摘要:IP地址的合理规划是网络设计中的重要一环,大型网络必须对IP地址进行统一规划。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展和管理,也必将直接影响到网络应用的进一步发展。
IP地址的合理规划是网络设计中的重要一环,大型网络必须对IP地址进行统一规划。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展和管理,也必将直接影响到网络应用的进一步发展。
# IP地址设计需求关注表
需求类型需求调研关注点需求分析关注点信息点用户终端的数量。服务器数量。
每种业务需要的信息点数量。
是否需要独立终端运行一种单一业务。信息点数量及类型涉及IP地址网段划分及每个网段的范围。
地址空间
用户办公及生产所用地址空间是否严格隔离?
哪部分用户需要访问Internet?
合作伙伴或分支的IP地址是否由园区管理员统一规划?合作伙伴和分支要访问哪些业务?
不同地址空间的业务具有不同的地址规划,可能使用重叠的IP地址,如果需要交互,需要考虑NAT、代理等策略部署。
考虑到网络扩展性,在规划网络 IP地址时主要以易管理为主要目标。
大中型网络中的DMZ区或Internet互联区有少量设备使用公网IP,内部使用的则是私网IP。
原则上服务器,特殊终端设备(打卡机、打印服务器、IP视频监控设备等)和生产设备建议采用静态IP。办公用设备建议使用DHCP动态获取,如办公用PC、IP电话等。
唯一性:大中型网络中的每个节点IP地址都唯一存在,即使使用MPLS VPN隔离,也建议不同VRF下不要使用相同的IP地址。连续性:同一业务的节点地址要连续,便于路由规划和汇总。扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时无需新增地址段及路由条目。易维护:设备地址段、各业务地址段清晰区分,易于后续基于地址段实施统计监控、安全防护等策略。好的IP地址规划使每个地址具有实际含义,看到一个地址就可以大致判断出该地址所属的设备。IP地址的规划可以与VLAN的规划对应起来。例如,IP地址的第三个字节与VLAN编号的后三位保持一致,这样可以便于管理员记忆和管理。管理地址:二层设备使用 VLANIF 地址作为管理 IP,建议网关下的所有二层交换机使用同一网段。三层设备建议使用 Loopback 地址作为管理IP,Loopback 地址掩码统一为32位。堆叠或集群系统建议预留两个管理IP以方便其灵活选择。互联地址:互联地址是指两台网络设备相互连接的接口所需要的地址。互联地址务必使用30位掩码的地址。核心设备使用较小的一个地址,互联地址通常要聚合后发布,在规划时要充分考虑使用连续的可聚合地址。业务地址:业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址,业务地址规划时所有的网关地址统一使用相同的末位数字,如:.254都是表示网关。每一类子业务的地址范围要清晰区分,每一类子业务的服务器和客户端的地址范围也要清晰区分。每一类业务终端地址连续,可聚合。考虑广播域范围及规划的简易程度,建议为每个业务地址段预留掩码为24位的地址段,如果业务终端超出200,再为其顺延一个掩码为24位的地址段。大中型网络内部的IP地址:建议使用私网IP地址,在边缘网络通过NAT转换成公网地址后接入公网。汇聚交换机下接入的网段可能有很多,在规划的时候需要考虑路由是可以聚合的,这样可以减少核心网络的路由数目。业务随行的IP地址:业务随行方案中安全组的规划非常重要。IP地址规划对于静态资源类安全组的配置也存在重要的影响。相同用途接口、主机或服务器的IP地址规划至同一网段中,可以大幅简化安全组的配置。例如所有网络转发设备接口的互联IP地址虽然通过子网掩码分隔成多了网段(10.1.1.0/30、10.1.1.4/30等),但是如果在IP地址规划时为设备接口IP地址预留了一个统一的网段(10.1.0.0/16),在配置代表网络接口的安全组时就非常方便。园区内部所有IP地址属于同一地址空间,方便互访。
内部用户访问Internet时,在Internet出口区进行NAT转换,避免园区内部存在公网、私网地址混跑的现象。NAT策略要足够精确,仅针对有权限进行Internet访问的私网地址进行NAT转换。如果公网地址紧张,建议设备互联接口地址使用私网IP,仅在NAT设备上部署公网地址池。
合作伙伴和分支的本地地址可能不会由园区管理员统一规划,园区要为合作伙伴、分支基于园区地址空间预留IP地址段,并在接入边界处通过NAT或VPDN等方式将IP地址段分配给合作伙伴和分支用户。
VLAN 划分方式包括5种,匹配顺序由高到低依次为:基于匹配策略划分VLAN->基于MAC地址或基于子网划分VLAN(缺省MAC地址方式优于子网方式,可修改缺省配置使子网方式优于MAC地址方式)->基于协议划分VLAN->基于接口划分VLAN。其中,最常用的划分方式是基于接口。
# 各种划分方式适用的场景如下表:
划分方式适用场景优点缺点基于接口适用于任何大小但位置比较固定的网络。定义成员简单。成员移动需重新配置VLAN。基于MAC地址适用于位置经常移动但网卡不经常更换的小型网络,如移动PC。当终端用户的物理位置发生改变,不需要重新配置VLAN。提高了终端用户的安全性和接入的灵活性。只适用于网卡不经常更换、网络环境较简单的场景中。 需要预先定义网络中所有成员。基于子网适用于对安全需求不高、对移动性和简易管理需求较高的场景中。当用户的物理位置发生改变,不需要重新配置VLAN。 可以减少网络通信量,可使广播域跨越多个交换机。网络中的用户分布需要有规律,且多个用户在同一个网段。基于协议适用于需要同时运行多协议的网络。将网络中提供的服务类型与VLAN相绑定,方便管理和维护。需要对网络中所有的协议类型和VLAN ID的映射关系表进行初始配置。 需要分析各种协议的格式并进行相应的转换,消耗交换机较多的资源,速度上稍具劣势。基于匹配策略适用于需求比较复杂的环境。安全性高,VLAN划分后,用户不能改变IP地址或MAC地址。 网络管理人员可根据自己的管理模式或需求选择划分方式。针对每一条策略都需要手工配置。如无特殊需求,推荐基于接口划分VLAN。
二层交换机无法直接创建三层接口,需要创建VLANIF来进行管理,这时需要定义管理VLAN。通常,二层交换机使用VLANIF接口地址作为管理地址,三层交换机使用Loopback接口地址作为管理地址。如果网络规模不大,建议所有的二层交换机使用同一管理VLAN,管理IP处于同一网段即可;如果网络规模很大,可为同一网关下的二层交换机分配同一管理VLAN,管理IP处于同一网段。
互联VLAN一般用在两台三层交换机之间或三层交换机与路由器之间,创建VLANIF接口进行三层互联。如果交换机支持切换接口的二三层模式,建议切换为三层模式来配置互联地址。 如果交换机不支持切换接口的二三层模式,必须使用互联VLAN时,建议互联VLAN和业务VLAN严格区分;每条互联链路分配一个VLAN,且互联物理接口配置为Trunk模式。
VLAN可以根据多种原则组合划分。
# 按照逻辑区域划分VLAN范围,如:
核心网络区:100~199服务器区:200~999,预留1000~1999接入网络:2000~3499业务网络:3500~3999接入网络A的地理区域使用2000~2199接入网络B的地理区域使用2200~2399来源:散文随风想
