我们有一个客户,其 LAN 上有一个 192.170.130/24 子网,该子网被 NAT 到其 ISP 的 WAN IP 地址。这是一个好主意吗?还是他们应该在其 LAN 上使用 RFC1918 地址?
谢谢
答案1
这是不好的做法。他们应该使用私人课程。
原因是,如果您的客户获得了响应 WAN 请求的服务器,则会出现问题,因为该服务器将不会路由到他认为属于其本地 LAN 的互联网请求。
就您而言,您的客户阻止了自己与使用该 IP 范围的德克萨斯州的潜在客户建立联系。
答案2
这种情况很不寻常,也很罕见,但并没有什么不对。我曾与几位遇到这种情况的客户合作过。
这是个好主意吗?这是一个主观问题。每个人对这是否是一个“好”主意都有自己的看法。一般认为这不是一个好主意。
是否有任何技术原因需要更改?也许……但可能没有。您想要实现什么目标?最终目标是什么?增强安全性?RFC 1918 与安全性无关。
在 RFC 1918 之前(是的,RFC 1918 之前确实有一段时间),每个人都在内部使用“公共”IP 地址。请参阅以下链接中的第 2 部分,了解 RFC 1918 背后的动机和理由:
答案3
首先,我工作的地方在其私有网络中使用大型公共 IP 范围。但是,他们拥有该范围。除了防火墙问题之外,您会看到的唯一问题是,如果他们尝试使用他们用于私有网络的范围连接到外部 DNS 名称,他们就会遇到问题。您可以在公共 DNS 服务器上使用 nslookup 进行反向 IP 查找,以确定是否有任何内容映射到任何 IP,然后确定您的影响。您可能需要编写查找脚本,因为有很多。我见过有人,比如一所大型大学,尝试过这样做,他们的私有 IP 范围与人们试图连接的实际站点重叠。更糟糕的是,该范围覆盖了他们的 AD 基础设施。