Проектирование IP-адресации для сети на 500 узлов

Строительная компания «СтройГрупп» — один из крупнейших застройщиков Уральского федерального округа — обратилась к нам с задачей проектирования сетевой инфраструктуры для нового офисного центра. В здание из трёх корпусов переезжали 7 отделов компании, и нужно было обеспечить связь между 500 рабочими станциями, 45 серверами и 80 единицами сетевого оборудования.

Предыдущая сеть компании была построена «исторически»: все 200 устройств находились в одной подсети /16, адреса назначались вручную, документации не существовало, а конфликты IP-адресов возникали еженедельно. При масштабировании до 500 узлов этот подход был обречён на провал.

Наша команда из двух сетевых инженеров получила техническое задание: спроектировать адресную схему, обеспечивающую логическую сегментацию, безопасность между отделами, запас масштабирования на 3 года и простоту администрирования.

Прежде чем перейти к архитектуре, напомним ключевые принципы, которыми мы руководствовались при проектировании. IPv4-адрес состоит из 32 бит, записываемых в виде четырёх десятичных октетов. Маска подсети определяет, какая часть адреса относится к сети, а какая — к хосту.

# Пример: адрес 192.168.10.50 с маской /24

IP-адрес (двоичный):    11000000.10101000.00001010.00110010
Маска /24 (двоичный):   11111111.11111111.11111111.00000000

Адрес сети (AND):       11000000.10101000.00001010.00000000 = 192.168.10.0
Широкове­щательный:      11000000.10101000.00001010.11111111 = 192.168.10.255

Доступных адресов:      2^(32-24) - 2 = 254 хоста

Количество доступных хостов зависит от длины маски. Из общего числа адресов в подсети два зарезервированы: первый (все биты хоста = 0) — адрес сети, последний (все биты хоста = 1) — широковещательный.

Для «СтройГрупп» мы выбрали адресное пространство 10.0.0.0/8 (класс A, частная сеть) и разработали иерархическую схему с тремя уровнями агрегации:

# Уровень 1: Корпуса (второй октет)
10.1.0.0/16  — Корпус А (управление)
10.2.0.0/16  — Корпус Б (проектирование)
10.3.0.0/16  — Корпус В (производство и склады)
10.100.0.0/16 — Серверный сегмент
10.200.0.0/16 — Управление сетевым оборудованием

# Уровень 2: Отделы / функции (третий октет)
10.1.1.0/24  — Бухгалтерия (корпус А, 1 этаж)
10.1.2.0/24  — Юридический отдел (корпус А, 2 этаж)
10.1.3.0/24  — Руководство (корпус А, 3 этаж)
10.2.1.0/24  — Архитекторы (корпус Б, 1 этаж)
10.2.2.0/24  — Инженеры-конструкторы (корпус Б, 2 этаж)
10.3.1.0/24  — Снабжение (корпус В)
10.3.2.0/24  — Логистика (корпус В)

# Уровень 3: Специальные подсети
10.100.1.0/27 — Серверы БД (5 хостов, запас до 30)
10.100.2.0/27 — Серверы приложений (12 хостов)
10.100.3.0/27 — Файловые серверы (8 хостов)
10.200.0.0/24 — Management VLAN (коммутаторы, точки доступа)

Ключевой принцип — суммаризация маршрутов. Маршрутизатору на границе корпуса А достаточно одного маршрута 10.1.0.0/16 вместо десятков отдельных записей. Это упрощает таблицы маршрутизации и ускоряет обработку пакетов.

VLSM (Variable Length Subnet Mask) — методика, позволяющая использовать подсети разного размера внутри одного адресного пространства. Без VLSM приходится выделять одинаковые блоки для отделов разного размера — 254 адреса для юридического отдела из 8 человек.

Мы применили VLSM для точного соответствия размера подсети реальной потребности каждого сегмента:

# Расчёт VLSM для серверного сегмента 10.100.0.0/16

# Правило: выделяем ближайшую степень двойки, превышающую потребность
# Потребность → Маска → Подсеть → Доступно хостов

# Серверы БД: 5 хостов → /27 (30 хостов) → 10.100.1.0/27
#   Адреса: 10.100.1.1 - 10.100.1.30
#   Шлюз:   10.100.1.1
#   Широковещ.: 10.100.1.31

# Серверы приложений: 12 хостов → /27 (30 хостов) → 10.100.1.32/27
#   Адреса: 10.100.1.33 - 10.100.1.62
#   Шлюз:   10.100.1.33
#   Широковещ.: 10.100.1.63

# DMZ (публичные серверы): 3 хоста → /29 (6 хостов) → 10.100.1.64/29
#   Адреса: 10.100.1.65 - 10.100.1.70
#   Шлюз:   10.100.1.65
#   Широковещ.: 10.100.1.71

# Линк к провайдеру: 2 хоста → /30 (2 хоста) → 10.100.1.72/30
#   Адреса: 10.100.1.73, 10.100.1.74
#   Широковещ.: 10.100.1.75

Без VLSM серверный сегмент потребовал бы 4 подсети /24 (1016 адресов). С VLSM мы уложились в один блок /25 (128 адресов), освободив остальное пространство для роста.

Каждой подсети мы поставили в соответствие отдельный VLAN. Это обеспечивает изоляцию широковещательного трафика и позволяет применять политики безопасности между сегментами:

# Таблица соответствия VLAN — Подсеть — Назначение

VLAN 10  → 10.1.1.0/24   → Бухгалтерия        (65 хостов)
VLAN 20  → 10.1.2.0/25   → Юридический отдел   (28 хостов)
VLAN 30  → 10.1.3.0/27   → Руководство         (15 хостов)
VLAN 100 → 10.2.1.0/25   → Архитекторы         (85 хостов)
VLAN 110 → 10.2.1.128/25 → Конструкторы        (90 хостов)
VLAN 200 → 10.3.1.0/24   → Снабжение           (45 хостов)
VLAN 210 → 10.3.2.0/24   → Логистика           (70 хостов)
VLAN 500 → 10.100.1.0/24 → Серверы             (45 хостов)
VLAN 999 → 10.200.0.0/24 → Management          (80 хостов)
VLAN 666 → 10.50.0.0/22  → Wi-Fi гостевой      (до 1022 хостов)

На ядре сети (Cisco Catalyst 9300) мы настроили inter-VLAN routing с ACL-правилами:

# Правила межсегментного доступа (ACL на маршрутизаторе)

# Бухгалтерия → Серверы БД: разрешить 1С и SQL
access-list 110 permit tcp 10.1.1.0 0.0.0.255 10.100.1.0 0.0.0.31 eq 1541
access-list 110 permit tcp 10.1.1.0 0.0.0.255 10.100.1.0 0.0.0.31 eq 5432

# Бухгалтерия → Проектировщики: запретить
access-list 110 deny ip 10.1.1.0 0.0.0.255 10.2.0.0 0.0.255.255

# Гостевой Wi-Fi → только Интернет, запрет внутренних сетей
access-list 666 deny ip 10.50.0.0 0.0.3.255 10.0.0.0 0.255.255.255
access-list 666 permit ip 10.50.0.0 0.0.3.255 any

Эта конфигурация гарантирует: бухгалтерия имеет доступ к 1С и базам данных, но не видит проектировщиков; гостевой Wi-Fi изолирован от корпоративной сети.

Для автоматизации назначения адресов мы развернули два DHCP-сервера на базе ISC DHCP с разделением пулов (failover):

# /etc/dhcp/dhcpd.conf — фрагмент конфигурации

# Глобальные параметры
option domain-name "stroygrupp.local";
option domain-name-servers 10.100.1.10, 10.100.1.11;
default-lease-time 28800;  # 8 часов
max-lease-time 86400;      # 24 часа

# Подсеть бухгалтерии
subnet 10.1.1.0 netmask 255.255.255.0 {
    range 10.1.1.50 10.1.1.250;
    option routers 10.1.1.1;
    option subnet-mask 255.255.255.0;

    # Фиксированные адреса для принтеров
    host printer-buh-1 {
        hardware ethernet 00:1a:2b:3c:4d:5e;
        fixed-address 10.1.1.10;
    }
    host printer-buh-2 {
        hardware ethernet 00:1a:2b:3c:4d:5f;
        fixed-address 10.1.1.11;
    }
}

# Подсеть архитекторов
subnet 10.2.1.0 netmask 255.255.255.128 {
    range 10.2.1.20 10.2.1.120;
    option routers 10.2.1.1;
    option subnet-mask 255.255.255.128;
}

Мы разделили каждую подсеть на зоны: адреса .1-.19 — для статически назначаемого оборудования (шлюзы, принтеры, серверы), .20-.250 — DHCP-пул для рабочих станций. Это исключает конфликты адресов и упрощает поиск оборудования по IP.

Мы подготовили полную документацию адресного плана в виде электронной таблицы и интерактивной карты сети в NetBox (open-source IPAM). Каждый администратор «СтройГрупп» получил доступ к веб-интерфейсу, где можно найти любое устройство по IP, MAC-адресу или имени.

Результаты проекта за 3 месяца эксплуатации:

Стоимость проекта составила 950 000 рублей, включая аудит, проектирование, настройку оборудования и обучение IT-отдела из 4 человек. Подробнее о наших сетевых решениях — на itfresh.ru.