學校園區網IPV4地址管理簡述

林洋

（吉林廣播電視大學，吉林長春130022）

學校園區網IPV4地址管理簡述

林洋

（吉林廣播電視大學，吉林長春130022）

本文從園區網實際需求出發，探討IP地址分配的一般規則。，應按照實際部署情況對IP段進行合理分區，并對每個區域按照級別指定不同規格的管理策略；同時建議制作IP管理表以提升網絡管控水平。

IPV4；地址管理；園區網

IPV6尚未在互聯網中得到普及，而IPv4受制于地址數量限制，我國多數園區網在事實上使用IPV4的私有IP地址段做子網規劃，因而IP規劃水平則直接關系到整個園區網系統能否在建成后保持穩定并高效運行。在網絡拓撲設計中，應重視IP地址規劃，根據實際情況提前制定相應分配策略和管理策略。

一、IP地址分配

IP地址規范遵循國際標準，但事實上最初由美國軍方設計并應用于ARPANET，后被世界其他國家所接受。IP地址是TCP/IP協議中網絡編址的主要方式，由4組8位二進制組合表示，為便于理解，人們一般用點分十進制直接表述。例如典型國際DNS服務地址8.8.8.8，即屬于標準IPV4地址，在互聯網上，IP地址應該是唯一的。

為解決IP地址管理問題，國際公認將IP地址劃分為A/B/C/D/E5個類別，其中A/B/C三個地址范圍各包含一個私有IP地址段，按照網絡規模，各地園區網在內部使用私有地址，并僅在網絡出口處配置全網唯一的國際IP地址。

表1：私有地址范圍與IP地址類型

很多學校愿意在園區網中使用B類地址，以保持IP其容量大、容易擴充的優勢，但從精細化管理角度考慮，應認真審視實際需求，當實際需求未超過200端點，且未來IP需求總數可以預期時，分配C類地址能保障網絡以更高的效率運行，對處理網段匯總信息的路由而言，較多的網絡地址和較少的主機地址可減少運算量。

二、IP地址規劃中的區域分割

園區網是一種始終保持運行的業務聯合體，其內部承載多種業務并相互關聯，一般在網絡設計規劃階段，按照業務特性和業務邏輯關系，應將整個網絡分割為不同業務區域，各區域邏輯獨立，建議同時在每個區域使用一個獨立IP地址段，在各區域邊界通過路由器實現網絡三層協議互通。

1、交換、安全和網絡管理區域

園區網中的數據中心是投資密度最高且提供主要服務的設施機構，大量交換設備、安全設備以及網絡管理系統都部署在數據中心內部，為保障整個網絡的數據流動，需要單獨規劃IP地址范圍，用于改區域的專用管理。

任何可管理網絡交換是設備都具備VLAN管理功能，可管理VLAN范圍一般為1-4096（兩個字節），通常建議將默認VLAN1作為交換設備管理范圍，好處在于對任何網絡管理設備無需VLAN二次配置，網絡交換信息（VLAN信息，廣播以、交換以及路由信息）直接互通，并避免不同品牌設備的兼容性問題。由于大多數園區網的交換設備總數十分有限，因此建議使用一個C類地址范圍，如：192.168.0.1/24，并在核心網絡設備配置各個網段的網關地址，常見網關地址為192.168.0.1或192.168.0.254.

應注意到，安全設備同時也作為網絡交換設備存在，因此應在網絡IP地址范圍內為各種安全設備預留管理地址范圍。另外，為提供網絡管理的便利條件，管理員應在地址段較低地址范圍預留固定空白IP地址，用于系統管理和應急處理，如192.168.0.2---100。

2、服務器與業務設備區域

服務器與業務設備是承載園區服務的基礎設施，因此必須為服務器分配獨立IP段，且不與交換設備發生任何IP關聯。交換機一般支持兩種端口模式以維護服務器的IP請求，即ACCESSHybrid，端口所屬VLAN由管理員自定義，與服務器需求吻合。

3、系統與業務區域

通常服務器與所承載業務共用一個IP地址，作為WEB發布服務器時，可以增加同網段的不同地址，通過單個網卡傳送。但很多數據中心部署了私有云平臺，情況便發生變化。集成化的云平臺增加了IP系統分配的復雜性，其IP組成一般包括：網絡管理、交換區域；底層刀片、服務器群集區域；底層操作系統IP區域；業務系統區域。其中業務系統即相當于傳統服務器。因此，為方便管理并保護網絡運行，建議為不同區域配置獨立C類地址段。

4、用戶區域

規模較大的園區網絡，例如附帶的小區居民計費網絡，由于用戶總數較大，通常使用B類或A類私有地址作為分配方案，通常采用較復雜的網絡配置體系包括計費網關、用戶認證、地址分配方案等，這種情況需要較為完善的安防體系支撐網絡和復雜運維，這里不做詳細闡述。就學校行政辦公區域而言，過去幾年發生過非常多的ARP網絡欺騙攻擊，網段內攻擊源將自己偽裝為網關地址，欺騙其他終端將數據流向到欺騙主機，從而導致整個網段崩潰，對于沒有完善安防體系的網絡而言：這是一類嚴重威脅。根據用戶行政以及地理區域，依據安全級別，建議為用戶劃分多個C類地址段，并對不同地址采取對應級別的安全策略。

表2：用戶IP安全策略

三、園區網IP地址管理

制度優先：制定完善的IP登記制度，合理分配IP地址，有助于提高網絡運行效率，減少故障的發生。建議管理員創建IP關系表和IP登記表，作為基礎網絡管理工具。

表3：IP信息管理表

由于設備信息相對固定，應制作與IP信息表對應的設備信息表：（附后）

除表格外，還可以考慮制作IP拓撲信息圖，可以十分清晰直觀顯示整個網絡的IP流向：（附后）

表4：設備信息單

圖1：IP關系拓撲示意圖

網絡管理員必須綜合整理園區網絡IP框架，建立完善的IP數據表，結合網絡拓撲，才能在發生網絡故障時快速定位。

四、路由策略

無論將網絡區分為幾個網段，負責各個網段聯通的關鍵設備是邊界路由，應當認真審核IP流動性需求，在路由端作出合理策略規劃。對多個交換機和路由組成的網絡，應考慮在交換區域引入STP協議，在路由區域配置RIP或OSPF區域，強化網絡容錯能力。

典型單區域OSPF配置如下：

R1（config）#routerospf1//啟動OSPF進程

R1（config-router）#router-id1.1.1.1//配置路由器ID

R1（config-router）#network172.16.1.00.0.0.255area0 //通告直連網絡

R1（config-router）#network172.16.1.0255.255.255.0area0 //通告直連網絡

結語：學校園區網是組織信息化教學以及遠程學習的重要支撐，合理的IP分配和有效管理是維持網絡穩定運行的前提，網絡管理者應當對本地網絡保持深刻理解和全面掌控。作為工作經驗的總結，筆者希望通過本文拋磚引玉，提供IP管理的一些經驗和原則，謹與同行共同交流。

［1］陳濤局域網IP管理系統設計，［J］.交通與計算機1999（12），24

TP393

A

1008-7508（2015）11-0068-02

2015－06－19

林洋（1980－），山東牟平人，吉林廣播電視大學遠程教育技術中心講師，教育學碩士，主要研究方向為：遠程教育網絡體系建設及移動學習。