Networking

基本IP地址結構

  • June 24, 2011

我們目前有幾台伺服器、大約 30-40 個工作站和 16 部電話。每個設備都有一個靜態 IP 地址。

例如,新工作站的標准設置是;

IP: 192.168.1.XXX
Subnet: 255.255.255.0
Gateway: 192.168.1.99
DNS: 192.168.1.50

隨著我慢慢探索新的伺服器作業系統和虛擬化等。我越來越接近想要更廣泛的 IP 地址。

我想做的是按 IP 分隔設備,如下所示:

Servers        192.168.1.XXX
Workstations   192.168.2.XXX
Printers       192.168.3.XXX
Phones         192.168.4.XXX
VM's           192.168.5.XXX

這是一個壞主意,還是這是一種常見的做事方式?

我最關心的是電話和子網遮罩。這些電話由我們的提供商管理,儘管我可以訪問執行它們的伺服器。

我需要在所有設備上將子網遮罩更改為 255.255.0.0 嗎?還是只有那些改變的?例如,電話不需要連接到除其他電話和電話伺服器之外的任何其他設備。因此,如果我在 192.168.1.XXX 上使用子網遮罩為 255.255.255.0 的電話,然後將我擁有/控制權的所有內容移動到 192.168.X.XXX 並使用新的子網遮罩 255.255.0.0。

那行得通嗎?

你不能真的把你的手機放在 192.168.1.x/255.255.255.0 和 192.168.xx/255.255.0.0 上,因為你有重疊的網路定義。我的意思是……至少在某些情況下(對於某些網路堆棧等),它可能會起作用,但這不是“正確”的方法。

傳統上,Windows 工作站環境中非常大的子網存在問題,因為它們傳輸的廣播流量很大。儘管我認為這實際上與 Windows PC 的實際數量有關,而不是與子網有關。也許 Windows 專家可以對這個領域有更多的了解。

我的建議是保持您的子網較小,但如有必要,請使用其中的幾個。並嘗試在物理上將它們分開。在同一條物理線路上擁有多個子網很煩人(儘管當然不是不可能)——尤其是當多個子網嘗試使用 DHCP 時。

我可能會考慮這樣的配置:

Workstations/Phones    192.168.1.xxx (presumably they use DHCP)
Servers/VMs            192.168.2.xxx (they're probably all in the server closet, so can be on a separate physical subnet)
Printers               192.168.3.xxx (These probably all have static IPs)
Public                 193.168.4.xxx

如果您有無線網路或會議室中有訪客可以使用的乙太網插孔,則此處將使用公共 - 您希望這些在物理上隔離,因此您可以在這裡執行更嚴格的防火牆,並防止陌生人嗅探您的乙太網流量,或使用限制較少的防火牆設置進入您的伺服器,或下載色情內容,或他們可能會發現的任何其他惡作劇。

將工作站和伺服器保持在不同子網上的主要優勢實際上與安全性有關。這樣,您可以在兩者之間設置防火牆,並讓您的工作站網路上的隨機“路人”插入他們的家用筆記型電腦、iPad 或其他任何東西,並危及伺服器的隱私/安全。

如果您的列印機使用 DHCP,您可能希望它們與工作站位於同一網路上……或者您可以設置兩個物理乙太網段(甚至三個)——一個用於工作站,一個用於電話,一個用於列印機。我不確定這裡會有什麼優勢。許多 VoIP 電話充當單埠乙太網交換機,允許電話和 PC 連接到只有一個乙太網插孔的地方。如果您使用此功能,則無論如何您都需要將您的電話和工作站放在同一個物理 LAN 上。(如果您不使用此功能,您需要考慮可能選擇將 PC 插入手機乙太網埠的人——無論是出於方便、無知還是出於惡意)。

我將伺服器和虛擬機放在同一個網路上的原因是因為它們很可能在同一個物理房間中。但是您可能會拆分它們。

所以簡而言之……對我來說,子網(在地址空間用完之前)的主要原因是為了安全,而不是為了額外的地址。這並不意味著它是唯一有效的思想流派。

引用自:https://serverfault.com/questions/283611