大型园区IP地址共享方案.doc

大型园区IP地址共享方案1、 概述由于很多大型的园区对公网IP的需求越来越多，但是我们目前的公网IP资源又十分的紧缺，为了缓解这个问题，我们想到了一下办法，就是通过假公网IP的方式通过NAT地址转换技术去实现IP地址的共享。目前成都电信的IP地址也比较紧缺大部分区域也开始实施NAT444的过渡，即大部分PPPOE拨号用户都会获取一个100.64.0.0/16网段的假公网地址，然后通过NAT地址转换进行上网。什么是假公网IP地址，一般来说国际上规定了一些私网IP地址如下：ipv4私有地址共分3段A类：10.0.0.0-10.255.255.255B类：172.16.0.0-172.31.255.255C类：192.168.0.0-192.168.255.255除开私网IP地址、组播IP地址和环回IP地址剩下的地址就是公网IP地址，私网的IP地址段在整个互联网上是没有路由条目的，也就是说不能使用的。一般来说私网地址都用户内网网络和实验网络，有时候私网地址不够的时候可以适量的使用一些公网IP地址。例成都电信使用内网地址：100.64.0.0/26实际上这个IP地址段是美国的2、 网络拓扑 设计说明:由于我们需要对一个公网IP进行共享复用，所以我们需要在园区主线的位置部署一台华为AR2240路由器用户NAT地址转换，同时在园区的内部接入一台华为5700交换机用户园区的网络汇聚，同时接入多台的华为2700交换机用于用户的接入，同时在华为5700上面分配100.64.0.0网段的ip地址，并且根据实际情况划分多个子网和规划多个业务VLAN,并在接入的2700交换机上面每个端口配置端口隔离，用户之前的安全隔离。对于有服务器的用户我们需要配置DNAT，但是需要告诉用户他实际能访问的IP地址和端口。3、 使用假公网NAT上网方式的弊端1.用户实际使用是假公网地址，外网是不能访问到这个地址上的，用户可以正常上网，但是通过百度或者其他IP地址归属地查询工具，会看到他实际的公网IP是125.70.12.88而并非他使用的假公网地址，这可能让懂些技术的用户质疑。2. 对于用户有服务器需要让外部的人员访问的情况下，用户配置假公网IP到服务器上，实际上外网是不能访问的，需要在AR2240路由器上对假公网IP做一次基于端口的DNAT转换，他有多少个业务需要使用，就要映射多少个端口，而且这些映射之后的端口还要告诉用户。对于那些需求独占一个IP全部端口的服务器，这样就不行。还有那种对于服务器应用的端口不是明确的，或者一个应用占用多个端口的情况都是很难实施的，同时所有的公网IP端口需要和用户协调，不能使用重复了。3. 大家都知道，一个IP地址有65535个端口，也就是说最大可以建立60000多个连接，现在通过IP地址共享，需要把这个60000多个连接共享给下面的用户使用，对用户来说体验感可能要大打折扣，高峰时候，可能会出现qq掉线，网页打不开的情况。4、 建议1. 由于IP地址的并发数有限，建议对每个IP进行并发限制，每个IP限制到200左右。2. 由于P2P和BT等相当占IP并发和带宽的应用需要在出口路由器上做一些应有限制，防止某一个用户滥用导致园区其他用户不能正常使用等情况。3. 对于较大的园区，建议在出口出使用NAT地址池（即：多