複数の建物戦略のためのサブネット化と VLAN

考慮すべき要素が多く、提供される情報が少ないため、シナリオベースでこの質問に答えるのは非常に難しいです。しかし、一般的な意味では、これが私の見解です。

まず、ホーム ユーザーとの類似性に基づいて、どのプライベート アドレス グループも他のグループよりも望ましい、または望ましくないということはないという質問に対するコメントに同意します。私の経験から言うと、VPN ユーザーとの競合をどれだけ回避しようとしても、ユーザー「A」で競合が発生しない場合は、最終的にはユーザー「B」で競合が発生します。

質問で触れられていない重要な点の 1 つは、デバイスの量と、インフラストラクチャの存続期間中に予想される増加です。範囲が広く曖昧なため、ポイントは一般的なものに留めておきます。

ネットワークを建物ごとにサブネットに分割することに決めた場合は、まず必要な建物の数を特定し、次にこれが長期間 (5 ～ 10 年) にわたって十分である可能性を検討します。過度ではなく現実的なネットワーク数を決定するようにしてください。通常は余裕を持って、最低限のオーバーヘッドを許容します。これを使用して、より高レベルのサブネットに実用的な最も狭い範囲を定義します。

たとえば、建物が 3 つあるが、10 年以内に 5 つに増えると予想される場合は、これに適した 2 を底とする倍数を選択し、最初の使用可能なオクテットをこのプレフィックスで分割します。たとえば、最大 8 つのネットワークを持つ 172.16.xx の場合:

000 | x xxxx . xxxx xxxx - Common Equiptment. 192.168.0.0 /19
001 | x xxxx . xxxx xxxx - Building 1. 172.16.32.0 /19
010 | x xxxx . xxxx xxxx - Building 2. 172.16.64.0 /19
011 | x xxxx . xxxx xxxx - Building 3. 172.16.96.0 /19
100 | x xxxx . xxxx xxxx - Building 4. 172.16.128.0 /19

これにより、アドレス スコープが最大化され、さらにサブネット化できるようになります。また、残りのネットワークの大部分で、.19 スコープ内のすべてのサブネットが同じノードを経由する場合、ルートの定義が簡単になります。このバランスは 2 方向に機能することに注意してください。たとえば、主要な建物に加えて、リモート オフィスなど、多くのアドレスは必要なく、接続するだけでよい少数の建物があるとします。これらの建物に 1 つの建物の「親」サブネットを割り当て、分割してサービス提供することができます。最終的な目標は、最も必要になる可能性が高い場所に最大のアドレス空間を維持することです。

ここから、ネットワークをさらにアプリケーション固有の割り当てに分割することになります。次のような操作を行うことができます。

建物1（上から）。

001 | 0 0 | xxx . xxxx xxxx - Building 1's Default Network. 172.16.32.0 /21
001 | 0 1 | xxx . xxxx xxxx - Building 1's Misc Networks. 172.16.40.0 /21
001 | 1 0 | xxx . xxxx xxxx - Building 1's Phone Network. 172.16.48.0 /21

これをさらに進めると次のようになります。

001 | 0 1 | xxx . xxxx xxxx - Building 1's Misc Networks. 172.16.40.0 /21
001 | 0 1 | 001 . xxxx xxxx - Management Network. 172.16.41.0 /24
001 | 0 1 | 010 . xxxx xxxx - Security Camera Network. 172.16.42.0 /24
001 | 0 1 | 011 . xxxx xxxx - Alarm System Network. 172.16.43.0 /24

重要なのは、自分のシナリオに適したソリューションを見つけることだと思います。おそらく、次のことが必要になるでしょう。

• 成長の可能性が最も高い場所で、成長の余地を最大化します。推測ですが、それはエンド ユーザーのネットワークだと思います。
• 可能な限り一貫したパターンを維持して、ACL とファイアウォール ルールを簡素化します。たとえば、3 番目のオクテットで、パターン「01」の 4 番目と 5 番目のビットが常に「その他のネットワーク」を示すことがわかっている場合は、1 つのビットマスクを使用して、1 つのルールですべての建物をキャプチャできます。
• アドレス空間がユーザーのホーム ネットワークと競合するかどうかに焦点を当てるのではなく、ユーザーがどのように使用するかに焦点を当てて設計するようにしてください。たとえば、変換やオーバーロードがなく、追加のルーティング トラフィックが通過するポイントツーポイント VPN の場合、互換性のあるアドレス スコープを維持することが重要になることがあります。ただし、ほとんどのホーム ユーザーの場合、エンド デバイスから接続し、そのデバイスは接続をすべてのトラフィックのゲートウェイとして扱うため、衝突は問題になりません。これと異なることは、使用ポリシーに違反し、サポートの範囲外になる可能性があります。
• 同じサブネットのネットワークは、同じ VLAN 上にある必要はありませんが、おそらくそうあるべきです。VLAN ID はまさにそれです。単なる数字です。接続されたデバイス間で交換されない限り、同じである必要はありませんが、一貫性のない VLAN ID 構造を持つことが有益となるシナリオは思いつきません。同じネットワークの 2 つの異なる VLAN を結合するには、ブリッジ (スイッチ) を使用します。基本的に、スイッチを複数のサブ スイッチに分割し、保守が困難な方法で非効率的に結合することになります。
• 不要なルーティングを最小限に抑えます。これらすべてのネットワークを持つことは便利で論理的ですが、ルーターを介してネットワーク A からネットワーク B に大量のトラフィックが渡される場合、ポート速度が適切であるという前提でルーターがそれをサポートできると想定するだけでは不十分です。たとえば、Cisco 1941 デュアル ギガビット イーサネット ルーターは、デュアル ギガビット ポートを備えていますが、ネットワーク間のスループットは 153 Mbps と推定されます。(スループット仕様）
• ネットワークが十分でないこと (...矛盾しているようですが)。サブネットを使用してネットワークを分割しなかった場合、ブロードキャストはすべてのデバイスに到達します。特定のデバイス グループが頻繁に直接通信する必要がないことがわかった場合、これはそれらのデバイスを分離する必要があることを示す良い兆候です。
• ネットワーク内およびネットワーク間で水平方向のスケーラビリティを活用します。1 台の大きなサーバーですべてのユーザーにサービスを提供するのではなく、各ネットワークにクライアントのみにサービスを提供する小さなサーバーを用意します。サーバーは共通のデータ ソースを共有できるため、ルーターの負荷も軽減されます。ただし、水平方向のスケーリングを実現する方法は多数あります。

これがお役に立てば幸いです。あるいは、何かアイデアが浮かぶと嬉しいです :)