多楼宇策略的子网和VLAN
对其他人是如何做到这一点很好奇的。
我正在看的一个站点有多个由光纤连接的建筑物,每个都在自己的子网上。
192.168.0.0 - Building 1 - VLAN10
192.168.1.0 - Building 2 - VLAN20
192.168.2.0 - Building 3 - VLAN30等
(为了记录在案,我理解在192.168子网上所产生的不良影响)
每个建筑物都使用DHCP服务器和域控制器运行自己的小型数据中心。
我最大的问题是,我认为让服务器在
192.168.0.1 - building 1
192.168.0.5 - building 1
192.168.1.11 - building 2
192.168.2.5 - building 3
etc.显然,我可以说把所有的网络设备放在192.168.0.0子网,把所有的服务器放在192.168.1.0,把DHCP放在192.168.3.0,但这会产生交叉的vlans。
例如,我可能仍然希望在VLAN20中有一个DHCP服务器和该建筑物中的所有计算机,而在VLAN10中同样需要一个DHCP服务器和该大楼中的那些计算机。
根据传统,VLAN与其子网保持1到1。
其他人是如何处理这个问题的?你只知道192.168.0.1-.50是为服务器设备预留的吗?
我来自一个10.1.0.0/21的网络,所以我们有足够的地址来隔离所有的东西,而且根本没有vlan。
回答 1
Server Fault用户
发布于 2015-05-31 03:52:36
这是一个很难回答的问题然而,在一般意义上,这是我的洞察力。
首先,我同意这个问题的意见,即基于与家庭用户相似的易感性,没有一个私人地址组比另一个地址组更可取或不可取。根据我的经验,无论您如何努力避免与VPN用户发生冲突,如果用户'A‘不发生冲突,最终也会出现一些用户'B’的情况。
您在这个问题中没有提到的一个关键问题是设备的数量,以及基础设施生命期内的预期增长。由于范围开放和含糊不清,我将保持一般性观点。
如果您决定将您的网络划分为每个建筑物的子网,那么首先确定所需的建筑物数量,然后考虑这在更长的时间内(5-10年)足够的可能性。试着建立大量的网络,而不是过度,而是现实的。我通常是自由的,允许边际开销。使用此方法可以定义较高级别子网实用的最窄范围。
例如,如果你有3栋楼,但预计10年后会增加到5座,那就选择一个基础2倍,这是明智的,然后用这个前缀来分割第一个可用的八进制。例如:172.16.x.x中,有多达8个网络:
000 | x xxxx . xxxx xxxx - Common Equiptment. 192.168.0.0 /19
001 | x xxxx . xxxx xxxx - Building 1. 172.16.32.0 /19
010 | x xxxx . xxxx xxxx - Building 2. 172.16.64.0 /19
011 | x xxxx . xxxx xxxx - Building 3. 172.16.96.0 /19
100 | x xxxx . xxxx xxxx - Building 4. 172.16.128.0 /19这将最大化您的地址范围,并允许进一步子网。它还简化了定义路由,如果任何.19范围内的所有子网都是通过相同的节点为其余网络的大多数。请注意,这种平衡应该有两种方式。比方说,除了你的主要建筑之外,你还拥有少量的建筑物,比如远程办公,它们不需要很多地址,但只需要连接--你可以将这些建筑物分配给一个“父”子网,并将其划分为服务子网。您的目标最终是在最需要的地方保留最大的地址空间。
从这里您可能会发现,您进一步分割您的网络,分成应用程序特定的分配。您可以这样做:
1楼(从上方)。
001 | 0 0 | xxx . xxxx xxxx - Building 1's Default Network. 172.16.32.0 /21
001 | 0 1 | xxx . xxxx xxxx - Building 1's Misc Networks. 172.16.40.0 /21
001 | 1 0 | xxx . xxxx xxxx - Building 1's Phone Network. 172.16.48.0 /21我们可以进一步这样做,并有:
001 | 0 1 | xxx . xxxx xxxx - Building 1's Misc Networks. 172.16.40.0 /21
001 | 0 1 | 001 . xxxx xxxx - Management Network. 172.16.41.0 /24
001 | 0 1 | 010 . xxxx xxxx - Security Camera Network. 172.16.42.0 /24
001 | 0 1 | 011 . xxxx xxxx - Alarm System Network. 172.16.43.0 /24我觉得最重要的是找到一个适合你的方案。您可能希望:
- 最大限度地发挥增长空间,在最有可能实现增长的地方。据猜测,我认为这将是您的最终用户网络。
- 尽可能保持一致的模式,这样ACL和防火墙规则就可以简化。如果你知道在第三个八重奏中,模式'01‘的第4位和第5位总是表示'misc网络’,你可以有一个位掩码来捕捉所有建筑物在一个单一的规则。
- 与其关注地址空间是否会与用户家庭网络发生冲突,不如将您的设计重点放在他们将如何使用它上。例如,如果它是一个点到点VPN,没有翻译,也没有重载,并且有额外的路由流量通过,那么维护兼容的地址作用域可能很重要。然而,对于大多数家庭用户来说,冲突并不重要,因为他们将从终端设备连接,他们的设备将把他们的连接视为所有流量的网关。任何偏离这一点都可能违背您的使用策略,超出您支持的范围。
- 同一子网的网络,不需要在同一个VLAN上.但他们可能应该是。VLAN正是这样的;只是一个数字。如果连接的设备不进行交换,它们就不需要是相同的,但是我想不出有一个不一致的VLAN结构会有什么好处。要将两个不同的VLAN连接到同一个网络中,您需要使用一个桥接(交换机)。本质上,您将一个开关分成多个子交换机,并以一种难以维护的方式将它们有效地连接起来。
- 最小化不必要的路由。虽然拥有所有这些网络是好的和合乎逻辑的,但是如果大量的流量通过一个路由器从网络A通过网络B通过,仅仅假设路由器能够支持它是不够的,前提是它的端口速度是足够的。例如,思科1941年的双千兆以太网路由器,虽然有双千兆端口,但推测网络之间的吞吐量为153 only。(吞吐量规格)
- 没有足够的网络(...in的矛盾精神)。如果你不使用子网来划分你的网络,一个广播就会到达所有的设备。如果您发现某些设备组不需要经常直接通信,这是一个很好的指示,表明它们应该分开。
- 包括网络内部和网络之间的横向可伸缩性。与其让一台大型服务器为所有用户服务,不如为每个网络提供一台较小的服务器,只为其客户端服务。他们可以共享一个共同的数据源,这也可以减轻路由器的负担。但是,有很多方法可以实现水平缩放。
我希望这对你有所帮助,或者给你一些想法:)
https://serverfault.com/questions/693336
复制相似问题
腾讯云开发者
