好奇其他人是如何做到这一点的一点反馈。
我正在查看的站点有多个通过光纤连接的建筑物,每个建筑物都有自己的子网。
192.168.0.0 - Building 1 - VLAN10
192.168.1.0 - Building 2 - VLAN20
192.168.2.0 - Building 3 - VLAN30
ETC
(据我了解,位于 192.168 子网上会产生不良影响)
每栋建筑都运行自己的小型数据中心,配备 DHCP 服务器和域控制器。
我最大的问题是,我认为在
192.168.0.1 - building 1
192.168.0.5 - building 1
192.168.1.11 - building 2
192.168.2.5 - building 3
etc.
显然,我可以将所有网络设备放在 192.168.0.0 子网,将所有服务器放在 192.168.1.0,将 DHCP 放在 192.168.3.0,但这会创建交叉 VLAN。
例如,我可能仍然希望在 VLAN20 中为该建筑物中的所有计算机设置一个 DHCP 服务器,同样,在 VLAN10 中为该建筑物中的那些计算机设置一个 DHCP 服务器。
按照传统,VLAN 与其子网保持 1:1 的关系。
其他人是如何做到这一点的?您是否知道 192.168.0.1-.50 是为服务器设备保留的?
我来自 10.1.0.0/21 网络,因此我们有足够的地址来将所有内容分开,并且根本没有对其进行 VLAN 化。
答案1
这个问题很难根据具体情况来回答,因为要考虑的因素很多,而提供的信息却很少。不过,从总体上来说,这是我的见解。
首先,我同意反对这个问题的评论,即基于与家庭用户相似的敏感性,没有哪个私人地址组比其他地址组更受欢迎或更不受欢迎。根据我的经验,无论你如何努力避免与 VPN 用户发生冲突,如果用户“A”没有发生冲突,最终会有某个用户“B”发生冲突。
您在问题中没有提到的一个关键问题是设备数量以及基础设施生命周期内的预期增长。由于范围开放且含糊不清,我将仅谈一般性观点。
如果您决定将网络按建筑物划分为子网,请首先确定所需的建筑物数量,然后考虑这是否足以满足长期(5-10 年)的需求。尝试确定一个不太多但切合实际的网络数量。我通常会比较宽松,允许边际开销。使用此方法定义更高级别子网的实际最窄范围。
例如,如果您有 3 栋建筑,但预计 10 年后可能会增加到 5 栋,则选择一个合理的基数 2 倍数,并使用此前缀拆分第一个可用八位字节。例如,172.16.xx 最多有 8 个网络:
000 | x xxxx . xxxx xxxx - Common Equiptment. 192.168.0.0 /19
001 | x xxxx . xxxx xxxx - Building 1. 172.16.32.0 /19
010 | x xxxx . xxxx xxxx - Building 2. 172.16.64.0 /19
011 | x xxxx . xxxx xxxx - Building 3. 172.16.96.0 /19
100 | x xxxx . xxxx xxxx - Building 4. 172.16.128.0 /19
这将最大化您的地址范围,并允许进一步划分子网。如果任何 .19 范围内的所有子网都通过同一节点连接到大多数剩余网络,那么它还可以简化路由定义。请注意,这种平衡应该双向起作用。例如,假设除了主要建筑物外,您还有少量建筑物,例如远程办公室,它们不需要很多地址,而只需要连接 - 您可以为这些建筑物分配一个建筑物“父”子网,并将其划分为它们提供服务。您的最终目标是将最大的地址空间保留在最需要的地方。
从这里,您可能会发现您的网络进一步划分为特定于应用程序的分配。您可能会执行以下操作:
1 号楼(从上方俯瞰)。
001 | 0 0 | xxx . xxxx xxxx - Building 1's Default Network. 172.16.32.0 /21
001 | 0 1 | xxx . xxxx xxxx - Building 1's Misc Networks. 172.16.40.0 /21
001 | 1 0 | xxx . xxxx xxxx - Building 1's Phone Network. 172.16.48.0 /21
我们可以更进一步:
001 | 0 1 | xxx . xxxx xxxx - Building 1's Misc Networks. 172.16.40.0 /21
001 | 0 1 | 001 . xxxx xxxx - Management Network. 172.16.41.0 /24
001 | 0 1 | 010 . xxxx xxxx - Security Camera Network. 172.16.42.0 /24
001 | 0 1 | 011 . xxxx xxxx - Alarm System Network. 172.16.43.0 /24
我认为最重要的是找到适合您情况的解决方案。您可能需要:
- 在最有可能实现增长的地方最大化增长空间。我猜,这将是您的最终用户网络。
- 尽可能保持一致的模式,这样 ACL 和防火墙规则就可以简化。例如,如果您知道在第 3 个八位字节中,模式为“01”的第 4 位和第 5 位将始终表示“杂项网络”,那么您可以使用一个位掩码在一条规则中捕获所有建筑物。
- 不要关注地址空间是否会与用户家庭网络发生冲突,而要尝试将设计重点放在用户如何使用它上。例如,如果它是一个点对点 VPN,没有转换也没有过载,有额外的路由流量通过,那么保持兼容的地址范围可能很重要。但对于大多数家庭用户来说,冲突并不重要,因为他们将从他们的终端设备连接,他们的设备将把他们的连接视为所有流量的网关。任何偏离这一点的行为都可能违反您的使用政策,并且超出了您的支持范围。
- 同一子网的网络不需要位于同一 VLAN 上……但它们可能应该位于同一 VLAN 上。VLAN ID 就是一个数字。如果连接的设备不交换它,它就不需要在它们之间保持一致,但我想不出任何使用不一致的 VLAN ID 结构会有什么好处的场景。要将同一网络的两个不同 VLAN 连接在一起,您可以使用网桥(交换机)。本质上,您将把交换机拆分成多个子交换机,并以一种难以维护的方式低效地连接它们。
- 尽量减少不必要的路由。虽然拥有所有这些网络可能很好而且合乎逻辑,但如果大量流量通过路由器从网络 A 传输到网络 B,那么仅仅假设路由器能够在其端口速度足够的前提下支持它是不够的。例如,Cisco 1941 双千兆以太网路由器,虽然具有双千兆端口,但网络之间的吞吐量估计只有 153Mbps。(吞吐量规格)
- 没有足够的网络(……自相矛盾)。如果您不使用子网来划分网络,广播将到达所有设备。如果您发现某些设备组不需要经常直接通信,这是一个很好的迹象,表明它们应该分开。
- 拥抱水平扩展,无论是在网络内还是跨网络。不要让一台大型服务器为所有用户提供服务;为每个网络配备一台较小的服务器,只为其客户端提供服务。它们可以共享一个公共数据源,这也会减轻路由器的负担。不过,有很多方法可以实现水平扩展。
我希望这对你有帮助或者给你一些想法:)