过去我们的网络是 10.15.0.0/16。但现在我们必须将其拆分为更小的子网(公司政策),例如 10.15.3.0/24,当过渡完成时,/16 子网将不再使用。问题是,在过渡阶段我该如何拆分它,因为我无法从 10.15.3.0/24 网络路由到 10.15.3.0/16 网络。也许是某种网络地址转换?
大约有 50 个 HPE 3 级交换机、路由器/网关等。DC 配有 DHCP(用于工作站)、DNS 服务、Exchange 服务器、第三方服务器,我们正在获得一个新的 VOIP 系统。我们连接到全国各地(森林)的其他地方。有没有人有什么想法可以给我指明正确的方向?我完全控制着网络,所以 VLAN 路由等应该没有问题。我只需要一些想法就可以开始。
感谢任何帮助
托尼
答案1
只要新较小子网的网关在“旧”子网中也有另一个 IP 地址,此方法就应该有效。有两种情况。如果“旧”子网上的计算机发起与较小网络的连接,它会认为它是本地连接的,因此会发送 ARP 请求。ARP 请求使用 MAC 地址并忽略子网掩码,因此较小网络上的设备仍然会看到此请求并回复“我在这里”。两端都会创建 arp 记录并能够直接通信。
如果连接是由“新”子网上的设备发起的,则情况会稍微复杂一些。“旧”较大子网的 IP 被视为非本地 IP,因此请求将发送到网关。网关应该具有到较大子网的“路由”(即具有旧子网掩码的网络接口),以便可以传递请求。“旧”子网上的设备收到请求后,它会尝试向它认为是本地的 IP 发送回复,因此第一种情况接管,创建 arp 记录并直接继续通信。但是需要路由器来建立通信。
这有点模棱两可,因此应使用您的设备和路由器设置测试此配置。我已经使用 Linux 网络测试过,一切正常,但不同的软件/硬件可能会出现问题。
答案2
为了简化 Vitauts 的解释,网络掩码会影响发送主机尝试广播 ARP(在本地网络上)还是联系网关。从技术上讲,这也是一种 ARP,用于定位网关(具有网关 IP)如果它未列在本地表中。顾名思义,它确定给定段必须相同的地址位数。
在将给定主机调整到较小的网络范围之前,需要在该范围内定义网关,并且路由规则需要包含新的较小区域。如果您有很多主机或它们之间的关系很复杂,这种分段方法可能会让您遇到一些奇怪的问题,具体取决于不同设备网络堆栈如何适应变化。
当我需要将大型平面网络移至较小的分段网络时,我发现在不同的私有地址块中定义新的网络范围更容易,例如从 10.0.0.0/8 池到 172.16.0.0/12。有人说这需要做更多的工作,但实际上工作量是一样的。
它可以让您记录和映射所有更改,并在开始移动之前查找将要中断的逻辑事物(上次 VPN 链接到客户端网络冲突很有趣)。[如果您通过 VPN 连接到客户端并需要访问本地资源,则不能使用与 VPN 为您设置的地址范围相匹配的地址范围。VPN 链接将具有更快的度量,您将无法路由到本地网络。]
因为您处于一个新区块中,所以您可以在将任何关键系统移入其中之前定义、推出并测试所有新的网络路由。
如果您需要在不造成大量停机的情况下对实时网络进行此操作,那么从长远来看,视觉上的区别会带来巨大的好处。计算机并不关心,但完全不同的地址使用让我们人类很容易识别。
帮助台可以轻松判断是否是配置差异导致了问题,或者是其他原因。
您可能还想利用这个机会围绕“2 的幂”边界定义新的网络段。如果您将来需要扩展或收缩某个段,这将保护您免受进一步的问题。在这里,我将定义新的 /24 网络段,例如
*.*.4.*、*.*.8.*、*.*.12.*、*.*.16.*。将来,如果我需要更多设备加入网
*.*.12.*段,我可以将其从 /24 移到 /23 甚至 /22,而不会影响我定义的任何其他网络。由于它位于 4(2 的幂)块的底部地址上,因此任何扩展的网络空间都将位于池中更深的地址范围内,不会影响我在当前网络中的任何其他分配。您需要保留各个服务器的新旧 IP 的完整列表。如果某个应用程序不经常使用,那么在新空间中找到它认为想要使用的服务器就容易得多,然后您可以将引用更新为指向 DNS 的引用,这样任何未来的更改都不会破坏软件。