号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部
IP 地址这玩意,看起来简单,其实是园区网设计里最容易出事、最难重构的一环。
这篇讲思路 + 实战技巧,教你怎么规划一个“好维护、能扩展、不出事”的 IP 地址方案。
一、为什么乱划 IP,迟早会出事?
先举几个真实场景:
- 业务发展快,某网段只划了 /24,现在设备 500 台,根本不够用
- VLAN 隔离想加个新网段,结果跟现有网段“交叉”,冲突不断
- 两个子网合并迁移,发现地址段重了,得全改
- 跨区域运维,IP 没规律,谁也不知道谁在哪儿
一句话总结:
IP 地址划分,一旦出问题,牵一发动全身,调一次能让你改三天。
二、IP 规划的核心:四个维度统一考虑
别随便拿个 /24 开搞,划 IP 要考虑清楚四个点:
1. 网络规模(有多少设备)
- 少于 200 台:可用 /24
- 多于 500 台:考虑 /23、/22
- 超过 1000 台:建议拆分子网 + 三层互通
2. 区域位置(在哪一栋、哪一楼)
建议用第三段表示区域,比如:
10.1.10.0/24 → 一栋三楼办公网
10.1.20.0/24 → 一栋三楼摄像头
3. 设备类型(终端 / 打印机 / 摄像头 / 服务器)
- 办公网一段
- 打印机单独一段(方便管控)
- IoT 类设备(如摄像头)必须单独拉出去
4. 安全策略(是否要 ACL、隔离、NAT)
IP 不合理,ACL 就得写得贼复杂 IP 合理,能“一条命中整段”,轻松配置策略
三、推荐的地址规划思路:以区域+类型为主轴
这里给一套实用模板(企业园区通用):
10.X.Y.0/24
├─ X:区域编码(如 1 号楼 X=1)
└─ Y:网段编号(如 10=办公、20=打印、30=摄像头)
例:
10.1.10.0/24 → 1号楼办公
10.1.20.0/24 → 1号楼打印
10.1.30.0/24 → 1号楼摄像头
10.2.10.0/24 → 2号楼办公
实在地址不够用,就把 /24 换成 /23,比如 10.1.10.0/23 能容纳 510 个 IP。
四、这几类设备一定要单独拉网段!
经验总结的:
摄像头
- 设备多、占带宽,容易被攻击
- 强烈建议单独 VLAN、单独网段、单独出口(很多人犯这错)
打印机
- MAC 地址固定、容易暴露
- 建议做静态 IP + IP/MAC 绑定
访客终端
- 权限低、安全要求高
- 必须独立 VLAN + NAT 出口
无线 AP
- 不要跟办公终端在一个网段
- 单独一段便于管理、做 Portal、集中上联
五、一个错误划分的网段,改起来到底有多痛?
举个最常见的血泪场景:
★一开始办公网全划在 192.168.1.0/24,用了两年满了,准备扩容 → 改成 /23问题来了:
- 所有设备网关 IP 要改
- DHCP 要改
- 静态 IP 设备(打印机、摄像头)全手动改
- 防火墙策略得改
- 全网推送更新,出错一个网段炸一天
一个小 IP 网段改起来,真的是“搬服务器不如改 IP 累”。
六、一些实用小技巧(老网工干货)
预留地址段:每划一个网段,留出上/下两个 /24 做扩展缓冲
统一 DHCP 规划:尽量集中管理,方便调试和动态扩容
网关地址固定统一:比如每段网关都是 .254,减少记忆负担
配套文档一定写清楚:哪段干嘛的,哪个 VLAN 是谁的,不然你下班别人都搞不懂
写在最后
IP 规划这件事,说白了就是“为未来留余地”。
刚上项目时,大家都图快,IP 随便一划就上线; 可一两年后你再看,就发现“你当初画的饼,全变成你的坑”。
所以,地址段别只划给现在能用的,得划给将来可能加的,多规划一步,少返工十次。
原创:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
