1、科 技 信 息对于大型的局域网来说,当网络拓扑规模逐渐完善时,网络工作的重点也就逐渐由建设转为管理 。由于 TCP/IP 协议应用广泛,因此局域网内围绕 IP 地址所开展的各项工作也就越来越显得重要 。一个有序 、高效的 IP 地址管理体制是整个局域网络健康运行的基础,同时也可以对网络信息安全产生积极作用 。首先我们来介绍一个如何更合理地对局域网的 IP 地址进行规划 。当网络线路铺设完毕,设备也安装到位的时候,我们首先要做的就是分配 IP 地址,调试网络与设备 。这一过程主要由设备 IP 地址分配和用户 IP 地址分配两部分组成 。在为网络设备规划 IP 地址时,首先应明确:除非必要(如设置
2、路由器或者防火墙的外网接口地址),否则不在设备配置文件中规划公网地址;因此我们在为网络设备规划 IP 地址时,一般使用私有地址作为设备的管理地址以及接口地址 。这样做有 2 个好处:一是有足够的地址空间可以利用,使得网络设备的 IP 地址被分配的更加有条理;二是可以加强设备的安全性,使用私有地址的网络设备,往往只是可以被有限的IP 地址(如局域网内部计算机或设备)访问到,而不是暴露在整个 In-ternet 中 。而在使用私有地址作为网络设备的管理地址或者接口地址时,我们也不要过于吝惜使用这些地址,一定要给不同地理区域或者不同汇聚区域的设备使用不同网段的 IP 地址;因为对于局域网而言,私有地
3、址的分配可以说是 “无穷尽 ”的 。笔者在网络管理中就遇到了这样的困扰:所管理的网络从地址位置上分为 3 个区域 中区 、北区 、南区; 2002 年网络建成时有接入交换机 37 组(由约 80 台交换机堆叠而成),但仅有一台汇聚交换机,因此就在汇聚交换机上设置了接入交换机网关地址,接入交换机组管理 IP 地址依次设置为 192.168.0.1192.168.0.38; 2007 年网络进行了大规模升级改造,在学校的中区 、北区 、南区分别设立了汇聚交换机,负责各自区域的 IP 汇聚任务 。由于网络建设初期的 IP 分配失误,笔者不得不跑遍网络各个接入交换机组,重新配置交换机组管理 IP 等参
4、数,真是苦不堪言,更改后的接入交换机组管理 IP 规划如表 1。表 1如此更改不光使设备管理地址更加有序,同时也最大程度保障了汇聚设备路由表的健康 。同时,我们也应该注意:要以合理的 、长远的眼光来进行设备管理地址的分配 。譬如说,某局域网覆盖了 9 栋建筑,楼号分别为 1 号 9号,每栋楼都安装有一组接入交换机,有些网络管理者便将这 9 栋楼的接入交换机管理地址规划如表 2。表 2并认为这样分配下来的 IP 地址很有规律,且便于记忆 。但是我并不是很认同这种 IP 地址的规划方式 。因为在网络建设初期,我们组建网络时全部使用某一型号的接入交换机,在每栋楼中交换机往往采用多台堆叠的方式,共用一
5、个 IP 地址来接受管理 。渐渐地随着网络负载的增大与设备老化损坏,我们会将某些建筑楼内的交换机全部拆除,替换成性能更强或者能更加耐久工作的交换机;然而某些主流交换机(如H3C的 E152)以及高性能交换机(如锐捷的 S3760)都无法实现堆叠功能,倘若上述设备被成组( 2 台或者更多台)安装到位,那么管理员必须为每台设备分配独立的管理地址;如此一来,就破坏了原有设备管理地址的分配规律,本来 “便于记忆 ”的 IP 分配策略却成了网络发展的障碍 。因此,在设备管理地址的规划上,我还是建议进行跳跃式的 IP 地址分配,为每栋建筑确切地说是为每个接入交换机组预留足够的 IP 空间 。假设上述每栋建
6、筑需要安装 120 个信息接入点,则至少需要安装 3台接入交换机,那么我们不妨为每台交换机都预留出可分配的 IP 来,而不管这个地址是否使用,具体分配方案如表 3。表 3这样分配设备的管理地址,同样可以做到 IP 分配 “有规律 ”、“便于记忆 ”,同时还为每栋楼网络设备的升级提供了足够的 IP 使用空间 。在为局域网用户规划 IP 地址时,同样也应该注意:除非必要(如服务区主机或者有科研需要)否则不为主机分配公网 IP 地址 。这样做有两个好处:一是可以利用私有地址具有海量寻址空间这一特性,更好地规划局域网不同区域 、不同应用环境下的 IP 地址使用范围;二是可以很好地解决 IPv4 地址资
7、源匮乏的问题,同时使得局域网有良好的对外保密性 。由于我国的 IPv4 地址资源紧缺,即使是大型的局域网,能够申请到的公网 IPv4 地址往往也不会多于 20 个 。虽然国内的教育科研机构可以批量申请到若干个 C类教育网 IPv4 地址,但是也不足以分配给网络内每台计算机;因此,使用私有 IPv4 地址是当今局域网 IP 管理经常采用的方案 。当使用私有 IP 地址的用户需要与公网主机进行通信时,可以通过网络设备(如防火墙 、路由器等)将私有地址映射为公网地址( NAT),使得局域网内的主机可以与 Internet 通信 。然而上述的 NAT方案也存在许多不良的应用案例,譬如说每个公网 IP
8、只能为整个局域网用户提供 65535 个 TCP 通信线程映射;或者当带有源地址与目的地址验证机制的数据包在经过 NAT机制传输后,会产生数据错误的验证信息 。如果要解决 IPv4 地址资源匮乏问题,同时也避免产生私有地址的不良应用现象,网络管理者可以使用 IPv6 这一新兴的寻址方案 。随着支持 IPv6 应用的网络设备和软件资源不断增加,相信 IPv6 最终会取代 IPv4,成为新一代的互联网标准 。IPv6 的原理与应用,在此就不在陈述 。当使用私有地址为局域网内主机分配 IP 地址时,应该充分私有地址资源丰富这一特性,按照局域网的不同区域或者不同应用,合理分配不同汇聚等级的 IP 地址
9、段 。笔者所管理的局域网是一个教育机构,分为中区 、北区 、南区;中区网络主要覆盖办公教学楼以及宿舍公寓楼;而南北区网络则都是覆盖宿舍公寓楼 。网络 IP 划分如表 4。由表 4 可以看出,每个楼宇或区域具有一个独立的 Vlan 编号,利用私有地址中的前缀(网络号)来有层次地来规划局域网内 IP 段的使用,既可以达到很好的区域划分效果,也可以使网络核心设备的路由表变得十分精简,提高数据的通信效率 。当我们已经确定局域网内每个楼宇使用哪些 IP 地址段时,使用何种方式来分配 IP 地址便成为了我们所要考虑的事情了 。采用 DHCP 这一 IP 地址分配方式虽然可以给用户以及网络管理者带来不少便利
10、,但是也存在许多安全隐患:用户可能被虚假的 DHCP 服务器(假如某人将开启了 DHCP 功能的路由器连接到了本网段中) 所欺骗导致无法正常联网;或是某些用户因为每次使用的 IP 地址都不一样而无法连接到局域网内某些需要 IP 验证的服务器,譬如说某些系统的后台管理界面只允许特定 IP 的主机来登录 。因此 DHCP 在一些人员流动频繁公共场所,如宾馆 、会议室等可以很好地发挥其灵活性与便捷性;但如果局域网内的用户是长期使用网络,笔者建议网络管理员为每个联网主机或节点分配固定的 IP 地址 。为了避免出现固定 IP 地址资源分配混乱的现象,我们应该再进一步细化 IP 地址的分配,也就是明确哪些
11、人可以用哪些地址 。在楼宇房间内使用固定 IP 地址的用户可以分为两类:固定增量用户和随机增量用户 。固定增量用户的典型例子就是居住在公寓内的网络用户,笔者所在的单位往往一间公寓会住宿 6 人,因此房间的内的用户数量一般维大型局域网 IP 地址的规划与分配华北科技学院 李 斌摘 要 本文阐述了在局域网建设初期如何来为网络设备以及局域网用户来规划 IP 地址,使之可以达到最佳汇聚状态,并对私有地址在局域网中的应用做出了详细的举例介绍 。同时也简要介绍了在局域网中为网络用户分配 IP 地址的简要流程 。对于为网络设备接口地址的分配也提出了建设性的构思 。关键词 局域网 IP 地址 规划 分配网络区
12、域 接入交换机管理 IP 范围中区 192.168.1.1192.168.1.253北区 192.168.2.1192.168.2.253南区 192.168.3.1192.168.3.253建筑 设备管理 IP1 号楼 192.168.0.12 号楼 192.168.0.23 号楼 192.168.0.3 建筑 设备管理 IP 闲置 IP1 号楼 192.168.0.1 192.168.0.2, 192.168.0.32 号楼 192.168.0.4 192.168.0.5, 192.168.0.63 号楼 192.168.0.7 192.168.0.8, 192.168.0.9 计算机与网
13、络189 科 技 信 息持在 4- 6 个,这时可以为每个公寓房间预留 6 个 IP 地址和账号,以供日后分配,预留方案如表 5。表 4表 5如果楼宇内公寓房间较多,一个 C类地址段不够分配,可以通过给该楼宇 Vlan 添加子网关的方式,使用多个 C类地址段来分配地址,此时 IP 地址段规划方法与前文网络交换机管理地址规划方法类似,在此不多重复 。随机增量用户则是指处于办公教学环境中的网络用户,用户特点为:楼宇内用户所在部门分类众多,某一房间内网络用户数量难以估算或是流动性很大 。因此为每个房间分配固定数量的 IP 地址就不是很有效的做法 。我们可以在某个楼宇的 IP 地址分配前对该楼宇网络用
14、户进行调查,确定部门分布情况以及各部门人员编制最大值,依次来决定 IP地址的预留 。笔者所管理的某一教学楼有多个教学部门,在对各部门进行人员调查之后,该楼宇 IP 地址分配方案规划如表 6。表 6实际地址分配时可以根据 IP 地址申请主机的数量,连续地为申请单位分配 IP 地址以及账号,各单位也可以灵活地调整各办公房间内计算机的数量 。随着网络安全以及网络信息安全工作的逐渐推广,网络管理员有更大的责任和义务来保障已有网络节点正常运行的同时,也要采取更加谨慎的方法来接纳新的网络节点与用户 。因此 IP 地址的分配以及相关信息的备案工作就显得格外重要了,下面笔者将自己日常采用的 IP地址分配流程介
15、绍一下 。当网络用户希望连接局域网时,应首先递交 2 份纸质 IP 地址申请表 ,表格应当包含以下内容:1.申请者所在楼宇:用来确定所要分配的 IP 地址的网络号;2.申请者的部门:以确定所要分配的 IP 地址范围以及账号;3.申请者的所在房间 、姓名 、联系方式:备案此类信息是确保网络信息安全的必备工作;4.申请者主机的 MAC地址:用来在汇聚交换机上制作静态 ARP 表,同时也可以再整个局域网中快速对申请者的主机进行定位;5.申请者所在部门主管的确认签字及部门公章:强制执行此项内容不仅可以保证 IP 地址资源被有序 、合理申请使用,还可以辅助网络信息安全这一工作 。网络管理人员对 IP 地
16、址申请表 审核后在 IP 地址申请表 上向申请用户返回如下信息:1.IP 地址 、子网掩码 、网关以及 DNS地址;2.联网账户以及初始密码;3.互联网以及局域网相关法规政策 。申请者在获取 IP 地址以及账号信息后,应当在 IP 地址申请表 上签字确认 。要求申请者签字确认有两个目的:一是让申请者明确自己所分得的 IP 以及账号;二是落实网络 “实名制 ”,确保网络信息安全 。当申请者签字确认后, IP 地址申请表 由管理员和用户各自保存备案一份,管理员在汇聚设备上进行 IP- MAC绑定 、开通用户联网账号;网络 IP地址申请完成,用户在主机上设置好相关 IP 信息便可联网 。对于网络设备
17、的接口地址而言,公网出口的接口地址往往由网络运营商来给定,无法自行设置;因此局域网设备之间的地址则是管理员所要考虑的重点 。在日常的网络维护中,管理员虽然不会去频繁地分配 、变更网络设备之间的接口地址,但是当我们对网络的数据流进行检测跟踪的时候(如使用 tracert 命令),一个规律有序的接口地址使用方案可以给我们的工作带来很大的便利 。一般 2 个网络设备互联,接口地址设置如表 7。表 7从表中可以看出,所划分的接口地址网段仅能容纳 4 个 IP 地址,而能用的地址只有 2 个,两台设备分别使用一个奇数地址和一个偶数地址;当局域网中需要分配接口地址的核心设备数量较少时且拓扑连接方式较简单时
18、(如 35 台核心设备组成的星形或树形拓扑结构),我们可以设置某台设备上的接口地址全为奇数或者偶数,再配合接口地址网络号的的规划,可以很有规律地管理设备之间的链接 。但是当局域网中的核心设备多且拓扑连接方式较复杂时,譬如笔者所管理的网络就是先由 3 台核心交换机彼此互联构成了网络核心环路,再将局域网中各汇聚区域的 5 台汇聚交换机连接至核心环路,为确保数据线路安全,采用了网形的拓扑连接方式使每个汇聚区域有 2 条线路连接至核心环路,因此整个网络的核心设备数量达到了 8 台,所互联的设备接口达到了 13 对,这时我们就要充分利用私有地址空间的广阔性来灵活地指定接口地址网段 。首先我们可以为这 8
19、 台核心设备编号,分别设定为 18;然后我们可以将核心设备之间的接口地址设置成如下格式: 192.168.Nxy.1 和192.168.Nxy.2。xy分别代表两台互联核心的编号( xy); N代表线路类型: N=0 代表线路为备用连接, N=1 代表线路为主干连接 。也就是以核心设备的连接线路类型以及编号组合来构成接口 IP 的网络号 。这样每一对设备接口只能分配唯一的一对 IP 地址,我们在跟踪路由时看到的每个 IP 地址也可以迅速地对应到具体设备接口上 。如接口 IP 地址192.168.123.1 与 192.168.123.2 代表了核心设备 2 与核心设备 3 之间主干链路的接口地
20、址 。如果核心交换机接口不支持直接设定接口 IP(如华为以及 H3C核心交换机需要借助 Vlan 功能实现对接口地址的分配),我们可以依此规律,先为核心设备划分 Vlan 号码,然后设定其接口 IP 地址 。如果局域网中核心设备数量太多,我们也可以使用 10.0.0.0/8 这一更大的私有地址段来进行设备管理对于一个大型的局域网而言,网络 IP 地址的管理工作是非常繁重的,一个网络管理员往往掌管着数十个甚至上百个 C类网段,需要分配并备案信息的 IP 地址也有上千个之多 。一个优秀的 IP 地址规划与全局使用方案,可以使管理员在以后的网络管理中更快捷地管理局域网络,更好地服务于广大网络用户 。
21、区域 楼宇 / 区域 IP 网段 Vlan 区域 IP 汇聚地址中区网络教学 1 10.1.1.0 / 24 1101中区整体:10.1.0.0 / 16中区教学:10.1.0.0 / 18中区办公:10.1.64.0 / 18中区公寓:10.1.128.0 / 18教学 2 10.1.2.0 / 24 1102教学 3 10.1.3.0 / 24 1103 办公 1 10.1.64.0 / 24 1121办公 2 10.1.65.0 / 24 1122 实验机房 1 教育网地址 C1 1141实验机房 2 教育网地址 C2 1142实验机房 3 教育网地址 C3 1143 公寓 C1 10.
22、1.128.0 / 24 1161公寓 C2 10.1.129.0 / 24 1162公寓 C3 10.1.130.0 / 24 1163 北区网络公寓 N1 10.2.1.0 / 24 120110.2.0.0 / 16公寓 N2 10.2.2.0 / 24 1202公寓 N3 10.2.3.0 / 24 1203公寓 N4 10.2.4.0 / 24 1204 南区网络公寓 S1 10.3.1.0 / 24 130110.3.0.0 / 16公寓 S2 10.3.1.0 / 24 1302公寓 S3 10.3.1.0 / 24 1303公寓 S4 10.3.1.0 / 24 1304 公寓
23、房间号 预留 IP 预留账号S101 10.1.129.110.1.129.6 S101- 1 S101- 6S102 10.1.129.710.1.129.12 S102- 1 S102- 6S103 10.1.129.1310.1.129.18 S103- 1 S103- 6 部门(最大人员编制) 预留 IP 预留账号管理系( 60) 10.1.1.110.1.1.80 gl- 001 gl- 080文法系( 55) 10.1.1.8110.1.1.150 wf- 001 wf- 070外语系( 30) 10.1.1.15110.1.1.190 wy- 001 wy- 040预留 10.1.1.19110.1.1.253设备 接口 IP 子网掩码设备 A 192.168.100.1 255.255.255.252设备 B 192.168.100.2 255.255.255.252计算机与网络190
