从广义上讲,如何安全地从 A 类 (10.xxx) 过渡到 C 类网络?在此设置中,我们有一个互联网网关以及一个单独的本地 DNS 和 DHCP 服务器。
答案1
在我开始之前,以下过程假设您正在移动到一个与现有范围不重叠的全新 IP 范围。如果范围重叠,您还有一系列其他问题需要担心。
- 在您现有的 dhcp 服务器范围内,将租用时间缩短到相对较短的时间...比如说,8 小时或更短,这样您就可以在一夜之间完成切换。
- 等待旧的 dhcp 租用时间的一个完整周期,这样网络上就不会剩下任何具有长期租用的内容。
您正在等待租约到期......
- 规划租赁到期后的维护窗口/停机时间,并将其传达给您的用户
- 检查现有网络上具有静态 IP 的每个设备,并创建一个映射(可能在电子表格中)以在新范围内为它们分配一个新 IP。
- 查找网络上可能配置为连接到特定 IP 的应用程序(LDAP 查找到 Active Directory 服务器、ODBC 数据源和数据库连接字符串是常见示例),并为需要更新应用程序的每个客户端创建一个日志。
- 在 DHCP 服务器上为最初禁用的新 IP 范围创建第二个范围。任何功能齐全的 DHCP 服务都支持此功能,但如果您使用的是消费者/家庭无线路由器之类的东西,最简单的计划可能就是购买一台新路由器,您可以在隔离网络上使用新范围进行设置。
- 为您的新静态 IP 地址在新的 dhcp 范围中添加保留或排除范围,并将范围设置为为您的网关和 dns 服务器以及您使用的任何其他 dhcp 选项提供新地址。
- 根据需要在每个第 3 层设备(如路由器、核心交换机或网关/防火墙设备)上为新 IP 范围添加路由。某些设备会自动获取此信息,因此仅在需要为旧范围定义静态路由时才执行此操作。为新范围添加路由不会破坏旧范围(只要它们不重叠),因此此时一切仍处于在线状态。
一旦租约到期并且续签时间缩短,您就可以切换到新的范围......
- 更新 DNS 服务器,将每个静态 A 记录指向新 IP。本地设备将缓存地址,因此很少会立即中断。但是,从现在开始你就得开始等待了,因为一些 DNS 查找将开始返回尚未生效的新地址,这意味着事情可能会被破坏。
- 禁用旧范围并激活新范围。如果您必须购买新的消费级路由器,现在是时候将其换掉。与步骤 9 一样,大多数设备已经有地址,因此不会立即损坏,但您仍然希望快速行动以避免过多的停机时间。
- 更新网关/防火墙,以进行任何端口转发、NAT 策略或使用旧范围地址的其他规则。
- 浏览步骤 4 中的 IP 映射,并更新每个设备上的配置以使用新的 IP、子网掩码、网关和 DNS 服务器。
- 浏览步骤 5 中的日志并更新需要更改手动配置 IP 的任何客户端的配置。
- 测试,再测试,排除一两件总是出错的事情,再次测试,再测试
- 重新启动或推送脚本对尽可能多的设备执行发布/续订和 DNS 刷新,以让它们丢弃旧租约和旧缓存的 DNS 地址。
一旦你确定一切正常...
- 如果你还没有记录你的新设置和静态 IP,请记录下来
- 删除对旧 IP 范围的所有引用,包括路由和禁用的 dhcp 范围。