林洋

（吉林廣播電視大學(xué)，吉林長春130022）

學(xué)校園區(qū)網(wǎng)IPV4地址管理簡述

林洋

（吉林廣播電視大學(xué)，吉林長春130022）

本文從園區(qū)網(wǎng)實(shí)際需求出發(fā)，探討IP地址分配的一般規(guī)則。，應(yīng)按照實(shí)際部署情況對(duì)IP段進(jìn)行合理分區(qū)，并對(duì)每個(gè)區(qū)域按照級(jí)別指定不同規(guī)格的管理策略；同時(shí)建議制作IP管理表以提升網(wǎng)絡(luò)管控水平。

IPV4；地址管理；園區(qū)網(wǎng)

IPV6尚未在互聯(lián)網(wǎng)中得到普及，而IPv4受制于地址數(shù)量限制，我國多數(shù)園區(qū)網(wǎng)在事實(shí)上使用IPV4的私有IP地址段做子網(wǎng)規(guī)劃，因而IP規(guī)劃水平則直接關(guān)系到整個(gè)園區(qū)網(wǎng)系統(tǒng)能否在建成后保持穩(wěn)定并高效運(yùn)行。在網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)中，應(yīng)重視IP地址規(guī)劃，根據(jù)實(shí)際情況提前制定相應(yīng)分配策略和管理策略。

一、IP地址分配

IP地址規(guī)范遵循國際標(biāo)準(zhǔn)，但事實(shí)上最初由美國軍方設(shè)計(jì)并應(yīng)用于ARPANET，后被世界其他國家所接受。IP地址是TCP/IP協(xié)議中網(wǎng)絡(luò)編址的主要方式，由4組8位二進(jìn)制組合表示，為便于理解，人們一般用點(diǎn)分十進(jìn)制直接表述。例如典型國際DNS服務(wù)地址8.8.8.8，即屬于標(biāo)準(zhǔn)IPV4地址，在互聯(lián)網(wǎng)上，IP地址應(yīng)該是唯一的。

為解決IP地址管理問題，國際公認(rèn)將IP地址劃分為A/B/C/D/E5個(gè)類別，其中A/B/C三個(gè)地址范圍各包含一個(gè)私有IP地址段，按照網(wǎng)絡(luò)規(guī)模，各地園區(qū)網(wǎng)在內(nèi)部使用私有地址，并僅在網(wǎng)絡(luò)出口處配置全網(wǎng)唯一的國際IP地址。

表1：私有地址范圍與IP地址類型

很多學(xué)校愿意在園區(qū)網(wǎng)中使用B類地址，以保持IP其容量大、容易擴(kuò)充的優(yōu)勢(shì)，但從精細(xì)化管理角度考慮，應(yīng)認(rèn)真審視實(shí)際需求，當(dāng)實(shí)際需求未超過200端點(diǎn)，且未來IP需求總數(shù)可以預(yù)期時(shí)，分配C類地址能保障網(wǎng)絡(luò)以更高的效率運(yùn)行，對(duì)處理網(wǎng)段匯總信息的路由而言，較多的網(wǎng)絡(luò)地址和較少的主機(jī)地址可減少運(yùn)算量。

二、IP地址規(guī)劃中的區(qū)域分割

園區(qū)網(wǎng)是一種始終保持運(yùn)行的業(yè)務(wù)聯(lián)合體，其內(nèi)部承載多種業(yè)務(wù)并相互關(guān)聯(lián)，一般在網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃階段，按照業(yè)務(wù)特性和業(yè)務(wù)邏輯關(guān)系，應(yīng)將整個(gè)網(wǎng)絡(luò)分割為不同業(yè)務(wù)區(qū)域，各區(qū)域邏輯獨(dú)立，建議同時(shí)在每個(gè)區(qū)域使用一個(gè)獨(dú)立IP地址段，在各區(qū)域邊界通過路由器實(shí)現(xiàn)網(wǎng)絡(luò)三層協(xié)議互通。

1、交換、安全和網(wǎng)絡(luò)管理區(qū)域

園區(qū)網(wǎng)中的數(shù)據(jù)中心是投資密度最高且提供主要服務(wù)的設(shè)施機(jī)構(gòu)，大量交換設(shè)備、安全設(shè)備以及網(wǎng)絡(luò)管理系統(tǒng)都部署在數(shù)據(jù)中心內(nèi)部，為保障整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流動(dòng)，需要單獨(dú)規(guī)劃IP地址范圍，用于改區(qū)域的專用管理。

任何可管理網(wǎng)絡(luò)交換是設(shè)備都具備VLAN管理功能，可管理VLAN范圍一般為1-4096（兩個(gè)字節(jié)），通常建議將默認(rèn)VLAN1作為交換設(shè)備管理范圍，好處在于對(duì)任何網(wǎng)絡(luò)管理設(shè)備無需VLAN二次配置，網(wǎng)絡(luò)交換信息（VLAN信息，廣播以、交換以及路由信息）直接互通，并避免不同品牌設(shè)備的兼容性問題。由于大多數(shù)園區(qū)網(wǎng)的交換設(shè)備總數(shù)十分有限，因此建議使用一個(gè)C類地址范圍，如：192.168.0.1/24，并在核心網(wǎng)絡(luò)設(shè)備配置各個(gè)網(wǎng)段的網(wǎng)關(guān)地址，常見網(wǎng)關(guān)地址為192.168.0.1或192.168.0.254.

應(yīng)注意到，安全設(shè)備同時(shí)也作為網(wǎng)絡(luò)交換設(shè)備存在，因此應(yīng)在網(wǎng)絡(luò)IP地址范圍內(nèi)為各種安全設(shè)備預(yù)留管理地址范圍。另外，為提供網(wǎng)絡(luò)管理的便利條件，管理員應(yīng)在地址段較低地址范圍預(yù)留固定空白IP地址，用于系統(tǒng)管理和應(yīng)急處理，如192.168.0.2---100。

2、服務(wù)器與業(yè)務(wù)設(shè)備區(qū)域

服務(wù)器與業(yè)務(wù)設(shè)備是承載園區(qū)服務(wù)的基礎(chǔ)設(shè)施，因此必須為服務(wù)器分配獨(dú)立IP段，且不與交換設(shè)備發(fā)生任何IP關(guān)聯(lián)。交換機(jī)一般支持兩種端口模式以維護(hù)服務(wù)器的IP請(qǐng)求，即ACCESSHybrid，端口所屬VLAN由管理員自定義，與服務(wù)器需求吻合。

3、系統(tǒng)與業(yè)務(wù)區(qū)域

通常服務(wù)器與所承載業(yè)務(wù)共用一個(gè)IP地址，作為WEB發(fā)布服務(wù)器時(shí)，可以增加同網(wǎng)段的不同地址，通過單個(gè)網(wǎng)卡傳送。但很多數(shù)據(jù)中心部署了私有云平臺(tái)，情況便發(fā)生變化。集成化的云平臺(tái)增加了IP系統(tǒng)分配的復(fù)雜性，其IP組成一般包括：網(wǎng)絡(luò)管理、交換區(qū)域；底層刀片、服務(wù)器群集區(qū)域；底層操作系統(tǒng)IP區(qū)域；業(yè)務(wù)系統(tǒng)區(qū)域。其中業(yè)務(wù)系統(tǒng)即相當(dāng)于傳統(tǒng)服務(wù)器。因此，為方便管理并保護(hù)網(wǎng)絡(luò)運(yùn)行，建議為不同區(qū)域配置獨(dú)立C類地址段。

4、用戶區(qū)域

規(guī)模較大的園區(qū)網(wǎng)絡(luò)，例如附帶的小區(qū)居民計(jì)費(fèi)網(wǎng)絡(luò)，由于用戶總數(shù)較大，通常使用B類或A類私有地址作為分配方案，通常采用較復(fù)雜的網(wǎng)絡(luò)配置體系包括計(jì)費(fèi)網(wǎng)關(guān)、用戶認(rèn)證、地址分配方案等，這種情況需要較為完善的安防體系支撐網(wǎng)絡(luò)和復(fù)雜運(yùn)維，這里不做詳細(xì)闡述。就學(xué)校行政辦公區(qū)域而言，過去幾年發(fā)生過非常多的ARP網(wǎng)絡(luò)欺騙攻擊，網(wǎng)段內(nèi)攻擊源將自己偽裝為網(wǎng)關(guān)地址，欺騙其他終端將數(shù)據(jù)流向到欺騙主機(jī)，從而導(dǎo)致整個(gè)網(wǎng)段崩潰，對(duì)于沒有完善安防體系的網(wǎng)絡(luò)而言：這是一類嚴(yán)重威脅。根據(jù)用戶行政以及地理區(qū)域，依據(jù)安全級(jí)別，建議為用戶劃分多個(gè)C類地址段，并對(duì)不同地址采取對(duì)應(yīng)級(jí)別的安全策略。

表2：用戶IP安全策略

三、園區(qū)網(wǎng)IP地址管理

制度優(yōu)先：制定完善的IP登記制度，合理分配IP地址，有助于提高網(wǎng)絡(luò)運(yùn)行效率，減少故障的發(fā)生。建議管理員創(chuàng)建IP關(guān)系表和IP登記表，作為基礎(chǔ)網(wǎng)絡(luò)管理工具。

表3：IP信息管理表

由于設(shè)備信息相對(duì)固定，應(yīng)制作與IP信息表對(duì)應(yīng)的設(shè)備信息表：（附后）

除表格外，還可以考慮制作IP拓?fù)湫畔D，可以十分清晰直觀顯示整個(gè)網(wǎng)絡(luò)的IP流向：（附后）

表4：設(shè)備信息單

圖1：IP關(guān)系拓?fù)涫疽鈭D

網(wǎng)絡(luò)管理員必須綜合整理園區(qū)網(wǎng)絡(luò)IP框架，建立完善的IP數(shù)據(jù)表，結(jié)合網(wǎng)絡(luò)拓?fù)?，才能在發(fā)生網(wǎng)絡(luò)故障時(shí)快速定位。

四、路由策略

無論將網(wǎng)絡(luò)區(qū)分為幾個(gè)網(wǎng)段，負(fù)責(zé)各個(gè)網(wǎng)段聯(lián)通的關(guān)鍵設(shè)備是邊界路由，應(yīng)當(dāng)認(rèn)真審核IP流動(dòng)性需求，在路由端作出合理策略規(guī)劃。對(duì)多個(gè)交換機(jī)和路由組成的網(wǎng)絡(luò)，應(yīng)考慮在交換區(qū)域引入STP協(xié)議，在路由區(qū)域配置RIP或OSPF區(qū)域，強(qiáng)化網(wǎng)絡(luò)容錯(cuò)能力。

典型單區(qū)域OSPF配置如下：

R1（config）#routerospf1//啟動(dòng)OSPF進(jìn)程

R1（config-router）#router-id1.1.1.1//配置路由器ID

R1（config-router）#network172.16.1.00.0.0.255area0 //通告直連網(wǎng)絡(luò)

R1（config-router）#network172.16.1.0255.255.255.0area0 //通告直連網(wǎng)絡(luò)

結(jié)語：學(xué)校園區(qū)網(wǎng)是組織信息化教學(xué)以及遠(yuǎn)程學(xué)習(xí)的重要支撐，合理的IP分配和有效管理是維持網(wǎng)絡(luò)穩(wěn)定運(yùn)行的前提，網(wǎng)絡(luò)管理者應(yīng)當(dāng)對(duì)本地網(wǎng)絡(luò)保持深刻理解和全面掌控。作為工作經(jīng)驗(yàn)的總結(jié)，筆者希望通過本文拋磚引玉，提供IP管理的一些經(jīng)驗(yàn)和原則，謹(jǐn)與同行共同交流。

［1］陳濤局域網(wǎng)IP管理系統(tǒng)設(shè)計(jì)，［J］.交通與計(jì)算機(jī)1999（12），24

TP393

A

1008-7508（2015）11-0068-02

2015－06－19

林洋（1980－），山東牟平人，吉林廣播電視大學(xué)遠(yuǎn)程教育技術(shù)中心講師，教育學(xué)碩士，主要研究方向?yàn)椋哼h(yuǎn)程教育網(wǎng)絡(luò)體系建設(shè)及移動(dòng)學(xué)習(xí)。