規劃園區網設計實施時的IP/VLAN

2019-11-04 22:39:41

字體：大中小

來源：轉載

供稿：網友

　　ip/VLAN規劃是園區網設計實現的一項重要內容，不合理的規劃會直接影響日后的治理維護。所謂IP / VLAN規劃，就是為接入園區網的所有設備，包括交換機、路由器、防火墻、服務器、客戶機、打印服務器等，分配一個惟一的IP地址，并為其指定適當的VLAN。考慮到日后的擴展、維護等問題，園區網的IP/VLAN規劃不僅應符合網絡設計規范，還要有規律、易記憶，能反映園區網的特點。
　　
　　園區網選用的主干技術、拓撲結構不同，IP/VLAN規劃也會有所區別。本文主要針對在園區網建設中應用最廣泛的“千兆以太網做主干＋二級局域網絡”方案，就其IP/VLAN規劃需要考慮的問題進行討論。
　　
　　在進行園區網IP/VLAN規劃前，繪制一幅準確的園區網拓撲圖是不可缺少的。準確的網絡文檔對于日后的升級和分析問題很有幫助。圖1所示，是一幅典型的園區網拓撲圖。
　　規劃園區網設計實施時的IP/VLAN

　　1．確定園區網－內網IP地址的類型
　　
　　在分配IP地址前，應首先到有關部門申請IP地址。由于Internet上IP地址比較緊張，申請到的IP地址可能不夠分配給內部網的每一個設備，這時就需對有限IP地址進行規劃。
　　
　　在申請的IP地址資源不足的情況下，可以為園區網－內網分配RFC1918中定義的非Internet連接的網絡地址，也稱為專用Internet地址。由Internet地址授權機構（IANA）控制的IP地址分配方案中，留出了三類網絡地址，給不連到Internet上的專用網使用。
　　
　　IANA保證這些網絡號不會分配給連到Internet上的任何網絡，因此任何人都可以自由地選擇這些網絡地址作為自己的私有網絡地址。在申請的合法IP不足的情況下，園區網－內網可以采用私有IP地址的網絡地址分配方案; 園區網－外網、DMZ區使用合法IP地址。
　　
　　2．規劃主交換機端口VLAN 及網絡設備IP
　　
　　如圖1所示，網絡中的主交換機提供了到各樓宇二級交換機的連接，因此為主交換機的端口指定VLAN 是規劃整個內部網的要害。
　　
　　非凡注重，由于1號樓、2號樓、3號樓除了有VLAN1、VLAN2、VLAN3的用戶，都包含部分VLAN7用戶，所以它們的千兆上聯端口也都包含了VLAN7。
　　
　　將網絡中的主交換機、二級交換機都劃到VLAN11，實現對網絡設備安全、有效治理。
　　
　　3．規劃虛擬局域網IP地址
　　
　　在具有三層交換功能的園區網中，可以按照物理建筑劃分虛擬局域網；也可以按職能部門劃分虛擬局域網（VLAN），VLAN成員可以不受地理位置的限制。
　　
　　VLAN劃分分為兩類，根據接入層交換機的端口劃分稱為靜態VLAN，根據網卡的MAC地址劃分稱為動態VLAN。當園區網規模較大時，動態VLAN實現較為復雜，一般較少采用；應用最多的還是靜態VLAN。為了方便日后的維護治理，VLAN與IP子網之間一般是一一對應的關系。
　　
　　針對有些部門辦公地點分散在幾棟樓宇的情況，可以將對應樓宇交換機的指定端口統一劃到一個指定VLAN。這正是使用VLAN技術的優勢，其成員不受地理位置的限制。
　　
　　4．規劃防火墻、路由器、服務器的IP地址
　　
　　WWW/MAIL/DNS服務器、防火墻的DMZ網卡、防火墻的外網卡、路由器以太網口1、路由器以太網口2、路由器廣域網口1應該使用從ISP申請到的合法IP。防火墻的DMZ區，假如需要可增加服務器。
　　
　　5．規劃園區網內網用戶的IP地址
　　
　　規劃完子網與VLAN，接下來就要考慮園區網用戶IP的分配方式。
　　
　　針對用戶比較集中、信息點位置相對固定的情況，建議使用靜態IP。這對于日后的治理、維護、故障排查非常重要，治理員可以根據IP地址迅速確定主機所在位置。使用靜態IP，園區網用戶與聯接交換機的端口處于同一VLAN。為方便新的用戶IP地址的分配，應做好現有用戶IP地址的記錄。
　　
　　當用戶變動較大，信息點數量無法準確計算時，建議使用動態IP。動態IP的優勢在于方便用戶使用，非凡適合計算機基礎較弱的用戶群體。用戶只需要將網絡屬性中的IP地址欄設成自動獲取，用戶的本機IP、缺省網關、DNS、WINS等要害信息，會自動從DHCP服務器中得到。
　　
　　使用DHCP服務器可以大大減輕治理員的工作，但也會帶來一些新的問題，例如：需要用一臺主機提供DHCP服務；在上網計算機較多的情況下，假如DHCP服務器不穩定，會出現IP不能回收、IP發放不出去等問題。
　　
　　6．園區網內網NAT實現
　　
　　當園區網的IP / VLAN規劃基本完成后，要采用網絡地址轉換（NAT）技術，即通過1 個或幾個外部IP 地址來實現園區網－內網用戶訪問Internet。目前支持NAT的產品非常多，可以是軟件，比如WinrouterPRo、Sygate、Wingate、Winproxy 等；也可以是硬件，比如路由器、防火墻。

>（出處：清風軟件下載學院）

上一篇：VLAN防校園網風暴

下一篇：網絡層訪問權限控制技術ACL詳解(下)