在我目前的工作中,我们分发基于定义了多个 VM(使用 KVM / libvirt)的 Linux 服务器的产品。我们计划向客户的网络公开有限的端口,并使用 iptables 将入站流量定向到适当的内部 VM。我的问题:是否有一类私有子网可用于内部仅主机网络,它与客户端 IP 子网冲突的可能性最小?具体来说,如果我从任何 RFC-1918 定义的私有子网(例如 192.168.xx)中选择 /24,则有可能与客户使用的范围发生冲突。
我注意到几个当前的 VM 实现默认为 192.168.122.x——这是由于我不熟悉的 RFC,因此这是一个安全的使用范围(大多数网络管理员会避免)?还是各个 VM 供应商只是随机选择该范围?我想我正在寻找比现有私有 (RFC1918) 地址更私有的 IP 范围。
我唯一的其他想法是使用为文档目的保留的“测试网”IP 范围之一 (RFC 5737)。请注意,我并不担心客户的网络会阻止这些 IP,因为这只是我们服务器内部的(数据包在离开盒子之前会经过 NAT 转换)。然而,这看起来确实比坚持使用默认的 192.168.122.x/24 子网更不正统。