До того, как я пришел в компанию, в которой работаю, кто-то решил использовать диапазон 10.150.0.0/16 для локальной сети компании (несмотря на то, что у компании не так много устройств). Я думаю, что их идея в то время заключалась в том, чтобы использовать третий байт IP (10.150.X) для разделения различных типов инфраструктуры, сохраняя их все в одной сети. Таким образом, критически важные аппаратные компоненты (маршрутизаторы, точки доступа, основные хосты HyperV) находятся на 10.150.0.X, основные серверы находятся на 10.150.1.X, вторичные серверы, похоже, на 10.150.2.X, а затем есть DHCP. который назначает IP-адреса от 10.150.3.1 до 10.150.4.254.
Это довольно широкий диапазон, и, честно говоря, это немного беспорядок. Особенно с DHCP, назначающим IP-адреса всему: от ПК, ноутбуков до мобильных телефонов и даже серверов разработки.
Я надеялся, что смогу немного поправить ситуацию. Я хотел бы использовать NPS для настройки различных политик (так, например, основные серверы домена будут иметь другую политику, чем серверы разработки, и они будут иметь политику, отличную от политики устройств, подключенных к Wi-Fi), а затем использовать эту информацию для назначить разные диапазоны IP-адресов. За исключением того, что я не уверен, возможно ли это вообще, учитывая широкую сетевую маску. Простая попытка настроить вторую область DHCP для другого диапазона IP-адресов (скажем, 10.150.6.1-10.150.6.254) с той же сетевой маской вызывает ошибку в Windows DHCP, что в общем имеет смысл.
Итак, возможно ли то, что я пытаюсь сделать? Или мой единственный способ действий - перепроектировать и перенастроить всю сеть?
Вы правы, что /16 с 65 536 IP-адресами - это очень большая подсеть для ваших целей. Если все устройства находятся в одной подсети, каждый IP-адрес, упомянутый здесь, вписывается в 10.150.0.0/21 с 2048 адресами. Сначала это было бы относительно легко изменить. Только не забудьте поменять его везде и сразу.
Если вам нужно разделить сети и использовать более одной области DHCP, вы должны использовать /24 и /23 подсети и организовать маршрутизацию между ними. Это позволяет вам создавать правила брандмауэра на уровне маршрутизатора и обнаруживать вторжения между серверами / клиентами и проводными / беспроводными устройствами без доступа к их конфигурации и даже с помощью BYOD. Для этого с W2008R2 DHCP у вас есть два варианта: