作为一家半小型公司，我们稍微宽松地分解了我们的专用网络，如下所示：

/24 每个 Vlan /16 每个位置

Vlan 是分散的，每个跳过 10 /24s。Vlan 号匹配第三个八位字节。位置是连续的，从 10 /16s 开始。

IE

• 10.10.1.0/24 - 位置 A，管理 VLAN 1

• 10.10.11.0/24 - 位置 A，无线 VLAN 11

• 10.11.11.0/24 - 位置 B，无线 VLAN 11

• 10.11.81.0/24 - 位置 B，SAN VLAN 81

• 10.11.101.0/24 - 位置 B，有线办公室 Vlan 101

VLAN示例：

• 1 - 管理

• 2 - 无线管理

• 11 - 无线接入

• 21 - 客人

• 31 - 移动设备

• 41 - 工厂设备

• 51 - SAN

• 61 - 网络电话

• 71 - 有线接入

等等。

我们看到的好处是：

• 通过 /16 轻松引用整个位置。我们经常将它用于 VPN ACL。

• 易于将设备类型组合在一起以进行网络过滤。

• 接下来 10 /24 秒内的任何 Vlan 都与前一个根属于同一类型。

  • 因此，例如，工厂设备... Vlan 31，对于某些具有 24/7 远程访问权限的供应商，我们为他们提供了自己的 Vlan，32 或 33 或 34，最多 40。他们的 VPN 访问将他们限制在他们使用的设备上支持而无需对 IP/ACE 进行细化。如果制造团队需要投入更多设备，我们不必更新 VPN ACL。这还包括 Vlan 之间的访问 ACL/ACE。

  • 另一个例子：SAN Vlan，我们至少使用其中两个来实现冗余。所以他们总是 81 和 82。

  • 最后一个例子：无线管理被分解到它自己的 Vlan, 2。我们这样做是因为我们有足够的 AP 需要一个 WLAN 控制器，但没有控制器的预算。此 Vlan 使用 tftp 和 dhcp 选项从中央配置存储库自动配置和启动 AP，我们不希望其他可以自动启动的设备拉取无线配置。

此设置为我们提供了一种查看 IP 并了解其所属设备的位置和类型的简单方法。这对我们来说意味着配置文件中的 ACL/ACE 更少，尤其是对于有限的 VPN 用户。如果我们用完 Vlan 中的 IP 或因为我们需要进一步隔离流量，我们也有扩展的喘息空间。由于我们是一家小公司，我们还没有打破三位数的位置编号。成长空间大。

鉴于 IPv4 已经存在了很长时间，人们可以选择数百万种不同的方式来分配他们的 IPv4 空间。

对于我们（一个 ISP），我们在纯传输链路上使用尽可能小的子网大小（通常为 /30），然后就客户而言，这取决于他们的需求，因为每个人在 IPv4 上的时间都很短，这意味着而不是使用一揽子规则，您必须将每个客户视为自己的实体，并相应地收集他们的要求。

当然，如果您指的是公共 IPv4 空间，就内部 RFC1918 内容而言，然后计划您的分配，以便您建立扩展空间（例如，建筑物中只有 50 人，不要只给他们一个 /26因为它是下一个大小的子网，但可能会给它们一个 /24 以允许扩展。

另一个好的做法是分配到聚合，也就是说，如果您有一栋 10 层楼的建筑物，则为该建筑物分配一个 /20（或更大），然后为该 /20 中的每个楼层/部门分配子网，这样您就可以仅将 /20 广告给网络的其余部分，而不是每个楼层的所有单独子网。