IP 地址规划的重要性 在搭建一个局域网的时候,IP 地址规划的意义重大。如果你的网络永远不会被扩展和定制,那么你可以随意的规划 IP 地址,只要能保证路由是通的就可以了。然而如果将来有一天你需要对已有的网络进行拓展,那么就需要精心安排地址了。原则就是:尽量使逻辑上同类的地址规划成连续的地址,并且起始地址最好是 2 的次幂。这样做的原因在于可以方便的划分子网。考虑下面的拓扑:
有一天,需要在该局域网增加一台加密网关,所有到达外部网络 2 的流量都要被加密,而且需要把加密流量路由指向加密网关(流量被加密网关 VPN 隧道封装,传入远端的解密网关),该怎么办?这是我近期工作中碰到的一个问题,顺带说一句,在产品实施时,客户环境中一个好的网管将会省下自己不少的精力。到底该怎么办呢?先给出以下的拓扑吧,这张拓扑完美的解决了这个问题:
我们先看一下传出的加密流量的路径,数据包到达三层交换机后,路由指向加密网关,被加密网关封装后,目的地址改为了解密网关,数据包又到达三层交换机,此时命中解密网关的路由,数据传输出去。对于传入的流量,数据包可以由三层交换机到达解密网关进行解密,然后解封装的数据包目的地址为 172.16.1.0/24 段的某一个,数据包倒入三层交换机,进入内网。
我们除了在三层交换机指定解密网关的主机路由之外,还可以通过策略路由来完成同样的事情,比如从“连外网口”这条路进来的包指向外部链路网关。这不是重要的,重要的事情是红色标出的那个 172.16.1.249/29 地址,关键在于 1.249 这个地址以及 29 位的掩码,1.249 这个地址和 1.254 地址对于 29 位掩码是同一个网段的,这样就可以利用链路层路由疏导数据包了,此时就是 IP 地址规划的重要性了,如果 249 这个地址没有空闲,而是被内部网络的某个主机使用了,并且 254旁边的地址都被内网占用了,那么我们就不能这么做了,我们不得不在加密网关上配置 N 多主机路由来特指。幸运的是,249 这个地址被保留了,并且 254 旁边的那些对于 29 位掩码在同一网段的地址都保留了,这样的话就不需要配置特定的主机路由了。
最终,我们可以根据实践来得到一个结论,尽量使逻辑上同类的地址规划成连续的地址,默认网关最好处于一个网段的两个端,要么是.1,要么是.254,也就是说,物理上或者逻辑上的位置,其 IP 地址也要是该网段中相应的位置,对于地址的选择,选择 2 的次幂可以更方便的划分子网从而利用链路层路由,也能使得 IP地址不被愚蠢的浪费。