摘要:★ “我们单位就几十台设备,一个网段都够用,为啥还要划那么多子网?”
号主:老杨丨11年资深网络工程师,更多网工提升干货,
太多人学网络学到 IP 地址这块,都会有个疑问:
★ “我们单位就几十台设备,一个网段都够用,为啥还要划那么多子网?”别笑,这不是新手才会问,很多做了好几年的网络工程师也常犯这个坑:IP够用 ≠ 网划得对。
所以今天这篇咱就搞清楚: IP地址够用,为啥还要划网段?
而是为了控流量、控权限、控风险!!
从根上看,划网段的意义不是资源节省,而是网络治理。
你看下面这几个问题熟不熟:
办公网一台电脑中毒,把整层楼的设备都 ARP 攻击了访客设备直接能 ping 通核心业务服务器DHCP 报文到处飘,一台设备跑错 VLAN 直接拿错 IP业务互相访问打满链路,运维抓包根本找不到源头这些事的本质,不是设备多,是你没划网段,缺“边界”。
安全、效率、可管理性全完了!!
你可以理解成这样:
★ 不划网段 = 全公司所有设备都在一个“宿舍”里生活, 谁咳嗽一声,全宿舍都得听着;谁放火,全宿舍都着了。细拆下来,大概会踩这几类坑:
1. 广播泛滥,ARP 风暴说来就来
二层广播(ARP、DHCP、组播)不隔离设备多了,每开一台电脑都在广播全网问“你谁啊?”轻则网卡占用高,重则业务全延迟别以为“几十台机器”无所谓,IoT 一上来、摄像头一多,量马上上千。
2. 安全权限不好控,没边界也就没规矩
举个例子:
你咋防?ACL 也不好写,防火墙规则也难整。
划了网段,你能直接拉 ACL 或 VLAN 限制:
deny finance_vlan to visitor_vlan
有边界,才有控制。
3. 排查故障全靠蒙,抓包也难抓准
你想排查下某台设备丢包,结果整个网段都是混流:
哪个流量是摄像头的?哪个是办公系统的?哪个是领导在用的 Zoom?你抓一个包,全是 broadcast,根本分析不出东西。
划了网段,你就能按“业务线”来定位,抓的准、查得快。
4. 上层设备压力大,转发效率低
上千个设备都塞一个网段,那三层设备的 ARP 表、MAC 表就成了大型爆炸现场。
ARP 条目撑爆了MAC 表抖动DHCP 地址冲突到时候你不是“网通不通”的问题,而是“网慢得像断网”。
这事没有标准答案,但有实战共识:
1. 按功能/业务来划
举几个典型划分思路:
2. 按楼层/区域划分也行
一楼一个段、二楼一个段东办公区一个段、西办公区一个段 这样搭配交换机分布,管理起来很清晰,链路问题也能一眼看出哪块出了问题。3. 一个网段最多不建议超 200 台设备
/24 网段(最多 254 个 IP)是最常见的,超过建议再切子网。 或者上三层网关拆分广播域,防止广播风暴。
总结一下:IP 地址够不够用,是资源问题; 划不划网段,是治理问题。别以为你把 IP 分完了就万事大吉了,真正让你系统稳定、安全、可控的,是你有没有把网划得清楚、划得有边界。
来源:网络工程师俱乐部一点号