IP地址改造重新定义网络

通常情况下，一个单位的网络架构和IP地址范围在网络建设初期就已经规划好了，在运行过程中，只会对网络架构和IP地址使用做部分的修改或增加，不会有非常大的改动。对于小规模的网络来说，本身网络架构和IP地址范围都比较简单，改动起来也比较简单。对于中等规模及以上的网络来说，不论是网络架构改造和IP地址改造，改造难度都不小，主要是涉及的网络设备、服务器以及应用系统较多，牵一发动全身，在对网络架构和IP地址改造前，需要详细整理涉及到的设备信息，包括防火墙配置、路由器配置、交换机配置、服务器配置、用户IP地址等内容，制定详细的改造实施方案，确认无误后，才能对网络进行改造工作。

网络拓扑图

IP地址改造前网络现状：

笔者所在单位网络规模较大，一次性改造到位存在较大难度，所以采用分步实施的方案，先对部分网络做IP地址改造。

从网络拓扑图上可以看到，各业务部门的终端连接到接入交换机，接入交换机再连接到汇聚交换机，从汇聚交换机再通过一个行为网关连接到防火墙，从防火墙做隔离后接入互联网，防火墙上划分有DMZ区域，该区域部署了邮件、网站、FTP等 对 外业务系统，同时在汇聚交换机上部署了VPN设备，通过该设备接入集团公司的内部网络。改造前IP地址分配如下：各业务部门使用的IP地址范围为 172.16.0.0-172.16.7.0/24，共 8个 网段，划分为8个VLAN，每个业务部门独立使用一个网段，各业务部门交换机上行至汇聚交换机端口配置为ACCESS模式，并配置默认路由，业务部门交换机管理地址配置为172.16.X.95-99(X为0-7的独立网段)。汇聚交换机上配置VLAN和VLAN接口，汇聚交换机到防火墙trust区域端口配置的IP地址段是192.168.100.0/24，汇聚交换机VLAN接口IP配置 为 192.168.100.254，防火墙TRUST区域端口配置为 192.168.100.1，行 为 网关上进出两个端口配置为网桥模式，IP地址配置为192.168.100.11，在汇聚交换机和防火墙上配置有默认路由，行为网关上也配置有默认路由。防火墙上配置了各网段和IP地址范围到互联网区域，DMZ等区域的访问控制策略和内外网NAT地址转换等内容。以上就是IP地址改造前的网络状况。

IP地址改造的目标：

根据集团公司给我们单位规划的IP地址范围是 10.74.0.0/19，IP地址网段从10.74.0.0-10.74.31.0/24，在 本 次 IP地址改造中先规划使用10.74.0.0-10.74.8.0网段，后续IP地址段在以后实施的改造中分配使用。改造后各业务部门使用的网段由原来的172.16.X.0/24变 更 为10.74.X.0/24，交换机管理地址统一为10.74.1.X/24网段，汇聚交换机到防火墙区域的IP地址段采用10.74.30.0/28网段，其中汇聚交换机VLAN接口 IP配 置 为 10.74.30.2，行为网关网桥IP配置为10.74.30.3，防 火 墙TRUST区域接口IP配置为10.74.30.1。未来租用的运营商的数据专线链路将直接接入到汇聚交换机，取代目前的VPN通道连接方式，从而将单位网络融入到整个集团公司的大的局域网，实现IT资源共享的目标。

IP地址改造实施方案和步骤：

1、首先需要备份各交换机、路由器、行为网关、防火墙等设备的配置文件，防止改造出问题时还可以恢复到原来的网络配置。

2、准备IP地址改造前后的IP地址对应表，根据该IP地址对应表，在行为网关和防火墙上添加相应的IP网段、IP地址，并将相应的网段添加到不同的访问策略。比如在防火墙上trust区域需要增加10.74.0.0/19网段等。

3、在汇聚交换机上添加新的VLAN和VLAN接口，比如增加VLAN 300，VLAN 300接口IP 10.74.0.1/24。在各接入交换机上配置添加新的VLAN和管理VLAN以及管理VLAN的IP地址，并修改默认路由到新的接口IP（为了保证在实施过程中对交换机设备的持续可管理，在交换机上保留旧的VLAN配置，使新旧网络同时在线，等待新的网络运行无问题后再删除旧的网络配置）。将各接入交换机的上行端口和汇聚交换机的下行端口由原来的access模式修改为trunk模式，并允许所有VLAN 通过。交换机端口配置示例如下：

在此需要注意，如果是通过远程管理交换机修改配置，在修改完上行端口的工作模式后，交换机就会网络中断，无法管理。为了避免这种情况发生，有两种方法可供选择。一种方法是事先在该交换机上配置好VLAN 1的接口IP，端口配置为trunk模式但是未配置允许所有VLAN 通过的情况下，VLAN 1可以通过，可以通过VLAN 1的接口IP地址管理该交换机。另一种方法是采用secureCRT软件，通过该软件管理交换机，将port link-type trunk和port trunk permit vlanall两条命令再加上一个回车命令复制后，在交换机的上行端口下直接粘贴，两条命令会自动执行。通过这两种方法都可以在配置修改过程中保持网络的畅通。在汇聚到接入层的网络修改完成后，接下来修改汇聚、行为网关和防火墙的网络接口和路由配置。

4、在修改汇聚上行网络、行为网关和防火墙网络接口的时候，同样采取旧配置不变的方法，保持对设备的持续可管理。在汇聚交换机上行VLAN以及防火墙trust区域接口配置子接口IP地址，比如防火墙trust区域子接口 为 192.168.1.1/24，汇聚交换机上行VLAN子接 口 为192.168.1.3/24。然后修改防火墙上的路由，10.74.0.0/19 下 一跳 10.74.30.2，修 改 行为网关的默认路由指向10.74.30.2，修改汇聚交换机上行VLAN主接口为10.74.30.2/28，默认路由修改为0.0.0.0 0.0.0.0下一跳10.74.30.1，修改防火墙trust区域的主接口为 10.74.30.1/28，最后修改行为网关的网桥端口IP地址为 10.74.30.3/28，这样从汇聚交换机到行为网关再到防火墙这一部分的网络配置就修改好了，整个网段就顺利的切换过来了。网络切换关键的地方在于采用配置子接口IP地址的方式，配置步骤思路清晰合理，在修改的过程中保证设备不掉线。

5、修改VPN设备配置，修改VPN设备接口IP和端口VLAN，修改VPN设备配置中的IP地址转换表，并测试VPN的连接。

6、修改各终端的新的IP地址配置，包括IP地址和网关，并测试网络连接。在修改终端IP地址的时候，大部分终端修改了IP地址之后网络连接很快，但是有部分终端在修改了IP地址之后，网卡迟迟不能正常连接网络，网络连接显示黄色感叹号，检查网卡，网线以及交换机配置均未发现问题，最后发现是网卡的ARP缓存问题，清除了终端的ARP缓存后，网卡连接网络恢复正常。

7、网络测试全部都正常以后，删除各网络设备上旧的配置文件信息。

总结：

此次IP地址改造工作总的来说还比较顺利，在改造过程中没有出现设备掉线和网络中断的问题。网络改造的关键在于在改造前一定要了解各设备的网络配置，在此基础上做好详细的改造方案，按照步骤有计划的进行实施，尽量减少网络中断的时间和影响的范围。此次IP地址改造只是整个网络改造的一小部分前期工作，通过该工作我们积累了一些改造经验，为后续更复杂的网络改造打下基础。