标签: subnet

据我了解，公共子网是可以通过 Internet 网关将流量路由到 Internet 的子网，而私有子网则不能（无法访问 Internet，也无法从 Internet 访问）。为了访问 Internet，私有子网需要通过 NAT 网关路由流量。

我可以确认这一点，因为我实际上成功地使用了这个设置。

但是......亚马逊文档另有说法（我的重点是粗体）：

公有子网中的实例可以直接从 Internet 接收入站流量，而私有子网中的实例则不能。公有子网中的实例可以直接将出站流量发送到 Internet，而私有子网中的实例则不能。相反，私有子网中的实例可以使用您在公共子网中启动的网络地址转换 (NAT) 实例来访问 Internet 。

NAT 网关所在的位置是否重要？如果是这样，将它放在私有/公共子网中的用例是什么？

我正在运行 OpenVPN 服务器，我想为特定客户端分配静态 IP。

这是我的 server.conf。我认为这会将虚拟 IP 池配置为从 10.5.24.209 到 10.5.24.223。

port 443
proto tcp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-auth ta.key 0
topology subnet
server 10.5.24.208 255.255.255.240
#This netmask should span IPs .208-.223.
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 168.xx.xx.xx"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem
client-to-client
client-config-dir ccd

这是 的内容 …

当我尝试在 VPC 中添加新子网时，我收到以下消息：

172.22.128.0/24 CIDR 不在 VPC 的 CIDR 范围内。

我当前的 VPC CIDR 是 172.22.130.0/28

有什么帮助吗？

请假设 192.168.100.0/24 上有一个简单的 LAN。您会在 192.168.100.1 或 192.168.100.254 上配置默认路由器吗？为什么？

谢谢

可能的重复：
IPv4 子网划分是如何工作的？

我目前正在修改 Cisco CCNA1 的网络。我正在努力回答的问题之一如下：

以下哪些 IPv4 地址是有效的子网地址：

• 172.16.4.127 /26
• 172.16.4.155 /26
• 172.16.4.193 /26
• 172.16.4.95 /27
• 172.16.4.159 /27
• 127.16.4.207 /27

我无法理解如何知道子网地址何时有效。

非常感谢

我们不断扩展的网络上的 IP 地址即将用完。当前范围是 192.168.1.0/24。注意事项：

我们使用 ISA 服务器作为所有网络流量的代理，这是我们当前的默认网关

我们目前的主干网是 4 台 L2 戴尔交换机，通过 LAG 连接以有效创建 168 端口主干网

我们有远程 site2site vpns 从 192.168.102.0,192.168.103.0 等连接到我们的网络。他们需要访问所有内部网络

2种可能的解决方案：

1. 将掩码从 255.255.255.0 更改为 255.255.252.0，这为我们提供了 192.168.0.1 到 192.168.3.254 的范围。缺点是我们需要在很多地方更改掩码（静态 ip 主机、dhcp 服务器等）

2. 在 L2 交换机之前放置一个三层交换机，并将其拆分为 vlan。这将是一个更简单的修复。我们会将默认网关更改为第 3 层交换机，并将 ISA 作为交换机的网关。那么我们是将 L3 交换机用作客户端的默认网关，还是将其保留为 ISA？

获得一些额外 IP 地址的最佳方法是什么？有什么需要注意或警惕的吗？

目前我有一个10.2.1.1在10.2.1.0/24网络上寻址的路由器。我所有的主机都有10.2.1.1带掩码的默认网关255.255.255.0。

我想知道：如果我将路由器更改为10.2.0.0/16具有对应子网掩码的主机/24在此期间（在重新配置之前）仍然可以工作？

编辑：如果不可能，假设这些都是 pfSense 设备后面的 Windows 主机，那么从较小的子网过渡到较大的子网的最佳方法是什么？

编辑 1：为了澄清起见，我将路由器地址保留为 10.2.1.1，只是使子网更大（/16 而不是 /24）。

我使用 AWS Docs 中的场景 2 设置了一个 VPC：http : //docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html

我已将弹性 IP 分配给在公共子网中运行的 EC2 实例。SSH 工作正常，我可以访问在其上运行的网站。但是，我不能发出传出的 HTTP 或 HTTPS 请求（我在尝试运行时注意到了这一点yum update）。

我相信我所有的安全设置都是正确的。我无法通过 Internet 网关发出传出 HTTP/HTTPS 请求吗？我特别要求在创建时不要将公共 IP 分配给此实例，因为我知道我将分配一个让网站 DNS 喜欢的弹性 IP。我在私有子网中为实例设置了 NAT，但我目前只有 RDS 实例在那里运行，所以我没有测试从那里发出的请求。

该 EC2 实例的安全组具有以下出站规则：

该子网的路由表具有以下设置：

网络 ACL 具有以下设置：

默认 DHCP 选项集具有以下设置：

domain-name = ec2.internal
domain-name-servers = AmazonProvidedDNS

默认/etc/resolv.conf设置为：

search ec2.internal
nameserver 10.0.0.2

VPC 和子网的 CIDR 块如下：

VPC: 10.0.0.0/16
Public Subnet: 10.0.0.0/24
Private DB Subnet in US East 1A: 10.0.1.0/24
Private DB Subnet in …

据我了解，有几个“不可路由”的 IP 范围：

• A类预留空间10.0.0.0/8
• B类保留空间172.16.0.0/12
• C类保留空间192.168.0.0/16
• E 类保留用于研究 240.0.0.0

但我想我并没有从根本上理解“可路由”与“不可路由”之间的区别。何时需要可路由而不是不可路由，反之亦然？

有一个 solaris 命令可以通过发出以下命令来 ping 子网中的所有主机：

ping -s 255.255.255.255

linux中有没有类似的东西？我的目的是在 ping 所有主机后找到一个如下所示的 mac 地址：

arp -an | grep mac_address