林洋
(吉林广播电视大学,吉林长春130022)
学校园区网IPV4地址管理简述
林洋
(吉林广播电视大学,吉林长春130022)
本文从园区网实际需求出发,探讨IP地址分配的一般规则。,应按照实际部署情况对IP段进行合理分区,并对每个区域按照级别指定不同规格的管理策略;同时建议制作IP管理表以提升网络管控水平。
IPV4;地址管理;园区网
IPV6尚未在互联网中得到普及,而IPv4受制于地址数量限制,我国多数园区网在事实上使用IPV4的私有IP地址段做子网规划,因而IP规划水平则直接关系到整个园区网系统能否在建成后保持稳定并高效运行。在网络拓扑设计中,应重视IP地址规划,根据实际情况提前制定相应分配策略和管理策略。
IP地址规范遵循国际标准,但事实上最初由美国军方设计并应用于ARPANET,后被世界其他国家所接受。IP地址是TCP/IP协议中网络编址的主要方式,由4组8位二进制组合表示,为便于理解,人们一般用点分十进制直接表述。例如典型国际DNS服务地址8.8.8.8,即属于标准IPV4地址,在互联网上,IP地址应该是唯一的。
为解决IP地址管理问题,国际公认将IP地址划分为A/B/C/D/E5个类别,其中A/B/C三个地址范围各包含一个私有IP地址段,按照网络规模,各地园区网在内部使用私有地址,并仅在网络出口处配置全网唯一的国际IP地址。
表1:私有地址范围与IP地址类型
很多学校愿意在园区网中使用B类地址,以保持IP其容量大、容易扩充的优势,但从精细化管理角度考虑,应认真审视实际需求,当实际需求未超过200端点,且未来IP需求总数可以预期时,分配C类地址能保障网络以更高的效率运行,对处理网段汇总信息的路由而言,较多的网络地址和较少的主机地址可减少运算量。
园区网是一种始终保持运行的业务联合体,其内部承载多种业务并相互关联,一般在网络设计规划阶段,按照业务特性和业务逻辑关系,应将整个网络分割为不同业务区域,各区域逻辑独立,建议同时在每个区域使用一个独立IP地址段,在各区域边界通过路由器实现网络三层协议互通。
1、交换、安全和网络管理区域
园区网中的数据中心是投资密度最高且提供主要服务的设施机构,大量交换设备、安全设备以及网络管理系统都部署在数据中心内部,为保障整个网络的数据流动,需要单独规划IP地址范围,用于改区域的专用管理。
任何可管理网络交换是设备都具备VLAN管理功能,可管理VLAN范围一般为1-4096(两个字节),通常建议将默认VLAN1作为交换设备管理范围,好处在于对任何网络管理设备无需VLAN二次配置,网络交换信息(VLAN信息,广播以、交换以及路由信息)直接互通,并避免不同品牌设备的兼容性问题。由于大多数园区网的交换设备总数十分有限,因此建议使用一个C类地址范围,如:192.168.0.1/24,并在核心网络设备配置各个网段的网关地址,常见网关地址为192.168.0.1或192.168.0.254.
应注意到,安全设备同时也作为网络交换设备存在,因此应在网络IP地址范围内为各种安全设备预留管理地址范围。另外,为提供网络管理的便利条件,管理员应在地址段较低地址范围预留固定空白IP地址,用于系统管理和应急处理,如192.168.0.2---100。
2、服务器与业务设备区域
服务器与业务设备是承载园区服务的基础设施,因此必须为服务器分配独立IP段,且不与交换设备发生任何IP关联。交换机一般支持两种端口模式以维护服务器的IP请求,即ACCESSHybrid,端口所属VLAN由管理员自定义,与服务器需求吻合。
3、系统与业务区域
通常服务器与所承载业务共用一个IP地址,作为WEB发布服务器时,可以增加同网段的不同地址,通过单个网卡传送。但很多数据中心部署了私有云平台,情况便发生变化。集成化的云平台增加了IP系统分配的复杂性,其IP组成一般包括:网络管理、交换区域;底层刀片、服务器群集区域;底层操作系统IP区域;业务系统区域。其中业务系统即相当于传统服务器。因此,为方便管理并保护网络运行,建议为不同区域配置独立C类地址段。
4、用户区域
规模较大的园区网络,例如附带的小区居民计费网络,由于用户总数较大,通常使用B类或A类私有地址作为分配方案,通常采用较复杂的网络配置体系包括计费网关、用户认证、地址分配方案等,这种情况需要较为完善的安防体系支撑网络和复杂运维,这里不做详细阐述。就学校行政办公区域而言,过去几年发生过非常多的ARP网络欺骗攻击,网段内攻击源将自己伪装为网关地址,欺骗其他终端将数据流向到欺骗主机,从而导致整个网段崩溃,对于没有完善安防体系的网络而言:这是一类严重威胁。根据用户行政以及地理区域,依据安全级别,建议为用户划分多个C类地址段,并对不同地址采取对应级别的安全策略。
表2:用户IP安全策略
制度优先:制定完善的IP登记制度,合理分配IP地址,有助于提高网络运行效率,减少故障的发生。建议管理员创建IP关系表和IP登记表,作为基础网络管理工具。
表3:IP信息管理表
由于设备信息相对固定,应制作与IP信息表对应的设备信息表:(附后)
除表格外,还可以考虑制作IP拓扑信息图,可以十分清晰直观显示整个网络的IP流向:(附后)
表4:设备信息单
图1:IP关系拓扑示意图
网络管理员必须综合整理园区网络IP框架,建立完善的IP数据表,结合网络拓扑,才能在发生网络故障时快速定位。
无论将网络区分为几个网段,负责各个网段联通的关键设备是边界路由,应当认真审核IP流动性需求,在路由端作出合理策略规划。对多个交换机和路由组成的网络,应考虑在交换区域引入STP协议,在路由区域配置RIP或OSPF区域,强化网络容错能力。
典型单区域OSPF配置如下:
R1(config)#routerospf1//启动OSPF进程
R1(config-router)#router-id1.1.1.1//配置路由器ID
R1(config-router)#network172.16.1.00.0.0.255area0 //通告直连网络
R1(config-router)#network172.16.1.0255.255.255.0area0 //通告直连网络
结语:学校园区网是组织信息化教学以及远程学习的重要支撑,合理的IP分配和有效管理是维持网络稳定运行的前提,网络管理者应当对本地网络保持深刻理解和全面掌控。作为工作经验的总结,笔者希望通过本文抛砖引玉,提供IP管理的一些经验和原则,谨与同行共同交流。
[1]陈涛局域网IP管理系统设计,[J].交通与计算机1999(12),24
TP393
A
1008-7508(2015)11-0068-02
2015-06-19
林洋(1980-),山东牟平人,吉林广播电视大学远程教育技术中心讲师,教育学硕士,主要研究方向为:远程教育网络体系建设及移动学习。