是否建议在同一个局域网上使用多个私有寻址方案,以便能够在 tcpdump 或类似程序中轻松区分它们?例如,fw 10. dmz 172.16. wifi 192.168。这会给我以后带来麻烦吗?有哪些不可预见的潜在问题?
答案1
它不会产生任何问题根本不是 – 地址只是地址,IP 不关心它们是公共的还是私有的,也不关心它们是来自相同的基本范围还是不同的基本范围。
它将创造的是不便之处因为它使路由聚合变得更加困难或不可能。例如,如果我的所有子网都是 10.147.x.0/24,那么我可以在防火墙规则中说“允许 10.147.0.0/16”,这将在单个规则中匹配它们。但您需要分别列出 LAN 的不同部分 - 至少需要三个单独的条目(每个私有范围一个)。
如果使用静态路由,路由也会变得更加复杂。假设您有一个主路由器,然后是一个有 5 个子网的辅助路由器(无论出于什么原因)。如果它们共享相同的基本前缀,则主路由器只需通过辅助路由器知道一个聚合“超网”路由。如果它们不知道,则需要五个。
非常类似,如果您想配置 VPN 服务器以便随时随地访问您的家庭系统,您通常会告诉它向连接客户端通告特定的网络路由。如果您的所有子网都共享相同的前缀,则只需配置 VPN 服务器以提供该前缀 - 但如果不是,则必须列出您的每个子网。
这实际上与子网划分方式有关发明。起初,IP 网络只有 3 种大小(不存在“子网”和“网络掩码”),但组织很快发现,他们需要请求多个 /24(当时称为“C 类”)来表示其大型网络的不同部分,这非常不方便。当引入子网划分时,他们能够只请求一个 /16 范围(“B 类”)并在内部对其进行细分。
答案2
您所做的会起作用,但老实说,您的地址方案太复杂了。
只需使用 10.xxx 网络并将其划分为 C 类段。例如:fw - 10.1.1.x/24 vpn - 10.2.2.x/24 dmz - 10.3.3.x/24 lan - 10.4.4.x/24 wifi -10.5.5.x/24
这样每个子网就会有 256 个地址可供您使用,而且使用简单的 10.1-2-3-4-5 编号方式,您一眼就能记住自己所处的位置。