在系统管理员的生活中,总会有需要定义 IP 子网的时刻。无论是小型家庭 LAN 还是无尽的公司 WAN(其中未知路由深处隐藏着疯狂),IP 地址总是需要选择、划分并分配给某个设备(无论是否值得)。而且,虽然在公共互联网的“现实世界”中,您只需要服从 ISP 的命令,但当涉及到您自己的私人网络时,您可以自由选择您的路径和最终命运。
众所周知(或者应该知道),强大的 RFC 1918 规定私有网络 IP 地址只能分为三大块:
192.168.0.0/16
172.16.0.0/12
10.0.0.0/8
你最喜欢哪一个?
你通常选择多大来建立子网,当然不管你有多少台设备真的需要连接到它吗?
您认为应该将其保持在最低限度,还是应该尽可能地伟大和辉煌?
您相信“圆形”子网(/8、/16、/24)的规律和秩序,还是更喜欢“非圆形”子网的无政府状态和缓慢混乱?
您遵循“我们的网关应该是 .1”的神圣学派、“它应该是 .254”的邪恶神殿,还是“它的秩序应该以我们想要的结局结束”的亵渎教义?
您是否在内心深处认为服务器应该有“低”地址,而客户端应该使用“高”地址?还是只有命运才能决定服务器和客户端的调用方式?
您是否总是在您管理的所有子网中使用(或尝试使用)相同的结尾数字,以便在您最需要的时候找到您的网关和 DNS?
您相信 DHCP 还是静态寻址?而且,您是否相信它们的混合子项,即带预留的 DHCP,即使对于非客户端机器(如网络打印机或服务器,愿诸神原谅您)也有信心?
"Take this and divide it; this is my 2^32 address space,
which shall be endlessly fragmented for all your addressing needs,
until IPv6 may finally come."
答案1
我崇拜 00001010/11111111。如果你不渴望拥有最大的网络,神灵会生气的。它允许最大的灵活性,并且与平民网络的冲突最少。
我发现对于大多数网络来说,一个好的 /24 是理想的尺寸,您有足够的空间来伸展,让您的服务器有一些喘息的空间,您需要记住,他们和我们所有人一样都有个人空间问题。
我唯一一次花费网络和服务器之神赐予我的脑细胞来进一步划分子网是为了那些自以为比其他设备都优秀的设备 - 路由器、交换机、防火墙,我说的就是你们!我试图将它们限制在 /25 或更小的范围内,否则它们的傲慢会开始蔓延到服务器上,而你不能让服务器越界。如果让这种情况继续下去,就会发生非常糟糕的事情,文件开始消失,服务崩溃,我告诉你,这很糟糕,一点也不好!不过,为了让网络设备保持一致,我们让路由器/防火墙使用子网中的第一个可用地址(可能是 .1... 可能是 .33 - 取决于您的网络掩码),这些地址通常会让它们保持一致。
“你永远不能把客户端和服务器混在一起,因为如果你这么做了,就会有一场大战,并给那些自以为能控制他们的人带来毁灭” -BOFH 20:15
“如果你让那些不洁之人不受约束地获取你最宝贵的资源,你就会被赶出我们神的殿堂,并被烙上“用户”的烙印”——BOFH 16:2
没有充分的理由在生产网络上安装 DHCP 服务器 - 可以构建服务器,但不能构建生产。客户端网络始终具有 DHCP,在需要的地方保留(或审计员需要!)
“控制网络分配的人必须确保它只对他自己方便,而不对其他任何人方便” -BOFH 1:1
...翻译是使用相同的主机地址,您可以...一切都会变得更容易。
答案2
除了这里给出的所有明智的建议之外,我发现还有一个有用的建议:为了舒适起见,请避免与您的办公室或您可能需要(远程)连接的其他 LAN 使用同一个网络。
这个提示极大地改善了我的 VPN 体验:例如,当192.168.0.1您尝试修复家庭路由器和远程服务器时,拥有相同的子网可能会很烦人。然后您必须通过 VPN 界面添加手动路由,等等。
其余一切事宜均可使用万事达卡。
答案3
我当前最喜欢的多站点设置寻址解决方案。
10.数据中心.机架.RACKU+100
每个机架都有一个 /24,我将其终止于一对核心交换机/路由器上。
它非常注重细节,但我仅通过查看 IP 地址就能推断出很多信息。
使用一对核心路由器,我有两个浮动默认路由 .1 和 .2。(HSRP/VRRP)实际接口 IP 是 .3 和 .4。
奇数美国默认路由到 .1 偶数美国默认路由到 .2
在分配官方 IP 之前,我将 DHCP 范围设置为 200-240,以进行 PXE 启动测试。
答案4
当然,子网大小的选择要基于网络的大小,并留有足够的空间以备将来扩展,因为重新编址总是一件很麻烦的事。话虽如此,我最喜欢的子网是以 192.168. 和 10. 开头的子网:我真的受不了 172. 子网,当然这没有任何理性的原因:这纯粹是出于审美考虑。
我更喜欢“圆形”子网,因为有了它们,可以更容易地记住子网掩码、网络和广播地址,并知道地址属于哪个子网。
对于小型网络,我倾向于选择 192.168.X C 类子网,因为 254 个地址肯定足够了;我通常在这里相当保守,选择最简单的:192.168.0 和 192.168.1;我也很喜欢 192.168.42.0/24,因为显而易见的原因。
对于较大的网络,我通常遵循相同的原则:使用 10. 个地址,您可以拥有 256 个子网和 65534 个主机,或者 65536 个子网和 254 个主机:对于任何网络来说都绰绰有余,无需花哨的 /13、/28 或 /27 子网。当然总会有例外,但这是我的一般规则。
在网络和系统管理方面,我坚信秩序,因为计算机系统本质上往往是混乱的(如混沌理论):最小的错误都可能导致不可预测的结果。在网络寻址中,我尝试始终对相同的角色使用相同的结束地址;这是我对 C 类网络的典型细分:
.1 是默认网关。.11
和 .12(可能还有 .13、.14 等等)是域控制器、DNS 和 WINS(如果使用)服务器。.25
是邮件服务器。.80
是 Web 服务器或代理服务器(如果有的话)。
我通常对服务器使用“低”地址,对客户端使用“高”地址;前者始终是静态地址,而后者使用 DHCP 分配。我非常喜欢客户端的 DHCP 和动态 DNS,但我从不将其用于服务器和其他“固定”系统,例如网络打印机和扫描仪。
如果网络更大且更加分段,我喜欢将服务器放在一个子网上,将客户端放在其他地方;如果网络大到需要 VLAN,那么客户端(甚至服务器)子网当然可以不止一个。