vpn服务器IP分配问题 是跟内网同一个网段还是不同一网段？

vpn一般来说有三个地址：本地内网地址，对端内网地址，虚接口地址。这三个地址一般的要求是都不在同一个网段上。

例如选择移动用户vpn的情况下：

本地一台服务器，ip地址为192.168.1.100，对方有一个客户机ip地址为192.168.10.100。

虚接口ip地址为10.10.10.10，那么vpn建立成功后客户机可以在地址栏输入\\192.168.1.100来直接访问1.100的服务器共享文件夹，而服务器通过10.10.10.10来访问客户机。

而这三个地址有任意两个在同一个段则可能造成vpn的不通。

扩展资料

IP（网络之间互连的协议）

IP是Internet Protocol（网际互连协议）的缩写，是TCP/IP体系中的网络层协议。

设计IP的目的是提高网络的可扩展性：一是解决互联网问题，实现大规模、异构网络的互联互通；二是分割顶层网络应用和底层网络技术之间的耦合关系，以利于两者的独立发展。

根据端到端的设计原则，IP只为主机提供一种无连接、不可靠的、尽力而为的数据报传输服务。

IP地址

IP规定网络上所有的设备都必须有一个独一无二的IP地址，就好比是邮件上都必须注明收件人地址，邮递员才能将邮件送到。

同理，每个IP信息包都必须包含有目的设备的IP地址，信息包才可以正确地送到目的地。同一设备不可以拥有多个IP地址，所有使用IP的网络设备至少有一个唯一的IP地址。

换言之，可以分配多个IP地址给同一个网络设备，但是同一个IP地址却不能重复分配给两个或以上的网络设备。

分类: 电脑/网络 >>互联网

解析:

---------------------IP地址分配-------------------------------------

1、IP地址

IP地址标识着网络中一个系统的位置。我们知道每个IP地址都是由两部分组成的：网络号和主机号。其中网络号标识一个物理的网络，同一个网络上所有主机需要同一个网络号，该号在互联网中是唯一的；而主机号确定网络中的一个工作端、服务器、路由器其它TCP/IP主机。对于同一个网络号来说，主机号是唯一的。每个TCP/IP主机由一个逻辑IP地址确定。

网络号和主机号

IP地址有两种表示形式：二进制表示(1和0太多了就搞不清)和点分十进制表示。每个IP地址的长度为4字节，由四个8位域组成，我们通常称之为八位体。八位体由句点.分开，表示为一个0-255之间的十进制数。一个IP地址的4个域分别标明了网络号和主机号。

2、地址类型

为适应不同大小的网络，inter定义了5种IP地址类型。

可以通过IP地址的前八位来确定地址的类型：

类型 IP形式 绾?主机号

A类 w.x.y.z w x.y.z

B类 w.x.y.z w.x y.z

C类 w.x.y.z w.x.y z

我们来看一下这5类地址：

A类地址：可以拥有很大数量的主机，最高位为0，紧跟的7位表示网络号，余24位表示主机号，总共允许有126个网络。

B类地址：被分配到中等规模和大规模的网络中，最高两位总被置于二进制的10，允许有16384个网络。

C类地址：被用于局域网。高三位被置为二进制的110，允许大约200万个网络。

D类地址：被用于多路广播组用户，高四位总被置为1110，余下的位用于标明客户机所属的组。

E类地址是一种仅供试验的地址。

3、地址分配指南

在分配网络号和主机号时应遵守以下几条准则：

(1)网络号不能为127。大家知道该标识号被保留作回路及诊断功能，还记得平时ping

127.0.0.1？

(2)不能将网络号和主机号的各位均置1。如果每一位都是1的话，该地址会被解释为网内

广播而不是一个主机号。(TCP/IP是一个可广播的协议嘛)

(3)相应于上面一条，各位均不能置0，否则该地址被解释为“就是本网络”。

(4)对于本网络来说，主机号应该是唯一。(否则会出现IP地址已分配或有冲突之类的错误)

分配网络号

对于每个网络以及广域连接，必须有唯一的网络号，主机号用于区分同一物理网络中的不同主机。如果网络由路由器连接，则每个广域连接都需要唯一的网络号。

分配主机号

主机号用于区分同一网络中不同的主机，并且主机号应该是唯一的。所有的主机包括路由器间的接口，都应该有唯一的网络号。路由器的主机号，要配置成工作站的缺省网关地址。

有效的主机号

A类：w.0.0.1--w.255.255.254

B类：w.x.0.1--w.x.255.254

C类：w.x.y.1--w.x.y.254

4、子网屏蔽和IP地址

TCP/IP上的每台主机都需要用一个子网屏蔽号。它是一个4字节的地址，用来封装或“屏蔽”IP地址的一部分，以区分网络号和主机号。当网络还没有划分为子网时，可以使用缺省的子网屏蔽；当网络被划分为若干个子网时，就要使用自定义的子网屏蔽了。

缺省值

我们来看看缺省的子网屏蔽值，它用于一个还没有划分子网的网络。即使是在一个单段网络上，每台主机也都需要这样的缺省值。

它的形式依赖于网络的地址类型。在它的4个字节里，所有对应网络号的位都被置为1，于是每个八位体的十进制值都是255；所有对就主机号的位都置为0。例如：C类网地址192.168.0.1和相应的缺省屏蔽值255.255.255.0。

确定数据包的目的地址

我们说把屏蔽值和IP地址值做“与”的操作其实是一个内部过程，它用来确定一个数据包是传给本地还是远程网络上的主机。其相应的操作过程是这样的：当TCP/IP初始化时，主机的IP地址和子网屏蔽值相“与”。在数据包被发送之前，再把目的地址也和屏蔽值作“与”，这样如果发现源IP地址和目的IP地址相匹配，IP协议就知道数据包属于本地网上的某台主机；否则数据包将被送到路由器上。

注：我们知道“与”操作是将IP地址中的每一位与子网屏蔽中相应的位按逻辑与作比较。

普通用户请求下载服务器上的大文件不会有大问题，下载带宽通常在几十M左右，因此一个请求对服务器的带宽压力不大。

但当服务器作为CDN回源时就千万要注意了，CDN的机房带宽通常可以达到数百M甚至上G，而IDC机房的带宽费用往往是根据峰值带宽来计算。

因此如果CDN回源大文件时不对服务器带宽做限制，将会出现瞬间极大峰值，造成不必要的经济损失。

解决问题的核心在于限制服务器上行带宽。

我们通过对nginx增加带宽限制尝试解决这个问题。

nginx里有2个配置项

limit_rate <size>限制单个请求带宽峰值，512, 1k, 10m

limit_rate_after <size>当下载超过一定大小后开始限制，100m, 100k

进行如此配置后，我们用curl进行测试，发现当文件下载超过一定大小后，下载速率就会降到limit_rate设定的带宽值。

总结：如果网站有大文件资源时，一定要注意下载速率的配置，特别是在做CDN回源时尤其必须对速率进行配置。即便不做CDN回源，在某些特殊场景下也有可能出现高带宽下载，因此要特别注意

---