简短问题
为我的服务器提供静态 IP,所有服务器的子网掩码均为 255.255.0.0,将其从 C 类网络变为 B 类网络,这是一个坏主意吗?服务器的 IP 地址范围从 192.168.10.10 到 192.168.10.20,并且都允许彼此看到。客户端可以位于同一范围内,也可以位于 192.168.11.x 中
长问题
我正在尝试设置 DHCP 服务器,并决定要为网络提供灵活性。我有时会更换具有不同配置的路由器,而预先配置服务器以匹配我将要使用的路由器总是很麻烦,尤其是因为有时路由器也是我的调制解调器,而其他时候它是辅助路由器。
我过去曾尝试使用 DHCP 服务器通过 DHCP 保留为我的服务器提供其 IP 地址,但我发现设置起来很麻烦,因为您不知道哪个服务器具有哪个 MAC 地址,我需要将这些写下来以便我可以稍后配置它们。
我决定为我的服务器使用静态 IP 地址,无论如何这都是最佳做法。不同的路由器和不同的调制解调器在不同的 IP 地址范围内工作,并且无法始终完全配置以满足需求。例如,如果我的调制解调器处于桥接模式,它将坚持始终处于 192.168.100.x 范围,这会对我的路由器网络造成严重破坏。同样,如果调制解调器未处于桥接模式,它将根本不接受 192.168.100.x 作为范围。
我已决定将 192.168.10.x 作为放置静态 IP 地址的范围,并且每个路由器(如果可能)都将配置为将 DHCP 配置为 192.168.11.x,子网掩码为 255.255.254.0。这很有效。
我现在的问题是,如果我为静态 IP 设备提供 255.255.0.0 的子网掩码,而 DHCP 提供不同的子网掩码,这是否真的会造成损害,或者是否存在安全风险?
理论上,范围会重叠,因此设备仍然能够顺利通信,并且允许我稍后动态地将 DHCP 范围扩大到更大的范围,而不必更改所有固定 IP 的子网掩码地址。
那么,为所有静态 IP 地址指定 255.255.0.0 子网掩码是个好主意吗?如果这是一个见仁见智的问题(即,这无关紧要),那么这也是一个答案,对我来说,这意味着:是的,可以做到。如果有理由认为这是一件非常糟糕的事情,那么这就是另一个答案。所以两者之一。如果答案是肯定的,我确实希望知道原因,以便我可以从中吸取教训。
提前致谢。 :)
答案1
据我所知,这不是一个安全风险。
我认为更好的解决方案是为您的配置测试网络使用 VLAN。您需要一台支持 802.1q 的交换机和路由器。这将为您提供最大的灵活性。如果您的路由器实际上有多个接口,您也可以使用传统的子网划分。(不是消费级组合设备)
据我所知,子网掩码的设置实际上没有正确或错误的方法。通常,您希望将其保持足够小,以免广播流量成为问题(一个临时网络空间或“广播域”中的设备太多)。除了浪费私有地址空间外,这是一个见仁见智的问题。
我将 pfsense 与 VLAN 结合使用,它非常适合设置临时/家庭实验室网络以进行配置。完成后,您可以删除端口 VLAN 成员资格,它还允许您对每个虚拟分离的网络进行非常严格的控制。(流量规则、每个子网的自定义 DHCP 等)
此致,