校园网网络设计中IP地址的规划与管理

1、校园网网络设计中IP地址的规划与管理作者：林冬梅 徐效美 日期 2006-10-24 21:17:40一、IP地址简介1.1 IP地址的结构IP地址是IP协议用来标识网络中主机、路由器和网关等设备的不同接 口。IP地址就相当于网络设备接口的身份证。从网络的层次结构考虑，一个 IP地址必须指明两点：属于哪个网络，是这个网络中的哪台主机，因此IP地址的结构为“网络号+主机号”，其网络地址和主机地址的位数因网络的 规模大小而不同。1.2 IP地址的类别目前正在使用的IP协议版本是1981年9月制定的IPv40 IPv4规定IP 地址用32位二进制数表示。为了便于读写，采用点分十进制数表示法，即2 1

2、1.161.48.151 的形式。1.3子网与子网掩码为了提高IP地址的使用效率，人们将二级结构中的主机号部分进一步 划分为子网号和主机号，IP地址的结构便变成了 “网络号+子网号+主机号” 的三级结构。这样就使得IP地址有了一定的内部层次结构，这种层次结构 便于IP地址的分配和管理。同一网络中的不同子网用子网掩码来划分，子网掩码（mask）是将IP地址中对应网络标识码的各位取I,对应主机标识码的各位取 0而得到的。如果 两台主机的IP地址和子网掩码的“与”的结果相同，则这两台主机是在同 一个子网中。在没有划分子网时,A、B、C三类网络其默认的子网掩码分别 为255.0.0.0, 255.25

3、5.0.0, 255.255.255.（1在作IP地址规划时往往需要设置 子网，如果将一个网络的主机号部分拿出n位用做子网地址，可以将原来的网络划分为2n个子网，这些子网的大小都是相同的。采用可变长子网掩码（V LSM ）分配机制，可将网络划分成不同大小的子网，为单位节省大量的IP地 址空间。1.4 NAT地址转换NAT（地址转换）就是把在内部网络中使用的 IP地址转换成外部网络中 使用的IP地址，把不可路由的IP地址转化成可路由的IP地址，对外部网 络隐蔽内部网络的结构。通过 NAT可以节省NIC注册的IP地址。内部地址是因特网地址分配组织规定的以下三类网络地址（又叫保留地址或私有地址）：1

4、0.0.0.0-10.255.255.255172.16.0.0-172.31.255.255192.168.0.0-192.168.255.255这3个网络的地址不会在英特网上被分配，任何一个局域网都可以使用。 使用私有网络地址的主机与互联网上的主机通信时，要通过地址转换技术， 将私有地址转换成公有地址。NAT应用有三种方式：静态NAT（static NAT）、动态NAT（pooled NAT） 和PAT （端口复用NAT。静态NAT是采用固定分配的方法映射内部网络的 和外部网络的IP地址。动态NAT则是采用动态分配的方法映射内部网络的 和外部网络的IP地址。PAT则是把多个内部网络IP地址

5、映射到外部网络的 同一个IP地址的不同端口上。二、校园网IP地址的规划IP地址的规划常常是校园网络设计过程中的一个很重要的环节。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到 网络的扩展及网络的管理，也必将直接影响到网络应用的进一步发展。2.1 IP地址的分配原则IP地址空间分配，要与网络拓扑层次结构相适应， 既要有效地利用地址 空间，又要体现出网络的可扩展性和灵活性，同时要能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还 要考虑到网络地址的可管理性。具体分配时

6、要遵循以下原则：*唯一性：一个IP网络中不能有两个主机采用相同的IP地址*简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项连续性：连续地址在层次结构网络中易于进行路由表聚类，大大缩减 路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时 能保证地址聚合所需的连续性.灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分 利用地址空间。2.2 IP地址分配方案校园网IP地址包括从cernet中心申请公用地址、内部地址及由从 China Net申请的少量的公网IP地址。其中由ChinaNet申请的少量的公网IP地址 主要作为接入电信公网和部

7、分关键的服务器出口备份，因此IP地址的规划主要针对前两种。（1）公有IP地址的分配这里的公有地址也叫实地址（又叫合法地址），即是从Cernet申请的多个 C类IP地址，作为和国际互联网互连的地址， 域名xxx. edu. cn就解析在这 片地址上。在对校园网实IP地址进行分配时，要本着节约的原则，合理分 配，充分利用。首先确定实IP的使用者。如网络中心的服务器及工作人员用机，校内 的科研人员、重点学科和重点实验室等。IP地址的分配可按单位及区域进行分配。对需要的IP地址多且发展潜力大的单位可为其分配一个独立的 C类地址，对那些只需少量地址可按地理 位置等，让几个单位共用一个C类地址，为了便于管

8、理，可将一个C类地址 子网化，但子网的数量不宜过多，因为子网化是以牺牲部分IP地址为代价的。私有IP地址的分配在作网络规划时，应先设计网络的私有部分。原则上所有的内部连接都 应使用私有地址空间，（尤其是学生机房、网络教室等主要使用校内资源） 然后在需要的地方设计公有子网并设计外部连接。这样，当网内某台主机地 址发生了变化时，仅对这台主机重新编址并安装所需的物理子网即可。三类 私有IP地址，任何局域网都可使用，具体使用哪一类，视网络规模而定。如果要通过划分子网来管理，用 24 位的私有地址空间较合适，在进行子网 划分时要充分考虑到网络的扩展。 若子网化有困难， 可以 C 为单位， 分片划 分IP

9、。为了便于路由的聚合，在地址的分配上应使用连续的 C类地址。使用 这部分地址的用户要和国际互联网发生联系，须采用 NAT 转换技术将内部 地址转换成外部地址。三 IP 地址的管理3.1 IP 地址管理的任务及常见的问题IP地址管理包括对IP地址段的分配使用情况进行管理；对已分配IP地址 的基本信息进行管理 ;详细记录 IP 地址的封锁 /解封锁情况，地址分配及变更 的历史记录等，还要保证网络的正常运行。IP 网络运行过程中， 最常引起网络故障的原因之一是 IP 地址冲突问题 .。 造成 IP 地址冲突的原因：一是管理员由于工作疏忽分配了重复的 IP 地址； 二是由于使用静态分配 IP 地址策略

10、，用户在进行客户端配置时，有意或无 意地盗用了别人的 IP。3.2 常见 IP 地址管理策略(1) 由管理员为上网用户分配 IP 地址，并静态维护 IP 地址分配表；(2) 动态地址分配策略DHCP 协议动态分配技术是目前高校校园网中最常见的 IP 地址分配及 管理技术之一。动态分配可以节省 IP 地址，方便用户的接入操作，同时也 可减轻网管员管理 IP 地址的负担 (勿需配置客户端 )。但由于动态分配 IP 地 址的随机性和不确定性，网络的安全管理将变得困难。(3) IP 和 MAC 地址绑定对于静态修改 IP 地址的问题，现在很多院校都采用静态路由技术加以 解决,即在路由器或三层交换机上的

11、 ARP表里将合法用户的IP地址和网卡的 MAC地址进行绑定.针对静态路由技术，IP盗用者又采取了成对修改IP-MA C 地址的方法。针对这种情况，针对这种情况，我们可以使用交换机端口的 单地址工作模式，将交换机的端口和本机MAC地址绑定，这样即使成对地 盗用IP地址与MAC地址也无法访问网络。(4) 子网与虚拟子网管理。通过合理的子网及虚拟子网 VLAN 的划分，使得 IP 盗用即使发生，也 被局限在一个小的范围 ,便于管理员定位查找。(5) 基于用户认证的管理方案 用户认证是用于解决系统内部的用户管理和用户安全问题的一个手段。 基于用户认证的管理方案要求用户必须有一个合法的用户名和密码，

12、用户上 网前需提供合法的用户名及相应密码， 其对 IP 地址的管理是通过 IP 与用户 名和密码绑定来实现的这首先杜绝了非法用户进入网络并使用网络资源， 其 次当网络出现问题时， 可以及时查找到相应的用户， 并通知该用户解决问题， 这大大提高了网络管理和维护的水平。(6) 防火墙与代理服务器管理 使用防火墙与代理服务器相结合，既能解决 IP 地址紧缺问题，也能较 好地解决 IP 地址盗用问题。通过防火墙提供的 NAT 技术，使多个内部 IP 地址共享一个外部IP地址，可以更有效地利用IP地址资源。通过代理服务 器访问外部网络，将 IP 防盗放到应用层来解决，变 IP 管理为用户身份和口 令的管理，由于没有合法的身份，盗用的 IP 地址只能在子网内使用， IP 盗 用便没有意义。(7) 集成化的管理方案 随着校园网规模的不断扩大，接入用户的不断增加，单一的管理策略是 远远不够的。如何更有效地实现校园网内 IP 地址的分配与管理 ,才能符合最 新的互联网IP地址备案管理办法的要求？首先，有效的 IP 地址分配是高效管理的基础。集成化的管理方案即是 将 IP 资源管理与园区网络管理服务相整合，解决校园网管理中遇到的各种 问题，提高管理效率。通过该方案开发出适合本校园网的先进的网络管理系 统。该系统应集管