服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 用于多build筑物策略的子网划分和VLAN
Intereting Posts
Windows 2012R2,Ubuntu 14.04 LTS,需要20分钟才能完成“停止”状态 启动EC2实例并将“无偏好”作为可用区域时,可用保留实例区域是否首选? docker容器上的nginx反向代理上的502错误代码 如何configurationRealVNC以全屏使用双显示器 使用mod-proxy和SSL的Apache VirtualHost 使用vsftpd发布编辑文件 多个smtp服务器后缀 – 一个邮件域 SMTP由于反向查找错误而延期 当tcpdump在网桥上运行时,数据包只能被转发 没有服务器的域和办公室之间的VPN 使用一次性帐户或脚本重新启动Exchange Server 在Ubuntu 12.04 Init文件上的VSFTPd 3.0.2 Ansible:一个主机出现在多个共享父级的组中。 一个戏剧是为父母运行,它可以运行多次? 系统进程占用磁盘,找不到原因 ping B = OK,B ping A =目标主机不可达,防火墙closures

用于多build筑物策略的子网划分和VLAN

对于别人如何做这件事感到好奇。

我正在看的一个网站有多个build筑物通过光纤连接,每个build筑物都在自己的子网上。 

192.168.0.0 - Building 1 - VLAN10 192.168.1.0 - Building 2 - VLAN20 192.168.2.0 - Building 3 - VLAN30

等等

(为了logging,我明白了在192.168子网上的不利影响)

每个build筑物都运行着自己的小型数据中心,配有DHCP服务器和域控制器。

我的大问题是我觉得它有服务器很混乱 

 192.168.0.1 - building 1 192.168.0.5 - building 1 192.168.1.11 - building 2 192.168.2.5 - building 3 etc.

显然我可以说所有的networking设备在192.168.0.0子网和所有服务器在192.168.1.0,DHCP在192.168.3.0,但这会创build交叉vlan

例如,我可能仍然需要VLAN20中的DHCP服务器与该build筑物中的所有计算机,同样,VLAN10中的DHCP服务器与该build筑物中的计算机一样。

按照传统,VLAN与其子网保持1对1关系。

其他人如何pipe理? 你知道像192.168.0.1-.50是为服务器设备保留的吗?

我来自一个10.1.0.0/21networking,所以我们有足够的地址来保持一切分离,并没有vlan它。

这是一个很难回答的问题,因为在提供很less的信息的情况下需要考虑很多因素。 但是,从一般意义上讲,这是我的见解。

首先,我同意这样的观点,即针对这样一个问题,即没有一个私人地址组是基于与家庭用户相似的敏感性而不是另一个私人地址组。 从我的经验来看,无论你尝试多less,避免与VPN用户发生冲突,如果用户“A”没有发生冲突,最终会出现一些用户“B”。

在这个问题中没有提到的一件重要的事情是设备的数量,以及基础架构整个生命周期的预期增长。 由于开放的范围和模糊性,我将保留一般性的意见。

如果您决定将您的networking划分为每个build筑物的子网,首先确定所需build筑物的数量,然后再考虑长期(5-10年)的可能性。 尝试达到一定数量的networking,但不是过度而现实的。 我通常会是自由的,并允许边际的开销。 使用它来定义实际用于更高级子网的最窄范围。

例如,如果你有3个build筑物,但是预计这个build筑物可以在10年内增长到5个,那么select一个合理的两倍数,这样就可以分解第一个可用的八位字节。 例如。 的172.16.xx与多达8个networking: 

 000 | x xxxx . xxxx xxxx - Common Equiptment. 192.168.0.0 /19 001 | x xxxx . xxxx xxxx - Building 1. 172.16.32.0 /19 010 | x xxxx . xxxx xxxx - Building 2. 172.16.64.0 /19 011 | x xxxx . xxxx xxxx - Building 3. 172.16.96.0 /19 100 | x xxxx . xxxx xxxx - Building 4. 172.16.128.0 /19

这将最大化您的地址范围,并允许进一步的子网划分。 如果任何.19范围内的所有子网通过剩余networking的大部分通过相同的节点,它也简化了定义路由。 请注意,这种平衡应该有两种方式。 比方说,除了你的主要build筑物之外,你还有一些build筑物,比如远程办公室,这些办公室不需要很多地址,只需要连接 – 你可以把这些build筑物分配给一个单独的子网,并把它分开来为他们服务。 您的目标是最终保留最可能最需要的地址空间。

从这里您可能会发现,您将networking进一步分解为特定于应用程序的分配。 你可以做如下的事情:

1号楼(从上面)。 

 001 | 0 0 | xxx . xxxx xxxx - Building 1's Default Network. 172.16.32.0 /21 001 | 0 1 | xxx . xxxx xxxx - Building 1's Misc Networks. 172.16.40.0 /21 001 | 1 0 | xxx . xxxx xxxx - Building 1's Phone Network. 172.16.48.0 /21

我们可以进一步采取这些措施 

 001 | 0 1 | xxx . xxxx xxxx - Building 1's Misc Networks. 172.16.40.0 /21 001 | 0 1 | 001 . xxxx xxxx - Management Network. 172.16.41.0 /24 001 | 0 1 | 010 . xxxx xxxx - Security Camera Network. 172.16.42.0 /24 001 | 0 1 | 011 . xxxx xxxx - Alarm System Network. 172.16.43.0 /24

我觉得重要的是要find一个解决scheme适用于你的情况。 您可能会想要:

  • 最大限度地增长的空间,在最有可能发生的地方。 猜测,我会认为这将是您的最终用户networking。
  • 尽可能保持一致的模式,以便简化ACL和防火墙规则。 例如,如果你知道在第3个八位字节中,模式为'01'的第4和第5位将总是表示'混杂networking',你可以用一个位掩码来捕捉所有的build筑物。
  • 而不是专注于地址空间是否会与用户家庭networking冲突,请尝试着重devise他们将如何使用它。 例如; 如果它是一个点对点的VPN,没有翻译或重载,并且有额外的路由stream量通过,维护兼容的地址范围可能是很重要的。 对于大多数家庭用户来说,冲突并不重要,因为他们将从terminal设备连接,他们的设备将把他们的连接视为所有stream量的网关。 任何与此有偏差的行为都可能违反了您的使用政策,超出了您的支持范围。
  • 同一个子网的networking,不需要在同一个VLAN上,但他们可能应该是。 VLAN ID就是这个; 只是一个数字。 如果连接的设备没有交换它,它不需要是相同的,但我想不出任何有不一致VLAN ID结构的好处。 要将两个不同的VLAN连接在同一个networking中,可以使用桥接器(交换机)。 本质上,你将会把一个开关拆分成多个子开关,并且以难以维护的方式低效地join它们。
  • 尽量减less不必要的路由。 尽pipe所有这些networking都可以很好而且合乎逻辑,但是如果大量的stream量从networkingA通过路由器传递到networkingB,那么假设路由器能够支持它是不够的,因为它的端口速度是足够的。 例如,Cisco 1941双千兆以太网路由器虽然具有双千兆端口,但networking之间的吞吐量仅为153Mbps。 ( 吞吐量规格 )
  • 没有足够的networking(…在矛盾的精神上)。 如果您没有使用子网划分您的networking,广播将到达所有设备。 如果您发现某些设备组不需要经常直接通信,这是一个很好的指示,它们应该分开。
  • 拥有networking内部和跨networking的水平可伸缩性。 而不是有一个大的服务器为您的所有用户服务; 每个networking都有一个较小的服务器来服务它的客户端。 他们可以共享一个共同的数据源,这也将减轻你的路由器的负担。 虽然有很多方法可以实现水平缩放。

我希望这可以帮助或给你一些想法:)