Адресный план для нового клиента: чек-лист CIDR-разметки сети

Однажды к нам обратилась производственная компания из района Бирюлёво, где работает 47 человек. Они переезжали в новенький офис с цехом и решили заодно полностью переосмыслить и перепроектировать свою сетевую инфраструктуру. Старая «плоская» сеть 192.168.0.0/24 разрослась до 240 устройств, и, конечно, начались проблемы: бесконечные конфликты IP-адресов, тормозила печать, а однажды даже шифровальщик "погулял" по всем виндоусам подряд. Я хочу поделиться нашим стандартным чек-листом CIDR-разметки, который мы применяем для офисов с 30-50 рабочими местами. Здесь вы найдёте и реальный конфиг MikroTik CCR2004, и удобную шпаргалку по маскам, и даже расчёты, сколько IP-адресов лучше закладывать на каждый отдел.

Почему плоская сеть /24 — путь к шифровальщику

Я помню, как впервые приехал на их старый офис в Бирюлёво и увидел типичную картину: всё было свалено в одну подсеть 192.168.0.0/24, свободных адресов оставалось всего 14 штук, MikroTik стоял с дефолтной конфигурацией, на коммутаторе HPE Aruba не было ни одного VLAN, а IP-камеры "висели" в одной сети с бухгалтерией. Что тут сказать, классика жанра. И вот, у бухгалтера как-то в обед заразился ПК через PDF-вложение, и этот шифровальщик всего за 40 минут успел пройтись по 18 машинам и зашифровать все файловые шары на 1.7 ТБ. Хорошо, что бэкап спас всё, но из-за этого инцидента производство стояло целых 2 дня.

Знаете, в чём главная беда? В плоской сети. В одном /24 сегменте все устройства прекрасно видят друг друга по абсолютно любым портам. Стоит заразить один ПК — и вот уже заражены все остальные. Камеры из коридора запросто "видят" сервер 1С. IP-телефоны лезут в RDP-сервер. Гостевой Wi-Fi имеет полный доступ к шарам бухгалтерии. Это просто ад.

В новом проекте я решил пойти совершенно другим путём: мы сделали жёсткую сегментацию на 9 VLAN, настроили строгие правила файрвола между ними, а также внедрили единый адресный план «по второму октету». Но прежде чем приступать к рисованию схем, нужно освежить в памяти шпаргалку CIDR.

Шпаргалка масок и CIDR

За 15 лет в этой сфере я, конечно, знаю эту таблицу наизусть, но любой инженер-стажёр просто обязан распечатать её и повесить себе рядом с монитором. Вот моя рабочая шпаргалка:

CIDR  | Маска             | Хостов  | Адресов | Применение
------|-------------------|---------|---------|---------------------------
/8    | 255.0.0.0         | 16M     | 16777216| Корневой блок RFC1918
/16   | 255.255.0.0       | 65 534  | 65 536  | Большой функциональный блок
/20   | 255.255.240.0     | 4 094   | 4 096   | Корпоративный сегмент
/22   | 255.255.252.0     | 1 022   | 1 024   | Кампус, большой офис
/23   | 255.255.254.0     | 510     | 512     | Расширенный пользовательский
/24   | 255.255.255.0     | 254     | 256     | Стандарт для офисного VLAN
/25   | 255.255.255.128   | 126     | 128     | Половинка /24
/26   | 255.255.255.192   | 62      | 64      | Малый отдел / DMZ
/27   | 255.255.255.224   | 30      | 32      | Серверный сегмент
/28   | 255.255.255.240   | 14      | 16      | Микро-сегмент
/29   | 255.255.255.248   | 6       | 8       | 4-6 серверов в DMZ
/30   | 255.255.255.252   | 2       | 4       | Point-to-Point линк
/31   | 255.255.255.254   | 2       | 2       | P2P по RFC 3021
/32   | 255.255.255.255   | 1       | 1       | Loopback / отдельный хост

Полезные правила, которые я использую в полевых условиях:

• Маска /16 = 4× /18 = 16× /20 = 64× /22 = 256× /24;
• Каждый шаг префикса в одну сторону — деление количества адресов на 2;
• Размер сети должен быть степенью двойки: 4, 8, 16, 32, 64, 128, 256;
• Network address и broadcast — забронированы, к хостам прибавлять не надо. /24 = 254 хоста, не 256;
• На /31 broadcast и network не работают — это p2p-исключение по RFC 3021.

Как быстро прикинуть в уме

Представьте, что я на объекте, и мне нужно быстро прикинуть: поместятся ли 80 серверов в /25? Я считаю так: /24 — это 256 адресов, /25 — это 128 адресов. Вычитаем 2 адреса на network и broadcast — получаем 126 хостов. Поскольку 80 меньше 126, значит, поместятся. Чтобы понять, какая маска нужна для N устройств, я всегда округляю N вверх до ближайшей степени двойки, а потом беру маску с таким количеством адресов, добавляя ещё запас в 50%.

Принцип «по второму октету»: красивый адресный план

Хотите, чтобы ваш адресный план был понятен и через 5 лет? У меня есть главный секрет: это разделение по второму октету в 10.x.0.0/16. Это работает как индекс в библиотеке: достаточно взглянуть на IP-адрес, и вы сразу понимаете, к чему он относится:

10.10.0.0/16 — Пользователи (по подразделениям в третьем октете)
  10.10.10.0/24 — Бухгалтерия
  10.10.20.0/24 — Продажи
  10.10.30.0/24 — Маркетинг
  10.10.40.0/24 — Производство (мастера, технологи)
  10.10.50.0/24 — Руководство

10.20.0.0/16 — Серверы и инфраструктура
  10.20.10.0/24 — Контроллеры домена и DNS
  10.20.20.0/24 — Бизнес-серверы (1С, SQL, Bitrix24)
  10.20.30.0/24 — Файловые серверы
  10.20.40.0/24 — Гипервизоры (mgmt-интерфейсы)
  10.20.50.0/24 — Storage SAN
  10.20.90.0/24 — IPMI/iDRAC/iLO

10.30.0.0/16 — VoIP и телефония
  10.30.10.0/24 — IP-телефоны
  10.30.20.0/24 — SIP-сервер (Asterisk/MikroTik)

10.40.0.0/16 — IoT, ОТ, видеонаблюдение
  10.40.10.0/24 — IP-камеры
  10.40.20.0/24 — Контроль доступа (СКУД)
  10.40.30.0/24 — Принтеры и МФУ
  10.40.40.0/24 — Промышленные контроллеры (для производства)

10.50.0.0/16 — Wi-Fi для сотрудников
  10.50.10.0/24 — Корпоративный Wi-Fi (доменные ноуты)
  10.50.20.0/24 — Личные смартфоны (BYOD)

10.60.0.0/16 — VPN
  10.60.10.0/24 — IKEv2/IPsec для удалёнки
  10.60.20.0/24 — VPN для подрядчиков (ITfresh, разработчики 1С)

10.99.0.0/16 — Гостевой и DMZ
  10.99.10.0/24 — Гостевой Wi-Fi (изолирован)
  10.99.20.0/24 — DMZ для публичных сервисов

Этот шаблон я использую в десятке проектов 2024-2026. Через 3 года любой новый инженер ITfresh, открыв документацию, моментально ориентируется: 10.20.x.x — это серверы, 10.40.30.5 — это принтер. Не надо помнить, не надо лезть в Excel.

Сколько IP резервировать: реальная математика

Люди часто спрашивают меня: «Сколько хостов нужно заложить на сегмент?» Мой ответ прост: всегда с трёхкратным запасом. Потому что, поверьте мне, переразметка сети через 3 года — это всегда невыносимая боль:

Расчёт пользовательского сегмента на 50 РМ

• 50 ПК + 50 IP-телефонов (если в одном VLAN — это 100 IP);
• 15 личных ноутбуков сотрудников через Wi-Fi;
• 10 принтеров и МФУ;
• 5 точек Wi-Fi UniFi;
• 30 IP-камер;
• 2 управляемых коммутатора;
• 1 NAS Synology;
• 3-5 «иных устройств» (терминал кассы, планшет, кофемашина с Wi-Fi);
• Итого ~120 устройств в офисе на 50 человек.

Если бы я пошёл по пути плоской сети, одной /24 (это 254 хоста) хватило бы. Но я предпочитаю делить их по функциям, и в результате каждый VLAN получает свою /24, а между ними работают правила файрвола. Запас на каждой подсети при этом составляет около 80%, что надёжно покрывает рост на 3-5 лет.

Расчёт серверного сегмента

• 2 контроллера домена;
• 2 файловых сервера в DFS;
• 1 сервер 1С приложений + 1 БД;
• 1 сервер Битрикс24;
• 1 сервер мониторинга;
• 1 сервер бэкапов (Veeam);
• 1 сервер RDS (терминалы);
• 2 гипервизора с mgmt-интерфейсами;
• 10-15 виртуалок «по случаю» (тестовые, dev);
• Итого 22-27 IP — спокойно влезает в /27 (30 хостов).

Даже для серверов я всё равно выделяю /24. Ну мало ли, вдруг через 2 года появятся ещё 10 серверов? Плюс это просто красиво смотрится в адресном плане.

Конфиг MikroTik CCR2004 для производственной компании

Итак, для той самой производственной компании из Бирюлёво я выбрал и установил маршрутизатор MikroTik CCR2004-1G-12S+2XS. Ниже вы найдёте полный рабочий конфиг, основанный на нашем адресном плане:

# Создаём bridge с VLAN-фильтрацией
/interface bridge
add name=bridge1 vlan-filtering=yes

# Добавляем физические порты в bridge
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4

# Создаём VLAN-интерфейсы поверх bridge
/interface vlan
add interface=bridge1 name=vlan10-users vlan-id=10
add interface=bridge1 name=vlan20-servers vlan-id=20
add interface=bridge1 name=vlan30-voip vlan-id=30
add interface=bridge1 name=vlan40-iot vlan-id=40
add interface=bridge1 name=vlan50-wifi vlan-id=50
add interface=bridge1 name=vlan60-vpn vlan-id=60
add interface=bridge1 name=vlan99-guest vlan-id=99

# Назначаем IP на каждый VLAN
/ip address
add address=10.10.10.1/24 interface=vlan10-users  comment="Бухгалтерия и Продажи"
add address=10.20.10.1/24 interface=vlan20-servers comment="DC/AD"
add address=10.20.20.1/24 interface=vlan20-servers comment="1С/SQL"
add address=10.30.10.1/24 interface=vlan30-voip   comment="IP-телефоны"
add address=10.40.10.1/24 interface=vlan40-iot    comment="IP-камеры"
add address=10.40.30.1/24 interface=vlan40-iot    comment="Принтеры"
add address=10.50.10.1/24 interface=vlan50-wifi   comment="Корпоративный Wi-Fi"
add address=10.99.10.1/24 interface=vlan99-guest  comment="Гостевой Wi-Fi"

# DHCP-пулы
/ip pool
add name=pool-users   ranges=10.10.10.50-10.10.10.250
add name=pool-voip    ranges=10.30.10.50-10.30.10.250
add name=pool-iot     ranges=10.40.10.50-10.40.10.250
add name=pool-wifi    ranges=10.50.10.50-10.50.10.250
add name=pool-guest   ranges=10.99.10.50-10.99.10.250

/ip dhcp-server
add address-pool=pool-users   interface=vlan10-users  name=dhcp-users
add address-pool=pool-voip    interface=vlan30-voip   name=dhcp-voip
add address-pool=pool-iot     interface=vlan40-iot    name=dhcp-iot
add address-pool=pool-wifi    interface=vlan50-wifi   name=dhcp-wifi
add address-pool=pool-guest   interface=vlan99-guest  name=dhcp-guest

/ip dhcp-server network
add address=10.10.10.0/24 dns-server=10.20.10.5,10.20.10.6 \
    domain=corp.company.ru gateway=10.10.10.1
add address=10.30.10.0/24 dns-server=10.20.10.5 \
    gateway=10.30.10.1 ntp-server=10.20.10.5
add address=10.40.10.0/24 dns-server=10.20.10.5 \
    gateway=10.40.10.1
add address=10.50.10.0/24 dns-server=10.20.10.5,77.88.8.8 \
    gateway=10.50.10.1
add address=10.99.10.0/24 dns-server=77.88.8.8,1.1.1.1 \
    gateway=10.99.10.1

Это базовая часть. Серверный VLAN (10.20.0.0/16) у меня без DHCP — там все адреса статические и заведены вручную в наш Confluence как часть документации.

Файрвол между VLAN: что разрешать, что запрещать

Хочу сразу сказать: VLAN без файрвола — это, на мой взгляд, пустая трата времени. Они обязаны быть изолированы по умолчанию, а все связи между ними должны быть только явными. Наш стандартный набор правил выглядит вот так:

/ip firewall filter
# Базовое — established/related всегда пропускаем
add chain=forward action=accept connection-state=established,related

# Разрешения для пользователей в серверы — только нужные порты
add chain=forward action=accept src-address=10.10.0.0/16 dst-address=10.20.10.0/24 \
    protocol=tcp dst-port=88,389,636,3268,3269 comment="Users to AD/LDAP"
add chain=forward action=accept src-address=10.10.0.0/16 dst-address=10.20.10.0/24 \
    protocol=udp dst-port=53,88,123 comment="DNS, Kerberos, NTP"
add chain=forward action=accept src-address=10.10.0.0/16 dst-address=10.20.20.0/24 \
    protocol=tcp dst-port=1433,1434 comment="Users to MSSQL"
add chain=forward action=accept src-address=10.10.0.0/16 dst-address=10.20.20.10 \
    protocol=tcp dst-port=1540,1541,1560-1591 comment="Users to 1C"
add chain=forward action=accept src-address=10.10.0.0/16 dst-address=10.20.30.0/24 \
    protocol=tcp dst-port=445 comment="Users to SMB"
add chain=forward action=accept src-address=10.10.0.0/16 dst-address=10.40.30.0/24 \
    protocol=tcp dst-port=515,631,9100 comment="Users to Printers"

# IoT и камеры наружу не должны лезть в принципе
add chain=forward action=drop src-address=10.40.0.0/16 dst-address=10.10.0.0/16
add chain=forward action=drop src-address=10.40.0.0/16 dst-address=10.20.0.0/16

# Гостевой только в интернет
add chain=forward action=drop src-address=10.99.10.0/24 dst-address=10.0.0.0/8
add chain=forward action=accept src-address=10.99.10.0/24 \
    out-interface=ether-wan comment="Guest internet only"

# Всё остальное между VLAN — drop
add chain=forward action=drop src-address=10.0.0.0/8 dst-address=10.0.0.0/8 \
    comment="Default deny inter-VLAN"

Эти правила я подбираю под каждого клиента — у производственной компании были специфические потребности по доступу мастеров цеха к терминалам ОТ, у юрфирмы — к серверу 1С через RDP. Но общий каркас неизменен: запрещаем по умолчанию, разрешаем точечно.

Расчёт CIDR в полевых условиях: 5 типичных задач

Когда наш инженер попадает на новый объект, ему нередко приходится буквально на ходу прикидывать CIDR. Вот вам пять реальных задачек, которые я обычно предлагаю решить сетевым инженерам на собеседовании в ITfresh:

Задача 1. Разделить /22 на 4 равных части

Дано: 10.10.0.0/22. Разбить на 4 равные подсети.
Решение: /22 содержит 1024 адреса = 4 × 256 = 4 × /24. Получаем:

10.10.0.0/24  — 10.10.0.1   — 10.10.0.254   bcast 10.10.0.255
10.10.1.0/24  — 10.10.1.1   — 10.10.1.254   bcast 10.10.1.255
10.10.2.0/24  — 10.10.2.1   — 10.10.2.254   bcast 10.10.2.255
10.10.3.0/24  — 10.10.3.1   — 10.10.3.254   bcast 10.10.3.255

Задача 2. Какая маска нужна на 200 хостов

200 хостов = ближайшая степень двойки сверху + 2 (network/broadcast) = 256 = /24. Подходит. /25 (128 хостов) — мало.

Задача 3. Найти broadcast для 192.168.10.50/26

Если у нас /26, это означает маску 255.255.255.192, а шаг в последнем октете будет 64. Сети, соответственно, пойдут с 0, 64, 128, 192. Если взять 50, он попадёт в диапазон 0-63. Получается, Network = 192.168.10.0, broadcast = 192.168.10.63. А хосты? Это адреса с 1 по 62.

Задача 4. Объединить 192.168.10.0/24 и 192.168.11.0/24 в одну сеть

Возьмём две смежные /24 — они превратятся в /23. В итоге у нас будет 192.168.10.0/23, где network — 192.168.10.0, broadcast — 192.168.11.255, и целых 510 хостов.

Задача 5. p2p-линк между двумя MikroTik с минимумом IP

Что такое /30? Это всего 4 адреса: network, broadcast и 2 хоста. Её используют, например, для 10.0.0.0/30, где 10.0.0.1 и 10.0.0.2 будут на интерфейсах. А /31 — это вообще 2 адреса, согласно RFC 3021. Правда, не все устройства его поддерживают: старые Cisco — нет, а вот MikroTik с RouterOS 6.40+ — да. Он тоже подходит для p2p, но позволяет сэкономить целых 2 IP.

Документация адресного плана

Позвольте мне сказать прямо: адресный план без нормальной документации — это настоящая бомба замедленного действия. Даю голову на отсечение, что через 2 года никто и не вспомнит, почему 10.20.30.45 — это файловый сервер, а 10.20.30.46 — DFS-кеш. Поэтому я всегда веду документацию в одной из двух систем, выбор которых зависит от пожеланий заказчика:

• NetBox. Профессиональная IPAM-система, бесплатная, в Docker за полчаса. Автоматически отслеживает свободные IP, назначения, VLAN, кабели, локации. Идеально для сети от 30 устройств;
• Excel-шаблон. Если клиент маленький и не хочет лишнего софта — простая таблица с полями IP, MAC, hostname, VLAN, описание, ответственный, дата заведения. Лежит в общей папке отдела ИТ.

И в том, и в другом случае у нас действует железное правило: любое новое устройство должно быть внесено в адресный план в течение 24 часов после его установки. Если это правило игнорируется, то уже через год гарантированно начнутся вопросы вроде: «А что это за штука на 10.40.30.78? Понятия не имею, кто её вообще сюда поставил».

Контр-нарратив: где много VLAN — это перебор

А теперь скажу кое-что, что может показаться непопулярным. Я лично видел проекты, где интегратор для офиса с 12 сотрудниками настраивал 8 VLAN, RADIUS-аутентификацию по портам и динамическое назначение VLAN по 802.1X. Заказчик, конечно, был в полном восторге первые пару недель. Но потом приходит сменщик-бухгалтер, у неё не работает Wi-Fi, RADIUS не пускает, MAC-фильтр на коммутаторе блокирует доступ — а инженер-то уже уволился. И что делать?

Я считаю, что сегментация должна быть соразмерна величине компании. Например, для офиса до 10 РМ вполне достаточно 2 VLAN: для сотрудников и для гостей. Если у вас 10-30 РМ, я бы посоветовал 3-4 VLAN (добавив сюда серверы и IoT). Для 30-50 РМ уже вполне разумно использовать 6-9 VLAN. А вот дальше, когда речь идёт о корпоративном масштабе, начинается сложная маршрутизация. Если же интегратор предлагает вам 12 VLAN на офис из 15 человек, будьте уверены: он либо заставляет вас переплачивать, либо строит систему так, чтобы только он и мог её обслуживать.

FAQ: что чаще всего спрашивают клиенты

Стоит ли использовать 10.0.0.0/8 или 192.168.0.0/16 для офисной сети?

Для офиса, где работает до 50 РМ, я безоговорочно рекомендую 10.0.0.0/8. Почему? Потому что это даёт невероятную свободу для будущего расширения, позволяет очень удобно распределять адреса по VLAN (например, 10.10.x.x для пользователей, 10.20.x.x для серверов и так далее) и, что крайне важно, не пересекается с домашними сетями сотрудников, когда они подключаются по VPN. Сети 192.168.x.x в этом плане просто ужасны, ведь почти у каждого дома стоит роутер именно с такой подсетью — и тогда при VPN начинаются сплошные конфликты.

Сколько IP-адресов резервировать на одно рабочее место?

Сколько адресов нужно? Минимум три: это основной ПК, IP-телефон и ещё один потенциальный девайс — возможно, личный смартфон, подключённый к Wi-Fi, или новый ноутбук. А если взять офис на 30 человек, то там ещё будут принтеры, камеры, Wi-Fi точки, MFU, IoT-устройства — это ещё 20-40 адресов! Поэтому на сегмент пользователей я всегда закладываю /24 (254 хоста). Этого хватает с запасом в три раза, проверено.

Почему я разделяю серверы и пользователей на разные VLAN?

Почему? Всё просто: чтобы пользовательский ПК не мог напрямую «болтать» с сервером 1С по каким-то нестандартным портам. На MikroTik я всегда ставлю файрвол между VLAN, где прописываю чёткие правила: «разрешено только конкретное». Это RDP, SMB, печать, DNS, Kerberos. Такой подход мгновенно убирает 80% риска, что шифровальщик, проникший через одну заражённую машину, начнёт беспрепятственно сканировать всю сеть.

Что такое /30 и /31 — и зачем они нужны?

/30 — это подсеть, которая даёт нам 4 адреса (из них 2 хоста). Её применяют для point-to-point линков между маршрутизаторами. А вот /31 — это вообще всего 2 адреса, как прописано в RFC 3021. Он тоже подходит для p2p, но позволяет сэкономить целых 2 IP! В офисной сети /30 пригодится для соединения двух MikroTik в режиме failover. Ну а /31 — это уже для случаев, когда у вас огромный парк маршрутизаторов, и буквально каждый IP на счету.

Сколько стоит у ITfresh разработка адресного плана с нуля?

Сколько это стоит для нового офиса на 30-50 РМ? Ориентируйтесь на 20-30 тысяч рублей за день работы инженера. Сюда входит всё: проектирование, подробная документация в Visio/Drawio, настройка конфига MikroTik, перенастройка коммутаторов и, конечно, сама миграция со старой, плоской сети. Если же адресный план — это лишь часть большого проекта, например, переезда офиса или развёртывания AD, то мы его отдельно не считаем: он уже заложен в общую стоимость работ.

Итог

На самом деле, CIDR-разметка — это не какая-то там магия или просто теория для сдачи CCNA-экзамена. Нет, это мощнейший инструмент, который буквально определяет всю будущую жизнь вашей сети. Поверьте мне, всего лишь час времени инженера, потраченный на грамотное проектирование адресного плана, сэкономит вашей компании годы мучений с конфликтами IP, нашествиями шифровальщиков и постоянными переездами. Вспомните ту производственную компанию из Бирюлёво: их новая сеть на 9 VLAN прекрасно работает уже два года, и за это время — ни единого инцидента с межсегментным заражением. Если вы чувствуете, что вам пора переосмыслить свой адресный план, просто напишите мне — я с радостью пришлю готовый шаблон, адаптированный под ваши нужды.