很好奇其他人如何做到這一點的一些回饋。
我正在查看的站點有多個透過光纖連接的建築物,每個建築物都位於自己的子網路上。
192.168.0.0 - Building 1 - VLAN10
192.168.1.0 - Building 2 - VLAN20
192.168.2.0 - Building 3 - VLAN30
ETC
(鄭重聲明,我了解位於 192.168 子網上的不良影響)
每棟大樓都運行自己的小型資料中心,其中包含 DHCP 伺服器和網域控制器。
我的大問題是我認為在以下位置擁有伺服器非常令人困惑
192.168.0.1 - building 1
192.168.0.5 - building 1
192.168.1.11 - building 2
192.168.2.5 - building 3
etc.
顯然,我可以說將所有網路設備放在 192.168.0.0 子網,所有伺服器放在 192.168.1.0,DHCP 放在 192.168.3.0,但這會建立交叉 VLAN。
例如,我可能仍希望在 VLAN20 中為該建築物中的所有電腦提供一個 DHCP 伺服器,同樣,在 VLAN10 中為該建築物中的所有電腦提供一個 DHCP 伺服器。
按照傳統,VLAN 與其子網路保持一比一的關係。
其他人如何處理這個問題?您是否只知道 192.168.0.1-.50 是為伺服器設備保留的?
我來自 10.1.0.0/21 網絡,因此我們有足夠的位址來將所有內容分開,並且根本沒有對其進行 VLAN。
答案1
這是一個很難根據場景回答的問題,因為需要考慮很多因素,但提供的資訊卻很少。然而,從一般意義上來說,這是我的見解。
首先,我同意針對以下問題的評論:基於對與家庭用戶相似的敏感性,沒有哪個私人地址組比另一個更受歡迎或更不受歡迎。根據我的經驗,無論您如何努力避免與 VPN 用戶發生衝突,如果用戶「A」沒有發生衝突,最終會有一些用戶「B」發生衝突。
您在問題中沒有提到的一件重要事情是設備的數量以及基礎設施生命週期內的預期增長。由於範圍開放且含糊不清,我將保留一般觀點。
如果您決定將網路分成每個建築物的子網,請先確定所需的建築物數量,然後考慮這足以滿足較長時期(5-10 年)的可能性。嘗試獲得一個不過分但切合實際的網路數量。我通常會比較自由並允許邊際開銷。使用它來定義適用於較高層級子網路的最窄範圍。
例如,如果您有 3 棟建築物,但預計在 10 年內可能會增長到 5 棟,請選擇對此合理的基數 2 倍數,並使用此前綴分割第一個可用的八位元組。例如。 172.16.xx,最多 8 個網路:
000 | x xxxx . xxxx xxxx - Common Equiptment. 192.168.0.0 /19
001 | x xxxx . xxxx xxxx - Building 1. 172.16.32.0 /19
010 | x xxxx . xxxx xxxx - Building 2. 172.16.64.0 /19
011 | x xxxx . xxxx xxxx - Building 3. 172.16.96.0 /19
100 | x xxxx . xxxx xxxx - Building 4. 172.16.128.0 /19
這將最大化您的位址範圍,並允許進一步劃分子網路。如果任何 .19 範圍內的所有子網路對於其餘網路的大部分都通過同一節點,它還可以簡化定義路由。請注意,這種平衡應該透過兩種方式發揮作用。舉例來說,除了主建築物之外,您還有少量建築物,例如遠端辦公室,它們不需要很多地址,但只需要連接 - 您可以為這些建築物分配一個「父」子網,並把它分開來為他們服務。您的目標最終是在最可能需要的地方保留最大的位址空間。
從這裡您可能會發現您將網路進一步劃分為特定於應用程式的分配。您可能會執行以下操作:
1 號樓(從上方看)。
001 | 0 0 | xxx . xxxx xxxx - Building 1's Default Network. 172.16.32.0 /21
001 | 0 1 | xxx . xxxx xxxx - Building 1's Misc Networks. 172.16.40.0 /21
001 | 1 0 | xxx . xxxx xxxx - Building 1's Phone Network. 172.16.48.0 /21
我們可以更進一步:
001 | 0 1 | xxx . xxxx xxxx - Building 1's Misc Networks. 172.16.40.0 /21
001 | 0 1 | 001 . xxxx xxxx - Management Network. 172.16.41.0 /24
001 | 0 1 | 010 . xxxx xxxx - Security Camera Network. 172.16.42.0 /24
001 | 0 1 | 011 . xxxx xxxx - Alarm System Network. 172.16.43.0 /24
我覺得最重要的是找到適合您場景的解決方案。您可能想要:
- 在最有可能發生成長的地方最大化成長空間。據猜測,我假設這將是您的最終用戶網路。
- 盡可能保持一致的模式,以便簡化 ACL 和防火牆規則。例如,如果您知道在第3 個八位元組中,具有模式“01”的第4 和第5 位元將始終表示“雜項網路”,則您可以使用位元遮罩來擷取單一規則中的所有建築物。
- 不要關注地址空間是否會與使用者的家庭網路發生衝突,而是嘗試將設計重點放在他們將如何使用它。例如;如果它是點對點 VPN,沒有轉換也沒有過載,並且有額外的路由流量通過,則維護相容的位址範圍可能很重要。對於大多數家庭用戶來說,衝突並不重要,因為他們將從終端設備進行連接,並且他們的設備將其連接視為所有流量的網關。任何偏離此規定的行為都可能違反您的使用政策,並且超出您的支持範圍。
- 相同子網路的網路不需要位於同一 VLAN 上...但它們可能應該位於同一 VLAN 上。 VLAN ID 正是如此;只是一個數字。如果連接的裝置不交換它,則它不需要相同,但我想不出任何情況下擁有不一致的 VLAN ID 結構會有好處。若要將同一網路的兩個不同 VLAN 連接在一起,您可以使用網橋(交換器)。本質上,您會將一個交換器分割為多個子交換機,並以難以維護的方式低效地連接它們。
- 盡量減少不必要的路由。雖然擁有所有這些網路可能很好且合乎邏輯,但如果大量流量透過路由器從網路 A 傳遞到網路 B,僅假設路由器能夠在其連接埠速度的前提下支援它是不夠的是足夠的。例如,Cisco 1941 雙千兆位元乙太網路路由器雖然具有雙千兆位元端口,但預計網路之間的吞吐量僅為 153Mbps。 (吞吐量規格)
- 沒有足夠的網路(…本著矛盾的精神)。如果您沒有使用子網來劃分網絡,則廣播將到達所有裝置。如果您發現某些設備組不需要經常直接通信,則很好地表明它們應該分開。
- 擁抱網路內部和跨網路的水平可擴展性。而不是讓一台大型伺服器為所有使用者提供服務;每個網路都有一個較小的伺服器來為其客戶端提供服務。它們可以共享一個公共資料來源,這也可以減輕路由器的負擔。不過,有很多方法可以實現水平縮放。
我希望這對您有幫助或給您一些想法:)