1.IP地址規(guī)劃
IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán),大型網(wǎng)絡(luò)必須對(duì)IP地址進(jìn)行統(tǒng)一規(guī)劃。IP地址規(guī)劃的好壞,影響到網(wǎng)絡(luò)路由協(xié)議算法的效率,影響到網(wǎng)絡(luò)的性能,影響到網(wǎng)絡(luò)的擴(kuò)展和管理,也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。
# IP地址設(shè)計(jì)需求關(guān)注表
| 需求類(lèi)型 | 需求調(diào)研關(guān)注點(diǎn) | 需求分析關(guān)注點(diǎn) |
|---|
| 用戶(hù)終端的數(shù)量。
服務(wù)器數(shù)量。
每種業(yè)務(wù)需要的信息點(diǎn)數(shù)量。
是否需要獨(dú)立終端運(yùn)行一種單一業(yè)務(wù)。 | 信息點(diǎn)數(shù)量及類(lèi)型涉及IP地址網(wǎng)段劃分及每個(gè)網(wǎng)段的范圍。 |
| 用戶(hù)辦公及生產(chǎn)所用地址空間是否嚴(yán)格隔離?
哪部分用戶(hù)需要訪問(wèn)Internet?
合作伙伴或分支的IP地址是否由園區(qū)管理員統(tǒng)一規(guī)劃?合作伙伴和分支要訪問(wèn)哪些業(yè)務(wù)? | 不同地址空間的業(yè)務(wù)具有不同的地址規(guī)劃,可能使用重疊的IP地址,如果需要交互,需要考慮NAT、代理等策略部署。 |
考慮到網(wǎng)絡(luò)擴(kuò)展性,在規(guī)劃網(wǎng)絡(luò) IP地址時(shí)主要以易管理為主要目標(biāo)。
大中型網(wǎng)絡(luò)中的DMZ區(qū)或Internet互聯(lián)區(qū)有少量設(shè)備使用公網(wǎng)IP,內(nèi)部使用的則是私網(wǎng)IP。
原則上服務(wù)器,特殊終端設(shè)備(打卡機(jī)、打印服務(wù)器、IP視頻監(jiān)控設(shè)備等)和生產(chǎn)設(shè)備建議采用靜態(tài)IP。辦公用設(shè)備建議使用DHCP動(dòng)態(tài)獲取,如辦公用PC、IP電話等。
1.1 IP地址的規(guī)劃原則
唯一性:大中型網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)IP地址都唯一存在,即使使用MPLS VPN隔離,也建議不同VRF下不要使用相同的IP地址。
連續(xù)性:同一業(yè)務(wù)的節(jié)點(diǎn)地址要連續(xù),便于路由規(guī)劃和匯總。
擴(kuò)展性:地址分配在每一層次上都要留有余量,在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)無(wú)需新增地址段及路由條目。
易維護(hù):設(shè)備地址段、各業(yè)務(wù)地址段清晰區(qū)分,易于后續(xù)基于地址段實(shí)施統(tǒng)計(jì)監(jiān)控、安全防護(hù)等策略。
好的IP地址規(guī)劃使每個(gè)地址具有實(shí)際含義,看到一個(gè)地址就可以大致判斷出該地址所屬的設(shè)備。IP地址的規(guī)劃可以與VLAN的規(guī)劃對(duì)應(yīng)起來(lái)。例如,IP地址的第三個(gè)字節(jié)與VLAN編號(hào)的后三位保持一致,這樣可以便于管理員記憶和管理。
1.2大中型網(wǎng)絡(luò)IP地址的的基本分類(lèi)
管理地址:
二層設(shè)備使用 VLANIF 地址作為管理 IP,建議網(wǎng)關(guān)下的所有二層交換機(jī)使用同一網(wǎng)段。
三層設(shè)備建議使用 Loopback 地址作為管理IP,Loopback 地址掩碼統(tǒng)一為32位。
堆疊或集群系統(tǒng)建議預(yù)留兩個(gè)管理IP以方便其靈活選擇。
互聯(lián)地址:
互聯(lián)地址是指兩臺(tái)網(wǎng)絡(luò)設(shè)備相互連接的接口所需要的地址。
互聯(lián)地址務(wù)必使用30位掩碼的地址。核心設(shè)備使用較小的一個(gè)地址,互聯(lián)地址通常要聚合后發(fā)布,在規(guī)劃時(shí)要充分考慮使用連續(xù)的可聚合地址。
業(yè)務(wù)地址:
業(yè)務(wù)地址是連接在以太網(wǎng)上的各種服務(wù)器、主機(jī)所使用的地址以及網(wǎng)關(guān)的地址,業(yè)務(wù)地址規(guī)劃時(shí)所有的網(wǎng)關(guān)地址統(tǒng)一使用相同的末位數(shù)字,如:.254都是表示網(wǎng)關(guān)。
每一類(lèi)子業(yè)務(wù)的地址范圍要清晰區(qū)分,每一類(lèi)子業(yè)務(wù)的服務(wù)器和客戶(hù)端的地址范圍也要清晰區(qū)分。
每一類(lèi)業(yè)務(wù)終端地址連續(xù),可聚合。
考慮廣播域范圍及規(guī)劃的簡(jiǎn)易程度,建議為每個(gè)業(yè)務(wù)地址段預(yù)留掩碼為24位的地址段,如果業(yè)務(wù)終端超出200,再為其順延一個(gè)掩碼為24位的地址段。
大中型網(wǎng)絡(luò)內(nèi)部的IP地址:
建議使用私網(wǎng)IP地址,在邊緣網(wǎng)絡(luò)通過(guò)NAT轉(zhuǎn)換成公網(wǎng)地址后接入公網(wǎng)。
匯聚交換機(jī)下接入的網(wǎng)段可能有很多,在規(guī)劃的時(shí)候需要考慮路由是可以聚合的,這樣可以減少核心網(wǎng)絡(luò)的路由數(shù)目。
業(yè)務(wù)隨行的IP地址:
業(yè)務(wù)隨行方案中安全組的規(guī)劃非常重要。IP地址規(guī)劃對(duì)于靜態(tài)資源類(lèi)安全組的配置也存在重要的影響。相同用途接口、主機(jī)或服務(wù)器的IP地址規(guī)劃至同一網(wǎng)段中,可以大幅簡(jiǎn)化安全組的配置。
例如所有網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備接口的互聯(lián)IP地址雖然通過(guò)子網(wǎng)掩碼分隔成多了網(wǎng)段(10.1.1.0/30、10.1.1.4/30等),但是如果在IP地址規(guī)劃時(shí)為設(shè)備接口IP地址預(yù)留了一個(gè)統(tǒng)一的網(wǎng)段(10.1.0.0/16),在配置代表網(wǎng)絡(luò)接口的安全組時(shí)就非常方便。
園區(qū)內(nèi)部所有IP地址屬于同一地址空間,方便互訪。
內(nèi)部用戶(hù)訪問(wèn)Internet時(shí),在Internet出口區(qū)進(jìn)行NAT轉(zhuǎn)換,避免園區(qū)內(nèi)部存在公網(wǎng)、私網(wǎng)地址混跑的現(xiàn)象。NAT策略要足夠精確,僅針對(duì)有權(quán)限進(jìn)行Internet訪問(wèn)的私網(wǎng)地址進(jìn)行NAT轉(zhuǎn)換。如果公網(wǎng)地址緊張,建議設(shè)備互聯(lián)接口地址使用私網(wǎng)IP,僅在NAT設(shè)備上部署公網(wǎng)地址池。
合作伙伴和分支的本地地址可能不會(huì)由園區(qū)管理員統(tǒng)一規(guī)劃,園區(qū)要為合作伙伴、分支基于園區(qū)地址空間預(yù)留IP地址段,并在接入邊界處通過(guò)NAT或VPDN等方式將IP地址段分配給合作伙伴和分支用戶(hù)。
2.VLAN規(guī)劃
園區(qū)網(wǎng)絡(luò)主要的二層技術(shù)包括VLAN技術(shù)和破環(huán)技術(shù)。
2.1VLAN劃分方式設(shè)計(jì)
VLAN 劃分方式包括5種,匹配順序由高到低依次為:基于匹配策略劃分VLAN->基于MAC地址或基于子網(wǎng)劃分VLAN(缺省MAC地址方式優(yōu)于子網(wǎng)方式,可修改缺省配置使子網(wǎng)方式優(yōu)于MAC地址方式)->基于協(xié)議劃分VLAN->基于接口劃分VLAN。其中,最常用的劃分方式是基于接口。
# 各種劃分方式適用的場(chǎng)景如下表:
| 劃分方式 | 適用場(chǎng)景 | 優(yōu)點(diǎn) | 缺點(diǎn) |
|---|
| 適用于任何大小但位置比較固定的網(wǎng)絡(luò)。 | | |
| 適用于位置經(jīng)常移動(dòng)但網(wǎng)卡不經(jīng)常更換的小型網(wǎng)絡(luò),如移動(dòng)PC。 | 當(dāng)終端用戶(hù)的物理位置發(fā)生改變,不需要重新配置VLAN。提高了終端用戶(hù)的安全性和接入的靈活性。 | 只適用于網(wǎng)卡不經(jīng)常更換、網(wǎng)絡(luò)環(huán)境較簡(jiǎn)單的場(chǎng)景中。 需要預(yù)先定義網(wǎng)絡(luò)中所有成員。 |
| 適用于對(duì)安全需求不高、對(duì)移動(dòng)性和簡(jiǎn)易管理需求較高的場(chǎng)景中。 | 當(dāng)用戶(hù)的物理位置發(fā)生改變,不需要重新配置VLAN。 可以減少網(wǎng)絡(luò)通信量,可使廣播域跨越多個(gè)交換機(jī)。 | 網(wǎng)絡(luò)中的用戶(hù)分布需要有規(guī)律,且多個(gè)用戶(hù)在同一個(gè)網(wǎng)段。 |
| 適用于需要同時(shí)運(yùn)行多協(xié)議的網(wǎng)絡(luò)。 | 將網(wǎng)絡(luò)中提供的服務(wù)類(lèi)型與VLAN相綁定,方便管理和維護(hù)。 | 需要對(duì)網(wǎng)絡(luò)中所有的協(xié)議類(lèi)型和VLAN ID的映射關(guān)系表進(jìn)行初始配置。 需要分析各種協(xié)議的格式并進(jìn)行相應(yīng)的轉(zhuǎn)換,消耗交換機(jī)較多的資源,速度上稍具劣勢(shì)。 |
| | 安全性高,VLAN劃分后,用戶(hù)不能改變IP地址或MAC地址。 網(wǎng)絡(luò)管理人員可根據(jù)自己的管理模式或需求選擇劃分方式。 | |
如無(wú)特殊需求,推薦基于接口劃分VLAN。
2.2管理VLAN和互聯(lián)VLAN設(shè)計(jì)
二層交換機(jī)無(wú)法直接創(chuàng)建三層接口,需要?jiǎng)?chuàng)建VLANIF來(lái)進(jìn)行管理,這時(shí)需要定義管理VLAN。通常,二層交換機(jī)使用VLANIF接口地址作為管理地址,三層交換機(jī)使用Loopback接口地址作為管理地址。如果網(wǎng)絡(luò)規(guī)模不大,建議所有的二層交換機(jī)使用同一管理VLAN,管理IP處于同一網(wǎng)段即可;如果網(wǎng)絡(luò)規(guī)模很大,可為同一網(wǎng)關(guān)下的二層交換機(jī)分配同一管理VLAN,管理IP處于同一網(wǎng)段。
互聯(lián)VLAN一般用在兩臺(tái)三層交換機(jī)之間或三層交換機(jī)與路由器之間,創(chuàng)建VLANIF接口進(jìn)行三層互聯(lián)。如果交換機(jī)支持切換接口的二三層模式,建議切換為三層模式來(lái)配置互聯(lián)地址。 如果交換機(jī)不支持切換接口的二三層模式,必須使用互聯(lián)VLAN時(shí),建議互聯(lián)VLAN和業(yè)務(wù)VLAN嚴(yán)格區(qū)分;每條互聯(lián)鏈路分配一個(gè)VLAN,且互聯(lián)物理接口配置為T(mén)runk模式。
2.3VLAN規(guī)劃原則與建議
一個(gè)二層網(wǎng)絡(luò)規(guī)劃的基本原則:
- 區(qū)分業(yè)務(wù)VLAN、管理VLAN和互聯(lián)VLAN
- 按照業(yè)務(wù)區(qū)域劃分不同的VLAN
- 同一業(yè)務(wù)區(qū)域按照具體的業(yè)務(wù)類(lèi)型(如:Web、APP、DB)劃分不同的VLAN
- VLAN需連續(xù)分配,以保證VLAN資源合理利用
- 預(yù)留一定數(shù)目VLAN方便后續(xù)擴(kuò)展
VLAN可以根據(jù)多種原則組合劃分。
# 按照邏輯區(qū)域劃分VLAN范圍,如:
- 核心網(wǎng)絡(luò)區(qū):100~199
- 服務(wù)器區(qū):200~999,預(yù)留1000~1999
- 接入網(wǎng)絡(luò):2000~3499
- 業(yè)務(wù)網(wǎng)絡(luò):3500~3999
# 按照地理區(qū)域劃分VLAN范圍,如:
- 接入網(wǎng)絡(luò)A的地理區(qū)域使用2000~2199
- 接入網(wǎng)絡(luò)B的地理區(qū)域使用2200~2399
# 按照人員結(jié)構(gòu)劃分VLAN范圍,如:
- 接入網(wǎng)絡(luò)A地理區(qū)域A部門(mén)使用2000~2009
- 接入網(wǎng)絡(luò)A地理區(qū)域B部門(mén)使用2010~2019
# 按照業(yè)務(wù)功能劃分VLAN范圍,如:
閱讀原文:原文鏈接
該文章在 2025/3/17 11:10:34 編輯過(guò)
400 186 1886
