我正准备进行一次相当大规模的 IP 重组。目前我们位于一个子网中。192.168.0.x / 255.255.255.0。
网关 + 防火墙 = 192.168.0.15(T1 和 ADSL 与此相关)
Active Directory DC + DNS + DHCP(我知道,都在一台服务器上,这是大忌,本地只有 10 个人)192.168.0.150
备份 DC1 = 192.168.0.151
备份 DC2 = 192.168.0.152
邮件服务器 = 192.168.0.43
我有一个 Windows 和 Linux 混合的环境。
DHCP 范围分发 192.168.0.170-254
3 台静态 IP 网络打印机
大约有 10 个其他杂项 Linux/Windows 服务器。
我希望进行设置,以便所有静态地址(服务器、打印机等)都在 192.168.10.x 上,并且所有 DHCP 地址都在 192.168.15.x 上。
但是,在进行测试时,我注意到一些事情,这让我觉得我低估了这个项目的规模。我为服务器 2003 框分配了一个静态地址,并给它一个地址 192.168.10.33,然后我输入了网关 192.168.0.15。它警告我网关位于不同的子网上。每个子网都需要不同的网关吗?192.168.10.x 和 192.168.15.x?我可以在防火墙中设置一个 IP 地址别名,以便它输出 192.168.10.15 以及 192.168.15.15 吗?
在我看来,对于这种重组,我只需在 MS DHCP 中设置 DHCP 范围,重新配置所有服务器,使其静态地址为 10.x 而不是 0.x,然后重新启动所有工作站。DNS 将自行解决。设置 FW/网关,使其具有静态 10.xw/ 别名 15.x。这是一个安全的假设吗?还考虑到通常伴随此类事件而来的大约 10 多个小时的疯狂问题。
任何帮助或指南链接都将不胜感激。谢谢!
答案1
这听起来可能有些冷酷无情和麻木不仁,但我感觉你可能正走向一场灾难。
您使用包含“.10”和“.15”的子网,这让我觉得您这样做纯粹是出于美观的原因(因为这些甚至不是 2 的幂)。将 IP 地址排列得“漂亮”会带来麻烦,但实际上并不会实现任何有用的效果。
对 LAN 进行子网划分只有两个原因:
由于广播域过大而导致的性能问题,可能是由于广播数据包流量或以太网交换机将帧泛洪到未知目的地
在“瓶颈”处过滤数据包/流量,以执行策略或满足安全要求
除了这些原因之外,没有理由对 LAN 进行子网划分。
不是无礼,但你问的问题像“我是否需要为每个子网设置网关?”让我觉得你可能需要上一堂关于 IP 路由和子网划分的课程。Server Fault 上有几个很好的答案谈到了这一点。如果你不知道如何做你计划的事情,你最终会陷入混乱。
如果在以太网上运行的 IP 网络上运行的主机通信过程的任何部分对您来说都是一个谜(即 ARP 如何工作等),那么您最好在继续之前先了解一些相关知识。
您提议的配置比您想象的要复杂。例如,您的 DHCP 服务器位于 192.168.10.0/24 子网中,如果您的路由器没有为客户端执行 DHCP 中继,它就不会为 192.168.15.0/24 地址发放租约。您将通过路由器路由客户端和服务器之间的所有流量,因此,除非路由器能够处理线速以太网流量,否则您将会造成瓶颈。总的来说,我看不出您提议的配置有什么优势。
您为什么要这样做呢?听起来您的主机数量非常少,因此您不应该用尽 192.168.0.0/24 子网中的地址。(我可以理解想要摆脱 192.168.0.0/24,因为许多尝试通过 VPN 访问您的网络的家庭用户都会遇到问题,为什么这么多家用路由器出厂时都使用 192.168.0.0/24 子网“开箱即用”。除此之外,我想不出改变的充分理由……)
您的评论很有帮助--谢谢。
您正在“划分子网”,因为您正在考虑创建多个 IP 子网。为了使主机能够与其子网通信,它需要另一台主机来促进该通信——该主机在源子网和目标子网上都有接口。那就是路由器(“网关”)。
根据我对您的业务的了解,以下是我规划您的网络的方式:
如果您不打算在“主”站点上拥有超过 254 个主机,请将那里的所有内容更改为“192.168.127.0”,子网掩码为“/24”(255.255.255.0)。如果您担心“主”站点上的 254 个主机不够用,请将其更改为“192.168.126.0”,子网掩码为“/23”(255.255.254.0),使那里的有效主机范围为 192.168.126.1 至 192.168.127.254。
从“192.168.128.0/24”开始对远程站点进行编号,然后继续到“192.168.129.0/24”等。如果您担心远程站点可能有超过 254 个主机,请将其编号为“192.168.128.0/23”、“192.168.130.0/23”等,为每个远程站点提供 510 个可能的主机。
任何第三个八位字节大于或等于 128 的 IP 地址都将是远程站点。任何小于 128 的 IP 地址都将是“主站点”。假设您不打算拥有超过 127 个远程站点(每个站点有 254 个主机,如果您为远程站点使用 /24 子网掩码),您将可以很好地适应此 IP 方案。(您也可以拥有 63 个远程站点,每个站点有 510 个主机......)
如果“主站点”继续变得越来越大,您只需将其子网向下扩展至 192.168.0.0。您的“主站点”最终可能会在“主站点”网络中拥有 32766 个主机(但此时,您可能已在内部将其拆分为多个子网。但是,就 VLSM 而言,主站点将汇总为 192.168.0.0/17,而远程站点将汇总为 192.168.128.0/17。)
最终,这样的策略将允许大量的增长和相当小的核心路由表。这不是“正确答案”……它只是一个回答。
这可能没有多大意义,但我建议读下去,直到至少部分理解为止。>微笑<
我真的不会纠结于在子网中创建 IP 地址“范围”来放置服务器、打印机、客户端计算机等。DNS 允许您识别主机。在我看来,记住“xxx IP 地址分配给打印机”是浪费您的脑力。我让整个子网可用于 DHCP,为任何静态配置的设备预留,并使用 DHCP 数据库作为我的“IP 地址参考”,而不是制作经典的、很快就会过时的 IP 地址 Excel 电子表格。我给每个主机命名,确保 DNS 已更新(正向和反向区域),并且过着快乐的生活,不会让 IP 地址信息堵塞我的记忆。
答案2
我知道的两个最简单的选择:
选项1
将现有子网扩展至更大并容纳所有内容。
优点:非常简单
缺点:仅一个广播域
您当前的设置如下:
- 192.168.0.0
- 255.255.255.0
将所有东西的子网掩码设置更改为:
- 192.168.0.0
- 255.255.0.0
网关现在可以位于以下范围内的任何位置:192.168.xx
选项 2
为每个网络添加网关
优点:子网和广播域的分离
缺点:需要更多网络配置。可能需要重新修补设备
使用单独的交换机在物理上或使用 vLAN 在虚拟上分离子网。通过单独的连接将两个网络连接到路由器/防火墙。将路由器配置为每个接口的网关,并在子网之间配置适当的流量规则,以允许用户访问所需的服务器资源。例如
- 端口 0 - 192.168.15.x 网络网关,IP 地址 192.168.15.1
- 端口 1 - 192.168.10.x 网络网关,IP 地址 192.168.10.1
- 端口 2 - 192.168.0.x 网络网关,IP 地址 192.168.0.1(迁移期间可选)
步骤如下:
- 获取服务器设备的网络交换机
- 将其插入备用端口上的路由器/防火墙,并配置路由器/交换机以从此接口为新服务器子网 10.x 提供服务
- 将服务器迁移到新子网,直到工作站子网上不再有服务器
- 一夜之间,将工作站子网从 0.x 重新配置为 15.x
选项1如果您只是想要更多可用的 IP,这似乎是最好的选择。如果您这样做是为了隔离您的网络,选项 2是正确的做法...我建议从新的子网 + 网关 IP 进行 vLAN,然后逐个端口地迁移到其中。