतापूर्वक मिटाओ।
धाराप्रवाह शाप।
एक बार जब आप कम से कम 10 दिनों के लिए शाप देना और मिटा देना बंद कर देते हैं, तो आरेख को अपने आधिकारिक नेटवर्क आरेख के रूप में Visio / Graffle / कुछ अन्य इलेक्ट्रॉनिक प्रारूप में डालने का समय है। इस चित्र को सुरक्षित रखें। उपकरणों को जोड़ने और हटाने, अपने संगठन को विकसित करने और अपने नेटवर्क संरचना को संशोधित करने के रूप में इसकी सबसे पवित्र शुद्धता में इसे बनाए रखें।
यह नेटवर्क आरेख आपका सबसे अच्छा दोस्त होगा जब आपको बदलाव करना होगा, नेटवर्क को नए प्रवेशों को समझाना होगा, या एक रहस्यमय विफलता का निवारण करना होगा।