子网划分解决的是真实问题
公司刚搬进新办公楼时,网络总是出问题。财务部的电脑连不上打印机,销售部开会时视频卡顿,IT同事一查,发现所有人都在一个局域网里,广播包满天飞,就像整栋楼的人挤在同一个微信群里发消息,谁也听不清谁。
这时候,子网划分就派上用场了。把一个大的IP地址空间切分成多个小段,每个部门独立一个子网,彼此隔离,通信更高效。
怎么划?从IP和掩码说起
比如公司拿到一段192.168.10.0/24的地址,原本能容纳254台设备。如果不做划分,所有设备都在同一广播域。通过调整子网掩码,比如改成/26,就把原网络拆成4个子网:
192.168.10.0 /26 (1-62)
192.168.10.64 /26 (65-126)
192.168.10.128 /26(129-190)
192.168.10.192 /26(193-254)每个子网约60个可用地址,正好分给行政、技术、销售、后勤四个部门。
不只是分隔,还能控制访问
技术部服务器敏感,不想让其他部门随意访问。通过子网隔离后,在路由器或三层交换机上设置ACL规则,只允许特定子网访问服务端口。比如销售部的192.168.10.64/26不能直接连到技术部的数据库服务器。
这就像办公室装了门禁,前台可以去茶水间,但进不了研发实验室。
实际配置示例
在华为交换机上创建VLAN并绑定子网:
system-view
vlan 10
quit
interface Vlanif 10
ip address 192.168.10.1 255.255.255.192
quit
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10这样就把接入该端口的设备划分到了192.168.10.0/26这个子网中。
节省公网IP也是好处
有些企业用私有地址段做子网划分,内部通信走内网,对外通过NAT转换。这样一来,几十个部门共用几个公网IP就能上网,既节约成本又提高安全性。
比如仓库管理系统的终端全在10.10.20.0/24下,它们之间频繁通信不影响办公网,出外网时统一由防火墙做地址映射。
规划要留余量
别把子网切得太细。市场部今年20人,明年可能扩到50人。如果当初按/27(30个地址)划分,很快就不够用。建议按未来1-2年规模预留,避免频繁调整。
另外,服务器群、监控系统、访客Wi-Fi这些特殊用途,最好单独划子网,便于管理和策略部署。