1.IP地址規劃
IP地址的合理規劃是網絡設計中的重要一環,大型網絡必須對IP地址進行統一規劃。IP地址規劃的好壞,影響到網絡路由協議算法的效率,影響到網絡的性能,影響到網絡的擴展和管理,也必將直接影響到網絡應用的進一步發展。
# IP地址設計需求關注表
| 需求類型 | 需求調研關注點 | 需求分析關注點 |
|---|
| 用戶終端的數量。
服務器數量。
每種業務需要的信息點數量。
是否需要獨立終端運行一種單一業務。 | 信息點數量及類型涉及IP地址網段劃分及每個網段的范圍。 |
| 用戶辦公及生產所用地址空間是否嚴格隔離?
哪部分用戶需要訪問Internet?
合作伙伴或分支的IP地址是否由園區管理員統一規劃?合作伙伴和分支要訪問哪些業務? | 不同地址空間的業務具有不同的地址規劃,可能使用重疊的IP地址,如果需要交互,需要考慮NAT、代理等策略部署。 |
考慮到網絡擴展性,在規劃網絡 IP地址時主要以易管理為主要目標。
大中型網絡中的DMZ區或Internet互聯區有少量設備使用公網IP,內部使用的則是私網IP。
原則上服務器,特殊終端設備(打卡機、打印服務器、IP視頻監控設備等)和生產設備建議采用靜態IP。辦公用設備建議使用DHCP動態獲取,如辦公用PC、IP電話等。
1.1 IP地址的規劃原則
唯一性:大中型網絡中的每個節點IP地址都唯一存在,即使使用MPLS VPN隔離,也建議不同VRF下不要使用相同的IP地址。
連續性:同一業務的節點地址要連續,便于路由規劃和匯總。
擴展性:地址分配在每一層次上都要留有余量,在網絡規模擴展時無需新增地址段及路由條目。
易維護:設備地址段、各業務地址段清晰區分,易于后續基于地址段實施統計監控、安全防護等策略。
好的IP地址規劃使每個地址具有實際含義,看到一個地址就可以大致判斷出該地址所屬的設備。IP地址的規劃可以與VLAN的規劃對應起來。例如,IP地址的第三個字節與VLAN編號的后三位保持一致,這樣可以便于管理員記憶和管理。
1.2大中型網絡IP地址的的基本分類
管理地址:
二層設備使用 VLANIF 地址作為管理 IP,建議網關下的所有二層交換機使用同一網段。
三層設備建議使用 Loopback 地址作為管理IP,Loopback 地址掩碼統一為32位。
堆疊或集群系統建議預留兩個管理IP以方便其靈活選擇。
互聯地址:
互聯地址是指兩臺網絡設備相互連接的接口所需要的地址。
互聯地址務必使用30位掩碼的地址。核心設備使用較小的一個地址,互聯地址通常要聚合后發布,在規劃時要充分考慮使用連續的可聚合地址。
業務地址:
業務地址是連接在以太網上的各種服務器、主機所使用的地址以及網關的地址,業務地址規劃時所有的網關地址統一使用相同的末位數字,如:.254都是表示網關。
每一類子業務的地址范圍要清晰區分,每一類子業務的服務器和客戶端的地址范圍也要清晰區分。
每一類業務終端地址連續,可聚合。
考慮廣播域范圍及規劃的簡易程度,建議為每個業務地址段預留掩碼為24位的地址段,如果業務終端超出200,再為其順延一個掩碼為24位的地址段。
大中型網絡內部的IP地址:
建議使用私網IP地址,在邊緣網絡通過NAT轉換成公網地址后接入公網。
匯聚交換機下接入的網段可能有很多,在規劃的時候需要考慮路由是可以聚合的,這樣可以減少核心網絡的路由數目。
業務隨行的IP地址:
業務隨行方案中安全組的規劃非常重要。IP地址規劃對于靜態資源類安全組的配置也存在重要的影響。相同用途接口、主機或服務器的IP地址規劃至同一網段中,可以大幅簡化安全組的配置。
例如所有網絡轉發設備接口的互聯IP地址雖然通過子網掩碼分隔成多了網段(10.1.1.0/30、10.1.1.4/30等),但是如果在IP地址規劃時為設備接口IP地址預留了一個統一的網段(10.1.0.0/16),在配置代表網絡接口的安全組時就非常方便。
園區內部所有IP地址屬于同一地址空間,方便互訪。
內部用戶訪問Internet時,在Internet出口區進行NAT轉換,避免園區內部存在公網、私網地址混跑的現象。NAT策略要足夠精確,僅針對有權限進行Internet訪問的私網地址進行NAT轉換。如果公網地址緊張,建議設備互聯接口地址使用私網IP,僅在NAT設備上部署公網地址池。
合作伙伴和分支的本地地址可能不會由園區管理員統一規劃,園區要為合作伙伴、分支基于園區地址空間預留IP地址段,并在接入邊界處通過NAT或VPDN等方式將IP地址段分配給合作伙伴和分支用戶。
2.VLAN規劃
園區網絡主要的二層技術包括VLAN技術和破環技術。
2.1VLAN劃分方式設計
VLAN 劃分方式包括5種,匹配順序由高到低依次為:基于匹配策略劃分VLAN->基于MAC地址或基于子網劃分VLAN(缺省MAC地址方式優于子網方式,可修改缺省配置使子網方式優于MAC地址方式)->基于協議劃分VLAN->基于接口劃分VLAN。其中,最常用的劃分方式是基于接口。
# 各種劃分方式適用的場景如下表:
| 劃分方式 | 適用場景 | 優點 | 缺點 |
|---|
| | | |
| 適用于位置經常移動但網卡不經常更換的小型網絡,如移動PC。 | 當終端用戶的物理位置發生改變,不需要重新配置VLAN。提高了終端用戶的安全性和接入的靈活性。 | 只適用于網卡不經常更換、網絡環境較簡單的場景中。 需要預先定義網絡中所有成員。 |
| 適用于對安全需求不高、對移動性和簡易管理需求較高的場景中。 | 當用戶的物理位置發生改變,不需要重新配置VLAN。 可以減少網絡通信量,可使廣播域跨越多個交換機。 | 網絡中的用戶分布需要有規律,且多個用戶在同一個網段。 |
| | 將網絡中提供的服務類型與VLAN相綁定,方便管理和維護。 | 需要對網絡中所有的協議類型和VLAN ID的映射關系表進行初始配置。 需要分析各種協議的格式并進行相應的轉換,消耗交換機較多的資源,速度上稍具劣勢。 |
| | 安全性高,VLAN劃分后,用戶不能改變IP地址或MAC地址。 網絡管理人員可根據自己的管理模式或需求選擇劃分方式。 | |
如無特殊需求,推薦基于接口劃分VLAN。
2.2管理VLAN和互聯VLAN設計
二層交換機無法直接創建三層接口,需要創建VLANIF來進行管理,這時需要定義管理VLAN。通常,二層交換機使用VLANIF接口地址作為管理地址,三層交換機使用Loopback接口地址作為管理地址。如果網絡規模不大,建議所有的二層交換機使用同一管理VLAN,管理IP處于同一網段即可;如果網絡規模很大,可為同一網關下的二層交換機分配同一管理VLAN,管理IP處于同一網段。
互聯VLAN一般用在兩臺三層交換機之間或三層交換機與路由器之間,創建VLANIF接口進行三層互聯。如果交換機支持切換接口的二三層模式,建議切換為三層模式來配置互聯地址。 如果交換機不支持切換接口的二三層模式,必須使用互聯VLAN時,建議互聯VLAN和業務VLAN嚴格區分;每條互聯鏈路分配一個VLAN,且互聯物理接口配置為Trunk模式。
2.3VLAN規劃原則與建議
一個二層網絡規劃的基本原則:
- 同一業務區域按照具體的業務類型(如:Web、APP、DB)劃分不同的VLAN
VLAN可以根據多種原則組合劃分。
# 按照邏輯區域劃分VLAN范圍,如:
# 按照地理區域劃分VLAN范圍,如:
# 按照人員結構劃分VLAN范圍,如:
# 按照業務功能劃分VLAN范圍,如:
閱讀原文:原文鏈接
該文章在 2025/3/17 11:10:34 編輯過
400 186 1886
