在系统pipe理员的生活中,总是会出现需要定义IP子网的时刻。 无论是你的小型局域网还是疯狂的未知路由深处的无尽的公司WAN,IP地址总是需要被select,分配给某个设备,无论是否。 而且,在公共互联网的“真实世界”中,您只需要遵守ISP的命令,就可以自由select自己的私人networking的path和最终的命运。
众所周知(或者应该知道),强大的RFC 1918指出,专用networkingIP地址只能落在三大块:
192.168.0.0/16 172.16.0.0/12 10.0.0.0/8 你最喜欢哪一个?
无论您需要连接多less台设备,您通常会select多大的子网?
你认为应该保持在最低限度,还是应该尽可能地辉煌?
你是否相信“圆”子网的法律和秩序(/ 8,/ 16,/ 24),还是你更喜欢无序的混乱和无序的混乱?
你们是否应该遵循我们门户的神圣学校应该是.1,不应该是不邪恶的神殿,它应该是.254,还是它的命令的亵渎的教义,不pipe我们想要它结束?
你是否觉得服务器应该有“低”的地址,客户应该使用“高”的地址? 或者只有命运定义如何调用服务器和客户端?
您是否总是在您pipe理的所有子网中使用(或尝试使用)相同的结尾号码,以便在您急需的时候能够find您的网关和DNS?
你相信DHCP或静态寻址? 你有没有信心,他们的混合的孩子,DHCP的保留,即使是非客户端的机器,如networking打印机,或所有的上帝原谅你,服务器?
"Take this and divide it; this is my 2^32 address space, which shall be endlessly fragmented for all your addressing needs, until IPv6 may finally come."
我崇拜00001010/11111111。 如果你不渴望最大的networking,上帝会生气。 它允许最大的灵活性,最小的冲突与pleb的networking。
我发现一个很好的/ 24是大多数networking的完美大小,你有足够的空间伸出,让你的服务器有一些喘息的空间,你需要记住,他们有我们所有人一样的个人空间问题。
我唯一一次将networking和服务器之神授予我的脑细胞花费在更远的子网上的时间,是那些认为自己比其他人更好的设备 – 路由器,交换机,防火墙您! 那些我试图局限于一个/ 25或更小,否则他们的傲慢就会开始蔓延到服务器,你不能让服务器脱节。 糟糕的,坏的事情发生,如果你让它继续下去,文件开始消失,服务崩溃,不好我告诉你,没有任何好处! 为了让networking设备保持一致,我们让路由器/防火墙使用子网中的第一个可用地址(可能是.1 …可能是.33 – 取决于您的networking掩码),通常使它们保持一致。
“你们不可混淆客户和服务器,因为如果你们在那里做了一场大战,把那些相信他们能控制的人毁灭” – 波兰报20:15
“如果你放手不受约束地进入你最宝贵的资源,你们将被从我们神的圣殿中抛出,并被烙上 – 用户” – 波兰书16:2
在生产networking上有一个DHCP服务器没有充分的理由 – 服务器build立是,生产号。 客户端networking始终具有DHCP,在您需要的地方进行预留(或由您的审计人员要求)!
“控制networking分配的人可以肯定这对他和其他人都是有意义的” – 波夫1:1
…翻译是使用相同的主机地址,你可以…一切都会更容易。
除了这里给出的所有明智的build议之外,我发现一个有用的:为了舒适起见,避免与您的办公室或其他必须连接到(远程)的局域网相同的networking。
这个提示大大改善了我的VPN使用寿命:例如,当192.168.0.1可能是您的家庭路由器和您正在尝试修复的远程服务器时,具有相同的子网可能会令人讨厌。 那么你必须通过VPN接口添加一个手动路由等
其他的一切都有万事达卡。
我目前最喜欢的寻址解决scheme的多站点设置。
10.DATACENTER.RACK.RACKU + 100
每个机架得到一个/ 24,我终止在一对核心交换机/路由器。
这是非常详细的,但我可以通过查看一个IP地址推断很多。
有了一对核心路由器,我有两个浮动默认路由.1和.2。 (HSRP / VRRP)实际的接口IP地址是.3和.4。
奇数默认路由为.1即使我们默认路由为.2
我把DHCP范围设置为200-240,以便在官方IP被分配之前进行testing的PXE引导。
10.xxx; 无政府状态和爬行混乱(/ 22实际上是一个该死的有用的子网,不是太大,不能太小,所以保持不变,第二个八位字节定义一个主要位置,第三个定义一个子位置)。 网关始终为1,服务器从11开始(主DNS为11),然后是客户端(从10.x.1.x / 10.x.5.x / etc开始,使用/ 22子网),最后是打印机和其他设备(从10.x.3.x,10.x.7.x等开始); 在每个子网中具有相同angular色的服务器在可能的情况下具有相同的地址; 用于客户端PC的DHCP,对于其他任何东西都是静态的,用于某些“特殊”客户端的预留,其中存在传统应用程序和依赖特定IP地址的传统安全模型。
就是这样。 🙂
子网的大小当然要根据networking规模来select,有足够的空间用于未来的扩展,因为重新寻址总是一个很大的麻烦。 也就是说,我最喜欢的子网是那些用192.168开始的子网。 10:我真的不能忍受172,当然这没有任何理性的理由:纯粹是一种审美问题。
我更喜欢“圆”子网,因为使用它们可以更容易地记住子网掩码,networking和广播地址,并知道地址属于哪个子网。
我倾向于为小型networkingselect192.168.X C类子网,其中254个地址肯定是足够的; 我通常在这里很保守,最简单的是192.168.0和192.168.1; 我也很喜欢192.168.42.0/24, 原因很明显 。
对于较大的networking,我通常遵循相同的原则:使用10.地址可以有65534个主机的256个子网或254个主机的65536个子网:对于任何networking来说都足够了,不需要花哨的/ 13,/ 28或/ 27个子网。 当然总有例外,但这是我的一般规定。
在networking和系统pipe理方面,我强烈地相信,因为计算机系统本质上往往是混沌的(如在混沌理论中):最小的错误可能会有不可预知的结果。 在networking寻址中,我总是使用相同的结束地址作为相同的angular色。 这是我的一个C类networking的典型故障:
.1是默认网关。
.11和.12(也可能是.13,.14等)是域控制器,DNS和WINS(如果在使用中)服务器。
.25是邮件服务器。
.80是Web服务器或代理服务器(如果有的话)。
我通常使用服务器的“低”地址和客户端的“高”地址; 前者总是静态的,而后者则是使用DHCP分配的。 我非常喜欢DHCP和客户端的dynamicDNS,但是我绝不会将它用于服务器和其他“固定”系统,比如networking打印机和扫描仪。
如果networking更大,更细分,我喜欢把服务器放在一个子网和其他地方的客户端上; 客户端(甚至服务器)子网当然可以是多个,如果networking足够大,需要VLAN。
我喜欢10.这很好,很短,并提供了大量的扩展空间。
10后我通常在/ 16的工作,但我计划他们/ 8的(这通常是一个很好的业务单位大小)。 8的工作是很好的,因为(除非你的公司是巨大的),你可以只分配一个业务单位10.1.0.0,你不会担心他们不久的将来空间不足。 显然,如果你有超过255个业务单位,ymmv。
我通常使用1作为网关,只是因为它使得它很容易记住。 无论哪种方式,只要您在每个子网上使用相同的号码,则无关紧要。 除了网关之外,我不会为特定types的服务器保留特定的ips。
通常我会把所有的服务器转储到他们自己的贫民窟子网,所以我可以留意他们,并确保他们不与蹩脚的桌面混合。 如果我必须让他们混合,那么,是的,我保留了前50个地址的服务器/任何需要静态ip的地址。 再次,这只是less打字的问题。 桌面用户很less关心他们的IP是什么,而且你通常不需要input。
我喜欢DHCP(我们有大量的笔记本电脑),但是你需要把它和注册的MAC地址连接起来,否则任何在街上的shmuck都可以进来插入,这是不行的。 MAC是不安全的,但就安全性而言,它们至less和静态一样好。 我不使用“注册”DHCP; 我不是一个Windows DHCP的人。 如果我要在同一个子网上有静态和dynamic,我只需将DHCP范围设置为51-255或类似,然后将静态值设置为1-50。