在我目前的工作中,我们基于定义了多个虚拟机的 Linux 服务器分发产品(使用 KVM/libvirt)。我们计划向客户网络公开有限的端口,并使用 iptables 将入站流量定向到适当的内部虚拟机。我的问题是:是否有一类私有子网可用于内部仅主机网络,并且最不可能与客户端 IP 子网冲突?具体来说,如果我从任何 RFC-1918 定义的私有子网(例如 192.168.xx)中选择 /24,则有可能与客户使用的范围发生冲突。
我注意到,目前有几种 VM 实现默认为 192.168.122.x - 这是由于我不熟悉的 RFC 所致,因此这是一个可以安全使用的范围(大多数网络管理员都会避免使用)?还是各种 VM 供应商只是随机选择了该范围?我想我正在寻找一个比现有私有(RFC1918)地址更私密的 IP 范围。
我唯一想到的另一个想法是使用为文档目的保留的“测试网络”IP 范围之一(RFC 5737)。请注意,我并不担心客户的网络会阻止这些 IP,因为这只是我们服务器的内部(数据包在离开盒子之前会进行 NAT)。然而,这似乎比仅仅坚持使用默认的 192.168.122.x/24 子网更不合常规。
答案1
我的建议是让客户自行配置。将其作为安装脚本的一部分,然后重新配置内部的所有虚拟机,一切就这么简单。或者每次进行新安装时都派一名技术人员过来 - 如果我是你,我会使用脚本。
如果您作为供应商告诉我,您的设备被硬编码为使用我已经在使用的网络,我会非常生气。
好的 - 简而言之,没有可用的 IP 空间可以保证您不会重叠或以其他方式影响客户端网络,除非使用您实际拥有(但不使用)的公共 IP 范围,这不太可能。您能想到任何应该保留的东西吗?一些聪明的人可能已经在他们自己的网络上使用了它,因为他们有同样的想法!或者他们正在使用的其他供应商也有同样的想法!您可以尝试许多会导致最少破坏的技术,也可以做对,即允许客户进行自己的 IP 配置。您可以将其默认为您想要使用的那个,并假设大多数情况下它不会破坏任何东西,当然,无论如何,这都是您要面对的情况。
答案2
为内部设置完全不同的私有空间有什么问题?对于客户端,我使用示例 10.1.0.0/24,而对于其他客户端,我将分配其他 10 个空间子网。我可能误解了您要查找的内容,但没有理由不分配类似的东西。