校园IP地址规划.doc

中文摘要校园IP地址规划摘 要IP 地址规划是校园网建设的一个重要部分 , 良好的 IP 地址规划能够有效地控制网络冲突、 病毒的扩散速度 , 减少不必要的管理和维护工作 , 提高工作效率。 IP 地址规划往往涉及部门需求、 用户数量、 VLAN 划分、 地址分配、 VLAN 路由、 地址转换等多个方面 , 提出了把校园网 IP 地址规划方案分为公网 IP 地址划分和私有 IP 地址划分两部进行规划设计的方案 , 此方案在本学院的实际环境中运行半年 , 效果良好。关键词 :IP 地址 ; VLAN; DHCP; NAT；数字化校园 ；校园网IP规划 I目 录1 引言12 IP地址简介12.1 IP地址的结构12.2 IP地址分类12.3子网与子网掩码22.4 NAT地址转换32.4.1 NAT简介32.4.2 NAT实现方式32.5 VLAN虚拟局域网42.5.1组建VLAN的条件42.5.2 VLAN的标准62.5.3 划分VLAN的基本策略72.6 DHCP动态主机配置协议73 高职院校校园网IP地址的规划83.1 校园网 IP 地址种类分析83.2校园网 IP 地址规划原则83.3 IP地址分配方案9结论11参考文献12致 谢13 1 引言社会不断发展 , 我们已经步入数字信息时代。计算机技术日新月异 , 计算机网络飞速发展 , 使得局域网的应用也日益广泛。校园网 , 是中小型局域网的典型代表 , 具有灵活、 快速、方便管理等特点 , 发展快速。它自身还有许多的特点 , 分布地域广、 结构复杂、 应用多、有不同的出口、用户群体结构复杂。因此必需要有良好的规划 , 才能建设水平高、 运行良好、资源丰富、应用广泛的数字校园网。 校园网的规划是一个庞大的工程 , 包括很多方面的规划 , 如网络结构规划、综合布线规划、软件硬件规划、IP 地址规划和机房规划等。本论文只讨论校园网的 IP 地址规划。2 IP地址简介Internet 上的每台主机(Host)都有一个唯一的IP地址。IP协议就是使用这个地址在主机之间传递信息，这是Internet 能够运行的基础。IP地址的长度为32位，分为4段，每段8位，用十进制数字表示，每段数字范围为0255，段与段之间用句点隔开。例如。ip地址就像是我们的家庭住址一样，如果你要写信给一个人，你就要知道他（她）的地址，这样邮递员才能把信送到，计算机发送信息是就好比是邮递员，它必须知道唯一的“家庭地址”才能不至于把信送错人家。只不过我们的地址使用文字来表示的，计算机的地址用十进制数字表示。众所周知,在电话通讯中,电话用户是靠电话号码来识别的。同样,在网络中为了区别不同的计算机,也需要给计算机指定一个号码,这个号码就是“IP地址”。2.1 IP地址的结构IP地址是IP协议用来标识网络中主机、路由器和网关等设备的不同接口。IP地址就相当于网络设备接口的身份证。从网络的层次结构考虑,一个IP地址必须指明两点:属于哪个网络,是这个网络中的哪台主机,因此IP地址的结构为“网络号主机号”,其网络地址和主机地址的位数因网络的规模大小而不同。2.2 IP地址分类IP地址分为A、B、C、D、E 五类。常用的是B和C两类。(1)A类IP地址 一个A类IP地址由1字节的网络地址和3字节主机地址组成，网络地址的最高位必须是“0”， 地址范围从 到。可用的A类网络有126个，每个网络能容纳1亿多个主机。 (2)B类IP地址 一个B类IP地址由2个字节的网络地址和2个字节的主机地址组成，网络地址的最高位必须是“10”，地址范围从到55。可用的B类网络有16382个，每个网络能容纳6万多个主机 。 (3)C类IP地址 一个C类IP地址由3字节的网络地址和1字节的主机地址组成，网络地址的最高位必须是“110”。范围从到55。C类网络可达209万余个，每个网络能容纳254个主机。Ip地址类型网络号码范围可能的主机地址个数A类-16777214个B类65534个C类-254个(4)D类地址用于多点广播（Multicast）。D类IP地址第一个字节以“lll0”开始，它是一个专门保留的地址。它并不指向特定的网络，目前这一类地址被用在多点广播（Multicast）中。多点广播地址用来一次寻址一组计算机，它标识共享同一协议的一组计算机。 (5)E类IP地址 以“llll0”开始，为将来使用保留。 全零（“0000”）地址对应于当前主机。全“1”的IP地址（“255255255255”）是当前子网的广播地址。2.3子网与子网掩码为了提高IP地址的使用效率,将二级结构中的主机号部分进一步划分为子网号和主机号,IP地址的结构便变成了“网络号子网号主机号”的三级结构。这样就使得IP地址有了一定的内部层次结构,这种层次结构便于IP地址的分配和管理。 2.4 NAT地址转换2.4.1NAT简介NAT(Network Address Translation)即地址转换，就是把在内部网络中使用的IP地址转换成外部网络中使用的IP地址,把不可路由的IP地址转化成可路由的IP地址,对外部网络隐蔽内部网络的结构。通过NAT,可以节省NIC注册的IP地址。 内部地址是因特网地址分配组织规定的以下三类网络地址(又叫保留地址或私有地址):-55 -55-55这3个网络的地址不会在英特网上被分配,任何一个局域网都可以使用。使用私有网络地址的主机与互联网上的主机通信时,要通过地址转换技术,将私有地址转换成公有地址。2.4.2.NAT实现方式 NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat 和 端口多路复用OverLoad。 静态转换,是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 动态转换，是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。 端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式2.5 VLAN虚拟局域网VLAN (V irtualLocalA rea N etwork) 即虚拟局域网 , 是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。 VLAN 技术允许网络管理者将一个物理的 LAN 逻辑地划分成不同的广播域 ( 或称虚拟 LAN, 即 VLAN ), 每一个 VLAN 都包含一组有相同需求的计算机主机 , 与物理上形成的 LAN 有着相同的属性。但由于它是逻辑地址划分而不是物理地址划分 , 所以同一个 VLAN 内的各个主机无须被放置在同一个物理空间里 , 即这些主机不一定属于同一个物理 LAN 网段2。一个 VLAN 内部的广播和单播流都不会转发到其他 VLAN 中 , 即使是两台计算机有着同样的网段 ,它们却没有相同的 VLAN 号 , 它们各自的广播流也不会相互转发 , 从而有助于控制流量、 减少设备投资、 简化网络管理、 提高网络的安全性。2.5.1组建VLAN的条件VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备要实现路由功能，既可采用路由器，也可采用三层交换机来完成。同时还严格限制了用户数量. 1.根据端口来划分VLAN 许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。 以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。 2.根据MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。 3.根据网络层划分VLAN 这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。 这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。 这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。 4.根据IP组播划分VLAN IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。5.基于规则的VLAN基于规则的VLAN也称为基于策略的VLAN。这是最灵活的VLAN划分方法，具有自动配置的能力，能够把相关的用户连成一体，在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则（或属性），那么当一个站点加入网络中时，将会被“感知”，并被自己地包含进正确的VLAN中。同时，对站点的移动和改变也可自动识别和跟踪。采用这种方法，整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的VLAN，这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时，交换机中软件自动检查进入交换机端口的广播信息的IP源地址，然后软件自动将这个端口分配给一个由IP子网映射成的VLAN。6. 按用户定义、非用户授权划分VLAN 基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。 以上划分VLAN的方式中，基于端口的VLAN端口方式建立在物理层上；MAC方式建立在数据链路层上；网络层和IP广播方式建立在第三层上。 2.5.2 VLAN的标准对VLAN的标准，我们只是介绍两种比较通用的标准，当然也有一些公司具有自己的标准，比如Cisco公司的ISL标准，虽然不是一种大众化的标准，但是由于Cisco Catalyst交换机的大量使用，ISL也成为一种不是标准的标准了。 802.10VLAN标准 在1995年，Misco公司提倡使用IEEE802.10协议。在此之前，IEEE802.10曾经在全球范围内作为VLAN安全性的同一规范。Cisco公司试图采用优化后的802.10帧格式在网络上传输FramTagging模式中所必须的VLAN标签。然而，大多数802委员会的成员都反对推广802.10。因为，该协议是基于FrameTagging方式的。 802.1Q 在1996年3月，IEEE802.1Internetworking委员会结束了对VLAN初期标准的修订工作。新出台的标准进一步完善了VLAN的体系结构，统一了Fram-eTagging方式中不同厂商的标签格式，并制定了VLAN标准在未来一段时间内的发展方向，形成的802.1Q的标准在业界获得了广泛的推广。它成为VLAN史上的一块里程碑。802.1Q的出现打破了虚拟网依赖于单一厂商的僵局，从一个侧面推动了VLAN的迅速发展。另外，来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。 Cisco ISL 标签ISL（Inter-Switch Link)是Cisco公司的专有封装方式，因此只能在Cisco的设备上支持。ISL是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和配置。2.5.3 划分VLAN的基本策略从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法：1、基于端口的VLAN划分这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。2、基于MAC地址的VLAN划分MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示，前6位为网卡的厂商标识（OUI），后6位为网卡标识（NIC）。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。3、基于路由的VLAN划分路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。就目前来说，对于VLAN的划分主要采取上述第1、3种方式，第2种方式为辅助性的方案。2.6 DHCP动态主机配置协议IP 地址分配有两种方法 : 一种是静态分配 IP 地址 , 即手工设置主机 IP 地址 , 这种办法在主机数量很少的时候是可行的 , 但是当网络主机数量很多时 , 手工设置需要保证每一台都有一个正确的 IP 地址 , 是一项困难的工作。 另一种办法是动态分配 IP 地址 , 即利用 DHCP 服务器分配和管理 IP 地址DHCP(Dynam ic Host Configuration Protocol) 是动态主机配置协议 , 一种简化主机 IP 地址配置管理的 TCP/IP 标准。 DHCP 基于 C/S 模式 , 允许 DHCP 服务向客户 端动态的分配 IP 地址和相关配置信息3 。 在 DHCP 服务器上可以为 IP 地址指定子网掩码、 DNS 、 网关等信息。 在客户机启动时取得这些信息 , 并租借使用 , 当租借期满后 DHCP 服务器就会回收这个 IP 地址。 这种动态管理方法在网络出现 IP 地址大面积的变动时 , 只需要在 DHCP 服务器端进行简单的修改。3 高职院校校园网IP地址的规划3.1 校园网 IP 地址种类分析IP地址的规划通常是校园网络设计过程中的一个很重要的环节。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展及网络的管理,也必将直接影响到网络应用的进一步发展。在我校校园网的建设和应用过程中 , 我们切身 体会到 IP 地址 规划和实现的重要性。 解决好这一技术问 题 , 将为校园网运行、管理、应用提供有力的保障。 IP 地址是为接入互联网 的终端设备确立其身 份、进行路由 选择而引 入的。目 前校园网内 一般采用 IPv4 中的 C 类专用 IP 地址( 55), 网 络中 个别 地方使用 到 A 类的专用 IP 地址( 55) 。我们从终端设备的身份角度分析 , 校园网内 IP 地址主要有以下种类 : 1.出口公网 IP(IPv4 公用地址 ) 。 2.交换路由设备 IP,便于网络管理员对设备的管理。 3.服务器IP,为内外网提供信息资源。 4.网管工作站IP 。 5.教工、学生 IP, 其中教工 IP 分为领导、一般职工、机要职工部门等类别 , 学生IP主要分为教学场地和宿舍场地类别。 3.2校园网 IP 地址规划原则各种身份的终端设备容纳到校园网中 , 对它们的IP规划应当遵循以下的几个原则 : 交换路由设备 IP 虽然也采用专用IP 地址 , 但应避免同其它IP同段同类、避免公开,以便于这些设备的安全管理 , 防止非管理人员对这些设备进行设置。 1. 服务器IP采用一专用地址网段 , 一般接入核心交换机,内网的其它地址均能够访问 服务器IP,但是服务器IP不能访问 其它IP,以提高服务器的效率。 2. 网管工作站IP采用一专用地址网段 , 除能访问交换路由设备IP 、服务器IP外 , 不能访问其它网内专用IP,也不能被其它网内专用IP 访问 。 3. 学校领导IP采用一专用地址网段,不能被其它网内专用IP访问,也不能访问除服务器IP外的其它网内专用IP 。 4. 学校各机要职工部门各采用一专用地址网段,不能被其它网内专用IP 访问 , 也不能访问除服务器IP外的其它网内专用IP 5. 学校一般职工采用一专用地址网 段 , 该网段内可以相互访问 , 可以访问服务器IP, 但与学生IP 、领导IP 、机要部门 IP 隔离。 6. 学生IP 采用一至两个专用地址网段 , 主要分为教学场地和宿舍场地,各网段内 相互之间可以访问 , 但是不能访问除服务器 IP 外的其它网内专用 IP, 特殊的学生公共教室的 IP 不受此原则限制。 7. 为满足运行过程中 IP 地址增长的需求 , 并实现与其他网络互联和内部子网互联的有效控制和管理 , 建议校园网除了采用专用地址外 , 还应适当地保留各网段的地址数量 , 以便给将来的网络发展留下充分的余地。 8. 为提高路由处理效率 , 实现理想的路由汇总 , 缩减路由访问控制列表 (ACL) 的项目数 , 应尽量为同一网络分配连续的地址。 9. 对通信端口规划网段 , 采用 DHCP- Relay 协议获得用户的 IP 地址 , 以免在设备的换位、 增减等情况下给网管人员带来较大的工作量。3.3 IP地址分配方案校园网IP地址包括从Cernet中心申请公用地址、内部地址及由从ChinaNet申请的少量的公网IP地址。一般校园网拥有一定数量的教育网 IP 地址和数量非常少的电信网 IP 地址 ,其中由ChinaNet申请的少量的公网IP地址主要作为接入电信公网和部分关键的服务器出口备份, 根据这种情况 , 通常把 IP 地址的规划方案分为公网 IP 地址划分和私有IP 地址. (1)公有IP地址的分配公有地址（Public address）也叫实地址( 又叫合法地址),由Inter NIC（Internet Network Information Center 因特网信息中心）负责。这些IP地址被分配、注册并向Inter NIC提出申请的组织机构。通过它直接访问因特网。即是从Cernet申请的多个C类IP地址,作为和国际互联网互连的地址,域名就解析在这片地址上。在对校园网实IP地址进行分配时,要本着节约的原则,合理分配,充分利用。首先确定实IP的使用者。如网络中心的服务器及工作人员用机,校内的科研人员、重点学科和重点实验室等。IP地址的分配可按单位及区域进行分配。对需要的IP地址多且发展潜力大的单位可为其分配一个独立的C类地址,对那些只需少量地址可按地理位置等,让几个单位共用一个C类地址,为了便于管理,可将一个C类地址子网化,但子网的数量不宜过多,因为子网化是以牺牲部分IP地址为代价的。 (2)私有IP地址的分配私有地址 (Private address, 也可称为专网地址 ) 属于非注册地址 , 专门为组织机构内部使用 , 它是局域网范畴内的 , 无法访问因特网。 校园网的学生用户和教职工用户 , 在校园网用户中占很大比例 , 这些用户是需要进行流量管理和计费认证 , 用户数量多 , 无法提供足够的公网地址 , 只能使用内部私有 C 类 IP 地“ 192.168. XXX. XXX ” , 这些地址访问公网的时候要通过 NAT 进行地址转换。 一般来说 , 给一个子网分配 IP 地址空间时 , 需要了解子网中包含了多少台主机 , 还要考虑子网的可扩展性。 例如 , 局域网中的某个子网共含有 80 台主机 , 考虑到以后网络规模的升级展 , 我们就必须为该子网分配多于 80 的 IP 地址数量 , 但分配的 IP 地址数量