我们正在设计一个相当大、但我们没有资格设计的系统。它将类似于一个校园:一个大型主网络,大约有 20 个子网络,这些子网络就像部门,有几个子网用于不同的实验室或子系统,这些子网络需要位于自己的 VLAN 上。
争论的焦点是,我们是否应该尝试让每个部门拥有自己的 IP 空间,或者每个部门都使用相同的空间并隐藏在 NAT 后面。无论哪种方式,每个部门的网关都会有合适的第 3 层交换机。
反复使用相同范围的理由是,为每个部门配置相同的千篇一律的子系统会更容易。系统中有很多非 PC、非网络设备,需要手动配置静态 IP。远程管理这些设备的计划是在 NAT 中打开几个端口,以便 vnc/remote-desktop 连接到内部的 PC。然后使用安装在该 PC 上的应用程序和 web-gui 来管理设备。我认为 NAT 表会越来越大,但至少配置可以轻松地复制到所有路由器。
我觉得这样做会失去很多高级网络功能。我首先想到的是:中央 DNS 和 DHCP 服务、通过网络将操作系统映像部署到崩溃的机器、部署配置和媒体……
还有什么?
请随意编辑我的标题和帖子,使其更有意义。我应该画一幅画吗?
答案1
重复使用子网的主要弊端也是其优点:子网之间没有任何路由方式,因此它们永远无法相互通信。如果你想将它们互连,这很糟糕,但如果你想强制将它们隔离,这很好。
您仍然可以支持 NAT 层之外的网络服务 - 但除非您转发端口,否则不能支持 NAT 后面的网络服务。
我个人不会使用这样的系统;我会使用不同广播域之间的路由器来连接各个域。在这些路由器上,我可以添加任何我想要的防火墙。