最近有人问我,为什么很多有经验的网络工程师,都不用192.168.0.1、192.168.1.1这类IP地址作为路由器的IP,而是采用10.或者172.开头的、这类看着怪怪的IP作为路由器的IP地址呢?
其实道理很简单,只是防止IP冲突而已。当然了,干巴巴地讲道理,很多人会不明所以,或者觉得无关紧要,那咱们就来举例说明吧。
例一:某公司几十台电脑,就一台D-link路由器,IP地址为192.168.0.1,也就是说全公司就192.168.0.0/24一个网段。突然有一天开始,部分电脑无法上网,且不固定,但是每天总有几台电脑不能上网。
接到电话后,第一反应就是让无法上网的电脑查看,是否获取到了IP地址,客户反馈获取到的IP是192.168.0.x,貌似没毛病啊。
就用这台电脑,ping 192.168.0.1 -t,能ping通。网络架构非常简单,既然能ping通就应该能上网啊,打开浏览器,输入192.168.0.1,打开的页面居然不是D-link,很明显有人私接路由器了。
解决方法很简单,持续ping 192.168.0.1 -t,然后到交换机上一根根地拔网线,ping不通的时候,也就找到私接的路由器是用的哪一条网线了,顺藤摸瓜,很容易找到“元凶”,少不得批评教育一番,并且敲来一顿羊肉火锅。
例二:这也是个常见的问题,先上拓扑图吧。
从图中可以看到,出口为一台华为防火墙,下联一台华为三层交换机,然后一台AC控制器和两台华为的接入交换机,上面还连接着几个无线AP,挺标准、挺简单的网络架构。本来当时就建议不要采用192.168.1.0这类网段,可是客户说,好几台网络打印机都是这个网段的,而且还台域控和文件服务器,改起来很麻烦,好吧,那就不折腾了,把光猫的LAN口改了个不同网段的IP地址,并且改为桥接模式了,防火墙上联口配置了PPPOE,既然不用TCP/IP协议,那至少不会有冲突了,一般来说也不会出问题的。
某天接到客户电话,说是192.168.1.0/24网段不能上网了,而wifi是192.168.2.0/24(办公专用)和192.168.11.0/24(访客专用)上网正常。
排查过程:1网段的电脑ping网关IP:192.168.1.1正常;在S5720上ping连接的防火墙接口IP,正常;难道是防火墙上的回程路由缺了一条?
登录防火墙,习惯性地先看接口,好家伙,怎么多出来一个接口配置?IP地址还是DHCP获取来的:192.168.1.2,这不是没事找事么,难怪1网段的流量不往回走,敢情是从新激活的端口出去了。PS:直连路由比较优先。
客户回答说,是刚增加的一条宽带,装维师傅插上就走了,后来也给他打过电话,但是回复说新旧宽带都正常,不会影响上网,肯定是防火墙或者核心交换机的问题。
我汗,这么草率,装维师傅看来都差不多。
老规矩,把新的光猫改为桥接模式,防火墙做了相应的配置后,问题解决。
顺便说一句,强烈建议光猫改为桥接模式,坚决不要使用运营商默认配置的路由模式,不管怎么说,少一级路由也是好的。