我正在嘗試劃分我的網絡,而不使用 VLAN。我想建立以下網路:
- 10.0.0.1/24 - 網路0
- 10.0.1.1/24 - 網路1
- 10.0.3.1/24 - 網路2
- 10.0.4.1/24 - 網路3
這些IP都屬於一個接口,eth0.我希望所有設備都能夠相互通信,但我不確定如何實現這一點。我應該將子網路遮罩設定為255.255.0.0而不是嗎255.255.255.0?我應該偽裝防火牆規則嗎?最佳實踐是什麼?
謝謝
答案1
如果它是 /24 子網,那麼從字面上看,網路遮罩就是 /24。 (長格式為 255.255.255.0。)
請注意,網路遮罩不是介面的屬性。它是一個財產地址在該介面上配置,並且當您為相同介面分配來自多個網路的位址時,它們完全有可能具有不同的網路遮罩。
不同子網路中的設備將透過路由器(網關)進行通訊。即使它們位於同一實體乙太網路上,這也適用。路由器在同一介面上將有四個 IP 位址 - 每個網路一個,全部配置為 /24s。
(如果您嘗試使用 /16 或 /22 網路掩碼,因為您希望不同子網路中的裝置無需網關即可直接通信,那麼您沒有不再有 4 個網絡 - 最終您只會得到一個大型 /16 網絡,沒有任何分離。
一般來說,您嘗試做的事情已經超越了「最佳實踐」。它適用於 IPv4,但它會在 IPv6 上產生問題,並且它只提供一些保護,但如果設備可能受到攻擊者控制並且只能更改其 IP,則不會有幫助。
偽裝或 NAT 不應參與其中。永遠沒有必要在網路內部使用偽裝。
答案2
我認為你應該使用更大的子網路:
10.0.0.1/22
as /22 涵蓋了您在問題中提到的四個網路。
編輯:或應該是/21(當你列出0、1、3和4,而不是0、1、2和3)?