黃要武

摘要：為了避免因IP地址規(guī)劃導(dǎo)致一系列網(wǎng)絡(luò)問(wèn)題，結(jié)合網(wǎng)絡(luò)工程項(xiàng)目實(shí)際經(jīng)驗(yàn)和教學(xué)經(jīng)驗(yàn)，針對(duì)校園網(wǎng)的網(wǎng)絡(luò)互連系統(tǒng)提出網(wǎng)絡(luò)IP地址規(guī)劃與設(shè)計(jì)的基本原則、規(guī)劃方法，并通過(guò)一個(gè)具體的實(shí)例說(shuō)明IP地址規(guī)劃的過(guò)程。希望對(duì)網(wǎng)絡(luò)初學(xué)者和一些缺乏IP地址規(guī)劃經(jīng)驗(yàn)的網(wǎng)絡(luò)工程師提供有價(jià)值的參考。

關(guān)鍵詞：校園網(wǎng);局域網(wǎng);IP地址規(guī)劃

中圖分類(lèi)號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）30-0063-03

開(kāi)放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

IP地址規(guī)劃是指為了實(shí)現(xiàn)網(wǎng)絡(luò)的邏輯連接和管理而對(duì)網(wǎng)絡(luò)的設(shè)備端口、用戶主機(jī)進(jìn)行合理的IP地址分配過(guò)程。在設(shè)計(jì)校園網(wǎng)或大中型局域網(wǎng)過(guò)程中，合理的IP地址規(guī)劃是設(shè)計(jì)和實(shí)施網(wǎng)絡(luò)互聯(lián)系統(tǒng)的關(guān)鍵環(huán)節(jié)之一，對(duì)網(wǎng)絡(luò)的性能和后期維護(hù)起到關(guān)鍵的作用。很多網(wǎng)絡(luò)初學(xué)者乃至一些有一定經(jīng)驗(yàn)的網(wǎng)絡(luò)工程師，在網(wǎng)絡(luò)的安裝、配置和管理時(shí)，經(jīng)常因IP地址規(guī)劃不合理而導(dǎo)致配置混亂、出現(xiàn)故障、遠(yuǎn)程管理失效、甚至網(wǎng)絡(luò)癱瘓。所以，規(guī)劃IP地址時(shí)，有必要遵守IP地址規(guī)劃的基本原則，并采用適當(dāng)?shù)囊?guī)劃方法合理選擇和分配。一般通過(guò)列表方式列出每個(gè)網(wǎng)絡(luò)使用的網(wǎng)絡(luò)地址、可用主機(jī)地址范圍、子網(wǎng)掩碼、網(wǎng)絡(luò)設(shè)備端口的地址、設(shè)備管理地址等。由于目前IPV4地址已經(jīng)耗盡[1]，而IPV6暫時(shí)仍然無(wú)法普及使用，因此校園網(wǎng)的IP地址規(guī)劃只能選用IPV4的私有地址段。

1基本原則

校園網(wǎng)一般指在一個(gè)局部的、有限的地理范圍內(nèi)由多個(gè)建筑物組成的計(jì)算機(jī)網(wǎng)絡(luò)，校園網(wǎng)也叫園區(qū)網(wǎng)。實(shí)際上，校園網(wǎng)也是大中型局域網(wǎng)，這類(lèi)網(wǎng)絡(luò)包括高校、中小學(xué)、大中型企業(yè)、政府辦公樓等的網(wǎng)絡(luò)，其IP地址規(guī)劃通常遵循唯一性、可擴(kuò)展性、連續(xù)性等原則[2]。

（1）唯一性

IP地址的唯一性是由IP地址自身的特性要求決定的，IP地址不能重復(fù)使用，即網(wǎng)絡(luò)中分配的IP地址不能出現(xiàn)兩個(gè)相同的IP地址。這是分配IP地址時(shí)需要遵守的首要原則。

（2）可擴(kuò)展性

在了解網(wǎng)絡(luò)現(xiàn)有用戶規(guī)模的前提下，充分考慮未來(lái)可能擴(kuò)大的網(wǎng)絡(luò)用戶數(shù)量，預(yù)留足夠的地址空間。建設(shè)完成的網(wǎng)絡(luò)不會(huì)因?yàn)橛脩魯?shù)量增加而重新規(guī)劃網(wǎng)絡(luò)的IP地址，避免因調(diào)整、替換IP地址而產(chǎn)生不必要的管理負(fù)擔(dān)和經(jīng)濟(jì)損失。

（3）連續(xù)性

為了便于路由器進(jìn)行路由匯聚，減少路由表的條目，提高路由效率，在可選擇的前提下，應(yīng)當(dāng)盡可能選用連續(xù)的IP地址塊。所謂連續(xù)的IP地址塊，即所有子網(wǎng)具有相同的網(wǎng)絡(luò)前綴。

（4）安全性

IPV4協(xié)議本身并不具備安全性，網(wǎng)絡(luò)的安全性通常需要通過(guò)其他途徑加強(qiáng)。但是IP地址規(guī)劃對(duì)網(wǎng)絡(luò)安全性也能提供一定輔助作用。例如，選用私有地址規(guī)劃內(nèi)部網(wǎng)絡(luò)，通過(guò)NAT架構(gòu)屏蔽內(nèi)部網(wǎng)絡(luò)地址。再有，將服務(wù)器放置在內(nèi)部網(wǎng)，通過(guò)公網(wǎng)地址與私有網(wǎng)絡(luò)地址的映射提供外部網(wǎng)訪問(wèn)，也能起到一定的保護(hù)作用。

（5）實(shí)用性

規(guī)劃IP地址時(shí)要考慮便于網(wǎng)絡(luò)設(shè)備配置、網(wǎng)絡(luò)管理和用戶配置使用。例如，如果使用私有地址段則在劃分子網(wǎng)時(shí)采用24位網(wǎng)絡(luò)前綴，采用DHCP方式為用戶自動(dòng)分配IP地址。

2規(guī)劃方法

2.1 子網(wǎng)數(shù)量和用戶分配

為了避免廣播風(fēng)暴，大型的局域網(wǎng)需要?jiǎng)澐諺LAN，子網(wǎng)的數(shù)量根據(jù)VLAN的數(shù)量計(jì)算。雖然一個(gè)VLAN可以分配500個(gè)用戶甚至更多，但是考慮實(shí)用性和可擴(kuò)展性，一般每個(gè)VLAN分配不超過(guò)200個(gè)用戶，最多不超過(guò)250個(gè)用戶。如果是按部門(mén)劃分VLAN時(shí)，用戶數(shù)量超過(guò)250個(gè)，則需要拆分，增加該部門(mén)的VLAN數(shù)量。

2.2 私有地址段的選擇

私有網(wǎng)絡(luò)也叫專(zhuān)用網(wǎng)絡(luò)或內(nèi)部網(wǎng)，不直接與Internet直接連接，使用私有地址段規(guī)劃IP地址，不占用全球公網(wǎng)IP地址空間。采用CIDR技術(shù)[3]，進(jìn)一步拆分子網(wǎng)。如果私有網(wǎng)絡(luò)需要連接Internet，則需通過(guò)網(wǎng)關(guān)設(shè)備并使用NAT技術(shù)。在IPV4地址中，為這些私有網(wǎng)絡(luò)保留了如下地址段，任何私有網(wǎng)絡(luò)都可以使用。

A類(lèi)10.0.0.0～10.255.255.255

B類(lèi)172.16.0.0～172.31.255.255

C類(lèi)192.168.0.0～192.168.255.255

在規(guī)劃校園網(wǎng)的IP地址時(shí)，以上三類(lèi)地址段都可以用，但是考慮連續(xù)性原則，只選擇其中一類(lèi)。綜合考慮網(wǎng)絡(luò)的設(shè)備配置和用戶設(shè)置的方便性，選擇網(wǎng)絡(luò)前綴16位的一個(gè)B類(lèi)地址段比較合理。一個(gè)這樣的地址段，擁有65536個(gè)地址，足以滿足高密度用戶的大型局域網(wǎng)使用。例如，選擇地址段172.16.0.0/16，或者172.17.0.0/16等等。

為了便于路由聚合，節(jié)省路由器的存儲(chǔ)和轉(zhuǎn)發(fā)開(kāi)銷(xiāo)，在給子網(wǎng)分配地址段時(shí)，不會(huì)每個(gè)類(lèi)別都選一個(gè)，例如，三個(gè)子網(wǎng)的地址為192.168.1.0/24、172.16.1.0/24和10.1.1.0/24。而是將地址分配為172.16.1.0/24、172.16.2.0/24、172.16.3.0/24等等，這樣在路由器中就可以自動(dòng)聚合為一條路徑：172.16.0.0/16。

2.3 關(guān)于子網(wǎng)劃分

使用私有IP地址時(shí)，不必考慮節(jié)約地址。為了便于IP地址管理，使用24位網(wǎng)絡(luò)前綴劃分子網(wǎng)，然后將每個(gè)子網(wǎng)分配給每個(gè)VLAN。

2.4 公網(wǎng)地址的分配

使用IPV4的公網(wǎng)IP地址時(shí)，由于能夠申請(qǐng)到的IP地址數(shù)量有限，盡可能節(jié)約原則劃分子網(wǎng)后再分配，主要用于與外網(wǎng)的路由連接、NAT轉(zhuǎn)換、公網(wǎng)與私網(wǎng)的地址映射。

2.5 設(shè)備管理地址的分配

在大中型局域網(wǎng)中，可能需要使用幾十、幾百，甚至上千臺(tái)交換機(jī)，為了便于遠(yuǎn)程管理，每臺(tái)交換機(jī)都需要一個(gè)管理地址。密集型的大型局域網(wǎng)通常采用交換機(jī)堆疊技術(shù)，一般最多可以堆疊8臺(tái)交換機(jī)，一個(gè)堆疊組使用一個(gè)管理地址，這樣可以減少管理地址的數(shù)量。通常在交換機(jī)的VLAN1端口上分配管理地址，這樣，給VLAN1分配的地址段主要用于設(shè)備管理使用，通常不再分配給用戶主機(jī)使用。路由器、防火墻等設(shè)備的管理地址則直接使用其網(wǎng)絡(luò)連接端口的IP地址即可，無(wú)須額外分配。

3地址規(guī)劃設(shè)計(jì)實(shí)例

以某高校校園網(wǎng)的IP地址規(guī)劃設(shè)計(jì)為例，具體內(nèi)容如下。校園網(wǎng)網(wǎng)絡(luò)互聯(lián)系統(tǒng)比較復(fù)雜，這里僅說(shuō)明與IP地址規(guī)劃相關(guān)的問(wèn)題，略去其他設(shè)計(jì)內(nèi)容及技術(shù)細(xì)節(jié)。

（1）需求分析

某高校建設(shè)校園網(wǎng)，校園占地面積40平方米，現(xiàn)有建筑物包括綜合教學(xué)樓1、綜合教學(xué)樓2、圖書(shū)館以及2～7號(hào)六個(gè)宿舍樓?，F(xiàn)有教工及學(xué)生用戶約5000個(gè)，將來(lái)可能擴(kuò)充到10 000個(gè)。網(wǎng)絡(luò)中心機(jī)房計(jì)劃安置在圖書(shū)館建筑里。由于IP地址緊缺，只能申請(qǐng)到1024個(gè)全球公網(wǎng)地址。為了滿足師生工作、學(xué)習(xí)等上網(wǎng)需求，只能采用NAT架構(gòu)，選用私有IP地址規(guī)劃內(nèi)部網(wǎng)絡(luò)。

（2）網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

校園網(wǎng)采用三層架構(gòu)設(shè)計(jì)，網(wǎng)絡(luò)連接拓?fù)鋱D如圖1所示。每個(gè)建筑物的用戶接入層使用型號(hào)為V2的24口交換機(jī)，這些接入交換機(jī)匯聚到型號(hào)為E1的匯聚層交換機(jī)。各建筑物的匯聚交換機(jī)再通過(guò)光纖上聯(lián)到位于圖書(shū)館網(wǎng)絡(luò)中心機(jī)房的型號(hào)為N7的核心交換機(jī)。按照現(xiàn)有5000個(gè)用戶規(guī)模計(jì)算，適當(dāng)考慮可擴(kuò)展性，一期工程安裝24端口接入交換機(jī)240臺(tái)，核心交換機(jī)1臺(tái)，匯聚交換機(jī)8臺(tái)。除了圖書(shū)館之外，其他每個(gè)建筑物安裝一臺(tái)匯聚交換機(jī)，將來(lái)隨著建筑物的增加，可能擴(kuò)展到16臺(tái)。服務(wù)器全部連接到核心交換機(jī)，并安裝在網(wǎng)絡(luò)中心機(jī)房。內(nèi)部網(wǎng)出口通過(guò)型號(hào)為XP2400的路由器連接到外網(wǎng)，為了提高網(wǎng)絡(luò)性能，該路由器可以采用防火墻代替。

（3）校園網(wǎng)IP地址規(guī)劃

按最大規(guī)模規(guī)劃，即10 000用戶規(guī)模。以每個(gè)子網(wǎng)分配250個(gè)用戶計(jì)算，需要子網(wǎng)數(shù)量40個(gè)，再加上一個(gè)管理用子網(wǎng)，至少需要?jiǎng)澐?1個(gè)VLAN和41個(gè)子網(wǎng)地址段。選用私有地址段172.16.0.0/16，可以劃分256個(gè)子網(wǎng)，分別為172.16.0.0/24、172.16.1.0/24、...、172.16.255.0/24。詳細(xì)VLAN及IP地址規(guī)劃如表1所示。VLAN端口的IP地址分配給核心交換機(jī)的各VLAN端口，用于VLAN之間的三層交換，也用于接入用戶的默認(rèn)網(wǎng)關(guān)。

VLAN1對(duì)應(yīng)的IP地址段主要分配給服務(wù)器、交換機(jī)的VLAN端口和內(nèi)部網(wǎng)出口的路由器內(nèi)網(wǎng)口。服務(wù)器預(yù)留分配地址范圍：172.16.1.200～172.16.1.250。路由器內(nèi)網(wǎng)口地址分配為172.16.1.5/24。管理IP地址分配如表2所示，核心交換機(jī)的管理IP地址直接使用其VLAN1端口地址，路由器也是直接使用其連接端口地址。目前現(xiàn)有8臺(tái)匯聚交換機(jī)，需要8個(gè)管理地址，預(yù)留分配20個(gè)，地址范圍：172.16.1.11～172.16.1.30。接入交換機(jī)現(xiàn)有240臺(tái)，由于每組堆疊交換機(jī)數(shù)量不等，暫時(shí)按平均4臺(tái)堆疊一組計(jì)算，需要60個(gè)管理地址，預(yù)留分配160個(gè)，地址范圍：172.16.1.31～172.16.1.190。

公網(wǎng)IP地址主要分配給NAT轉(zhuǎn)換的公網(wǎng)地址池，以及一些對(duì)外網(wǎng)提供訪問(wèn)服務(wù)的內(nèi)部網(wǎng)服務(wù)器，采用公網(wǎng)私網(wǎng)地址映射方式。也有一些直接放置在外網(wǎng)的服務(wù)器，需要分配公網(wǎng)IP地址。

高校校園網(wǎng)內(nèi)部的一些機(jī)房的網(wǎng)絡(luò)用戶，可以直接分配規(guī)劃的子網(wǎng)地址，或者采用二級(jí)NAT結(jié)構(gòu)[4]，進(jìn)一步規(guī)劃IP地址。另外，有些校園網(wǎng)采取部分或全部實(shí)現(xiàn)WIFI覆蓋方式，IP地址規(guī)劃也可以采用類(lèi)似機(jī)房分配地址的方法，通常需要使用DHCP方式自動(dòng)分配[5]。

4結(jié)束語(yǔ)

在公網(wǎng)IPV4地址比較充足的時(shí)期，一些高校的校園網(wǎng)全部用戶直接使用公網(wǎng)IP地址，不采用NAT架構(gòu)，雖然存在安全性風(fēng)險(xiǎn)，但訪問(wèn)效率有所提高。但現(xiàn)在新建的校園網(wǎng)只能采用NAT架構(gòu)，選用私有IPV4地址分配。隨著IPV6的普及，將來(lái)可能完全采用IPV6地址規(guī)劃校園網(wǎng)。無(wú)論哪種情況，本文所探討的IP地址規(guī)劃原則和方法都可以作為參考。

參考文獻(xiàn)：

[1] 王宇航，王慶福.高校校園網(wǎng)絡(luò)IP地址設(shè)計(jì)規(guī)劃解析[J].無(wú)線互聯(lián)科技，2016（5）：27-28.

[2] 王東海.大中型局域網(wǎng)內(nèi)部IP地址規(guī)劃的原則[J].電腦知識(shí)與技術(shù)，2017，13（34）：46，69.

[3] 李瑤.論大中型企業(yè)中IP地址規(guī)劃管理的作用和重要性[J].通訊世界，2019，26（9）：20-21.

[4] 黃俊.南京廣電雙向業(yè)務(wù)用戶終端IP地址規(guī)劃管理經(jīng)驗(yàn)芻議[J].廣播電視網(wǎng)絡(luò)，2020，27（12）：45-49.

[5] 孫兵.IP地址規(guī)劃方法分析與研究[J].數(shù)碼世界，2020（5）：41.

【通聯(lián)編輯：代影】