我有一台 Draytek Vigor 2820,它連接到三個千兆位元 Netgear 第 2 層交換器。目前網路相當簡單,192.168.1.0/24。
其中,我有 7 台伺服器、大約 50 台電腦、6 台網路印表機、16 部 IP 電話以及 5 到 10 台透過三個無線存取點連接的無線筆記型電腦。
儘管我們有大量可用的 IP 位址,但我認為在使用 IP 位址識別設備方面可能會更有效一些。
我們還有三個分支機構,透過 VPN 隧道連接。
到目前為止,我們有以下 IP 結構:
Main Practice - 192.168.1.0/24
Branch 1. - 192.168.2.0/24
Branch 2. - 192.168.3.0/24
Branch 3. - 192.168.4.0/24
我們稱他們為分支機構,但他們基本上大部分都是永久性的家庭工人。設定所有非隧道VPN用戶分配的IP位址大於192.168.1.200/24。
我想做的是將所有伺服器放在 10.1.1.0/24 上,將無線存取點放在 10.1.2.0/24 上,也許將印表機放在 10.1.3.0/24 上。
我不認為我們的網路需要 VLAN,但我認為上述想法可以簡化事情。更不用說讓我們的可用主機位址數量變得更多。
使用一台路由器,是否可以使用相同網關將靜態路由新增到不同的子網路?我有一台在 Windows 2008 R2 上運行的 DHCP 伺服器,我想我可以為每個新子網路添加一個新範圍嗎?
這個計劃有什麼重大缺點嗎?
答案1
這個計劃有什麼重大缺點嗎?
是的。這沒有必要的複雜。一般來說,您將設備分隔在不同的子網路上,因為您需要過濾、日誌或路由。例如:您的所有 DMZ 服務都位於用戶端無法直接存取的單獨子網路上。
除非您通過使用我看不到的這種設置獲得了巨大的優勢(這當然是可能的),否則您只是購買了額外的複雜性。抵抗住過於聰明的誘惑。
儘管我們有大量可用的 IP 位址,但我認為在使用 IP 位址識別設備方面可能會更有效一些。
在我看來,如果您嘗試透過 IP 位址識別設備,你這樣做是錯的。雖然將伺服器放在這個IP 子網路中、將印表機放在那個IP 子網路中、將工作站放在另一個子網路中、將無線用戶端放在另一個子網路中聽起來是個好主意,但很快您就會發現路由表變得複雜......很快(而且不必要)。
已經有一個服務設定來識別設備...DNS!當您可以為您的裝置提供具有人類意義的名稱時,為什麼還要費力記住 IP呢?
我不認為我們的網路需要 VLAN,但我認為上述想法可以簡化事情。更不用說讓我們的可用主機位址數量變得更多。
我想你就在這裡,你可能不需要 VLAN。然而,如果存在效能問題,將所有 VOIP 設備放在單獨的 VLAN 上可能仍然值得。
答案2
我假設您想在同一實體網段上新增多個子網路?雖然這是可能的,但這將要求您定義一個“ip 別名”或“子介面”(取決於您的路由器的確切品牌使用的確切術語- 我不熟悉它)基本上在同一個IP 位址上分配多個IP 位址實體介面。
這樣做的一個問題是,從 LAN 到伺服器的所有流量都必須通過路由器,而路由器很可能無法以千兆位元速度進行路由,即使可以,速度仍然會變慢。
我對 Windows 的 DHCP 伺服器不太熟悉,所以我不知道它是否會執行您想要的操作 - 單一網段上的多個子網路。但是您必須有某種方法來設定 DHCP 伺服器,以根據請求 IP 的電腦的 MAC 位址提供不同的子網路。
實際上也沒有任何安全優勢,攻擊者也可以在您的工作站上建立一個 IP 別名來直接存取您的伺服器 LAN。
我個人不會實現這樣的東西,因為它會讓你的人脈變得更加複雜——而不是更少。我要么使用多個 VLAN,要么將所有內容都放在同一個子網路上。