我有一台 Draytek Vigor 2820,它连接到三个千兆 Netgear 第 2 层交换机。目前网络相当简单,192.168.1.0/24。
我的网络中有 7 台服务器、大约 50 台计算机、6 台网络打印机、16 部 IP 电话以及通过三个无线接入点连接的 5 到 10 台无线笔记本电脑。
尽管我们有大量可用的 IP 地址,但我认为使用 IP 地址识别设备可能会更有效一些。
我们也有三个分支机构,它们通过 VPN 隧道连接。
到目前为止,我们有以下IP结构:
Main Practice - 192.168.1.0/24
Branch 1. - 192.168.2.0/24
Branch 2. - 192.168.3.0/24
Branch 3. - 192.168.4.0/24
我们称他们为分支机构,但他们本质上大部分都是永久在家办公的人。规定任何非隧道 VPN 用户都分配有大于 192.168.1.200/24 的 IP 地址。
我希望将所有服务器放在 10.1.1.0/24 之类的网络上,将无线接入点放在 10.1.2.0/24 上,并将打印机放在 10.1.3.0/24 上。
我认为我们的网络不需要 VLAN,但我认为上述想法可以简化事情。更不用说使我们可用的主机地址数量大大增加。
使用一个路由器,是否可以使用相同的网关向不同的子网添加静态路由?我在 Windows 2008 R2 上运行一个 DHCP 服务器,我想我可以为每个新子网添加一个新范围?
此计划有哪些重大缺点?
答案1
此计划有哪些重大缺点?
是的。这很复杂。一般来说,您需要将设备分开到不同的子网中,因为您需要进行过滤、记录或路由。例如:您的所有 DMZ 服务都位于您的客户端无法直接访问的单独子网中。
除非您通过使用这种我看不到的设置获得明显优势(这当然是可能的),否则您只是在购买额外的复杂性。抵制过度聪明的诱惑。
尽管我们有大量可用的 IP 地址,但我认为使用 IP 地址识别设备可能会更有效一些。
我认为,如果你想通过 IP 地址识别设备,你这样做是错的。虽然将服务器放在这个 IP 子网中、将打印机放在那个子网中、将工作站放在另一个子网中、将无线客户端放在另一个子网中听起来是个好主意 - 但很快您就会发现您的路由表变得复杂... 很快(并且没有必要)。
已经有一个服务设置来识别设备...DNS!当你能给你的设备起一个人类可理解的名字时,为什么还要费心去记住 IP?
我认为我们的网络不需要 VLAN,但我认为上述想法可以简化事情。更不用说使我们可用的主机地址数量大大增加。
我认为你说得对,你可能不需要 VLAN。但是,如果存在性能问题,将所有 VOIP 设备放在单独的 VLAN 上可能还是值得的。
答案2
我假设您想在同一个物理段上添加多个子网?虽然这是可能的,但这将要求您定义一个“ip 别名”或“子接口”(取决于您的路由器品牌使用的确切术语 - 我不熟悉它),基本上在同一个物理接口上分配多个 IP 地址。
这样做的一个问题是,从您的 LAN 到服务器的所有流量都必须通过路由器,而路由器很可能无法以千兆速度路由,即使可以,速度仍然会变慢。
我不太熟悉 Windows 的 DHCP 服务器,所以我不知道它是否能做你想做的事 - 单个网段上的多个子网。但你必须有某种方法来配置 DHCP 服务器,以根据请求 IP 的计算机的 MAC 地址提供不同的子网。
实际上也没有任何安全优势,攻击者也可以在您的工作站上创建一个 IP 别名来直接访问您的服务器 LAN。
我个人不会实施这样的措施,因为这会使您的网络变得更加复杂,而不是更简单。我要么使用多个 VLAN,要么将所有内容放在同一个子网上。