公司刚搬了新办公室,IT 小李忙着给各部门重新布线。财务部在东边楼层,研发部在西边,两拨人用的设备越来越多,网络开始卡顿。小李知道,不能再用一个大网段“一锅煮”了,得划分子网。
子网划分不只是为了分区域
很多人以为子网就是把办公室按部门分开,其实它对远程连接的帮助更大。比如,你在家连公司的服务器,如果所有设备都在 192.168.1.0/24 这个网段里,一旦有人误操作或中了病毒,整个网络都可能被扫到,风险太高。
小李把网络拆成了几个子网:
财务部:192.168.10.0/24
研发部:192.168.20.0/24
服务器区:192.168.100.0/24
这样一来,普通员工根本访问不到服务器子网,只有运维人员通过指定跳板机才能进入。安全性和管理效率一下子上去了。
远程连接怎么配合子网使用
现在小李下班在家,要修服务器,他不会直接暴露服务器公网 IP。而是先通过 OpenVPN 连入公司内网,获取一个 192.168.100.x 的地址,再 SSH 登录目标机器。
他的连接流程是这样的:
ssh admin@192.168.100.10 -p 2222这台服务器根本不在公共视野里,外网扫描不到,攻击面小了很多。而且因为用了子网隔离,即使有人黑进了研发部的电脑,也跳不到服务器区,除非攻破防火墙规则。
实际配置小技巧
在路由器或三层交换机上配置子网时,记得设置好静态路由。比如,让 192.168.10.0 和 192.168.20.0 都能通 192.168.100.0,但反过来服务器子网不主动响应无关请求。
防火墙策略也要跟上。以 iptables 为例,可以加一条规则限制访问来源:
iptables -A INPUT -s 192.168.100.0/24 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP意思是只允许来自服务器子网的 SSH 连接通过,其他一概拒绝。结合子网划分,这种“最小权限”原则才真正落地。
还有些人喜欢用云服务器做跳板,比如阿里云 ECS 上跑一个堡垒机,只允许特定 IP 连入,然后再从堡垒机去连内网各子网的设备。这种方式虽然多绕一步,但日志清晰,审计方便,适合稍大一点的团队。
子网不是摆设,它是远程维护的隐形护盾。合理规划之后,你会发现,不仅网络更稳,半夜被叫起来救火的次数也少了。