校園網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)中IP地址的規(guī)劃與管理

1、校園網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)中IP地址的規(guī)劃與管理作者：林冬梅 徐效美 日期 2006-10-24 21:17:40一、IP地址簡介1.1 IP地址的結(jié)構(gòu)IP地址是IP協(xié)議用來標(biāo)識(shí)網(wǎng)絡(luò)中主機(jī)、路由器和網(wǎng)關(guān)等設(shè)備的不同接 口。IP地址就相當(dāng)于網(wǎng)絡(luò)設(shè)備接口的身份證。從網(wǎng)絡(luò)的層次結(jié)構(gòu)考慮，一個(gè) IP地址必須指明兩點(diǎn)：屬于哪個(gè)網(wǎng)絡(luò)，是這個(gè)網(wǎng)絡(luò)中的哪臺(tái)主機(jī)，因此IP地址的結(jié)構(gòu)為“網(wǎng)絡(luò)號(hào)+主機(jī)號(hào)”，其網(wǎng)絡(luò)地址和主機(jī)地址的位數(shù)因網(wǎng)絡(luò)的 規(guī)模大小而不同。1.2 IP地址的類別目前正在使用的IP協(xié)議版本是1981年9月制定的IPv40 IPv4規(guī)定IP 地址用32位二進(jìn)制數(shù)表示。為了便于讀寫，采用點(diǎn)分十進(jìn)制數(shù)表示法，即2 1

2、1.161.48.151 的形式。1.3子網(wǎng)與子網(wǎng)掩碼為了提高IP地址的使用效率，人們將二級(jí)結(jié)構(gòu)中的主機(jī)號(hào)部分進(jìn)一步 劃分為子網(wǎng)號(hào)和主機(jī)號(hào)，IP地址的結(jié)構(gòu)便變成了 “網(wǎng)絡(luò)號(hào)+子網(wǎng)號(hào)+主機(jī)號(hào)” 的三級(jí)結(jié)構(gòu)。這樣就使得IP地址有了一定的內(nèi)部層次結(jié)構(gòu)，這種層次結(jié)構(gòu) 便于IP地址的分配和管理。同一網(wǎng)絡(luò)中的不同子網(wǎng)用子網(wǎng)掩碼來劃分，子網(wǎng)掩碼（mask）是將IP地址中對(duì)應(yīng)網(wǎng)絡(luò)標(biāo)識(shí)碼的各位取I,對(duì)應(yīng)主機(jī)標(biāo)識(shí)碼的各位取 0而得到的。如果 兩臺(tái)主機(jī)的IP地址和子網(wǎng)掩碼的“與”的結(jié)果相同，則這兩臺(tái)主機(jī)是在同 一個(gè)子網(wǎng)中。在沒有劃分子網(wǎng)時(shí),A、B、C三類網(wǎng)絡(luò)其默認(rèn)的子網(wǎng)掩碼分別 為255.0.0.0, 255.25

3、5.0.0, 255.255.255.（1在作IP地址規(guī)劃時(shí)往往需要設(shè)置 子網(wǎng)，如果將一個(gè)網(wǎng)絡(luò)的主機(jī)號(hào)部分拿出n位用做子網(wǎng)地址，可以將原來的網(wǎng)絡(luò)劃分為2n個(gè)子網(wǎng)，這些子網(wǎng)的大小都是相同的。采用可變長子網(wǎng)掩碼（V LSM ）分配機(jī)制，可將網(wǎng)絡(luò)劃分成不同大小的子網(wǎng)，為單位節(jié)省大量的IP地 址空間。1.4 NAT地址轉(zhuǎn)換NAT（地址轉(zhuǎn)換）就是把在內(nèi)部網(wǎng)絡(luò)中使用的 IP地址轉(zhuǎn)換成外部網(wǎng)絡(luò)中 使用的IP地址，把不可路由的IP地址轉(zhuǎn)化成可路由的IP地址，對(duì)外部網(wǎng) 絡(luò)隱蔽內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)。通過 NAT可以節(jié)省NIC注冊的IP地址。內(nèi)部地址是因特網(wǎng)地址分配組織規(guī)定的以下三類網(wǎng)絡(luò)地址（又叫保留地址或私有地址）：1

4、0.0.0.0-10.255.255.255172.16.0.0-172.31.255.255192.168.0.0-192.168.255.255這3個(gè)網(wǎng)絡(luò)的地址不會(huì)在英特網(wǎng)上被分配，任何一個(gè)局域網(wǎng)都可以使用。 使用私有網(wǎng)絡(luò)地址的主機(jī)與互聯(lián)網(wǎng)上的主機(jī)通信時(shí)，要通過地址轉(zhuǎn)換技術(shù)， 將私有地址轉(zhuǎn)換成公有地址。NAT應(yīng)用有三種方式：靜態(tài)NAT（static NAT）、動(dòng)態(tài)NAT（pooled NAT） 和PAT （端口復(fù)用NAT。靜態(tài)NAT是采用固定分配的方法映射內(nèi)部網(wǎng)絡(luò)的 和外部網(wǎng)絡(luò)的IP地址。動(dòng)態(tài)NAT則是采用動(dòng)態(tài)分配的方法映射內(nèi)部網(wǎng)絡(luò)的 和外部網(wǎng)絡(luò)的IP地址。PAT則是把多個(gè)內(nèi)部網(wǎng)絡(luò)IP地址

5、映射到外部網(wǎng)絡(luò)的 同一個(gè)IP地址的不同端口上。二、校園網(wǎng)IP地址的規(guī)劃IP地址的規(guī)劃常常是校園網(wǎng)絡(luò)設(shè)計(jì)過程中的一個(gè)很重要的環(huán)節(jié)。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到 網(wǎng)絡(luò)的擴(kuò)展及網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。2.1 IP地址的分配原則IP地址空間分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)， 既要有效地利用地址 空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)要能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表的長度，減少對(duì)路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時(shí)還 要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時(shí)

6、要遵循以下原則：*唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址*簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表項(xiàng)連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路由表聚類，大大縮減 路由表，提高路由算法的效率可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí) 能保證地址聚合所需的連續(xù)性.靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分 利用地址空間。2.2 IP地址分配方案校園網(wǎng)IP地址包括從cernet中心申請公用地址、內(nèi)部地址及由從 China Net申請的少量的公網(wǎng)IP地址。其中由ChinaNet申請的少量的公網(wǎng)IP地址 主要作為接入電信公網(wǎng)和部

7、分關(guān)鍵的服務(wù)器出口備份，因此IP地址的規(guī)劃主要針對(duì)前兩種。（1）公有IP地址的分配這里的公有地址也叫實(shí)地址（又叫合法地址），即是從Cernet申請的多個(gè) C類IP地址，作為和國際互聯(lián)網(wǎng)互連的地址， 域名xxx. edu. cn就解析在這 片地址上。在對(duì)校園網(wǎng)實(shí)IP地址進(jìn)行分配時(shí)，要本著節(jié)約的原則，合理分 配，充分利用。首先確定實(shí)IP的使用者。如網(wǎng)絡(luò)中心的服務(wù)器及工作人員用機(jī)，校內(nèi) 的科研人員、重點(diǎn)學(xué)科和重點(diǎn)實(shí)驗(yàn)室等。IP地址的分配可按單位及區(qū)域進(jìn)行分配。對(duì)需要的IP地址多且發(fā)展?jié)摿Υ蟮膯挝豢蔀槠浞峙湟粋€(gè)獨(dú)立的 C類地址，對(duì)那些只需少量地址可按地理 位置等，讓幾個(gè)單位共用一個(gè)C類地址，為了便于管

8、理，可將一個(gè)C類地址 子網(wǎng)化，但子網(wǎng)的數(shù)量不宜過多，因?yàn)樽泳W(wǎng)化是以犧牲部分IP地址為代價(jià)的。私有IP地址的分配在作網(wǎng)絡(luò)規(guī)劃時(shí)，應(yīng)先設(shè)計(jì)網(wǎng)絡(luò)的私有部分。原則上所有的內(nèi)部連接都 應(yīng)使用私有地址空間，（尤其是學(xué)生機(jī)房、網(wǎng)絡(luò)教室等主要使用校內(nèi)資源） 然后在需要的地方設(shè)計(jì)公有子網(wǎng)并設(shè)計(jì)外部連接。這樣，當(dāng)網(wǎng)內(nèi)某臺(tái)主機(jī)地 址發(fā)生了變化時(shí)，僅對(duì)這臺(tái)主機(jī)重新編址并安裝所需的物理子網(wǎng)即可。三類 私有IP地址，任何局域網(wǎng)都可使用，具體使用哪一類，視網(wǎng)絡(luò)規(guī)模而定。如果要通過劃分子網(wǎng)來管理，用 24 位的私有地址空間較合適，在進(jìn)行子網(wǎng) 劃分時(shí)要充分考慮到網(wǎng)絡(luò)的擴(kuò)展。 若子網(wǎng)化有困難， 可以 C 為單位， 分片劃 分IP

9、。為了便于路由的聚合，在地址的分配上應(yīng)使用連續(xù)的 C類地址。使用 這部分地址的用戶要和國際互聯(lián)網(wǎng)發(fā)生聯(lián)系，須采用 NAT 轉(zhuǎn)換技術(shù)將內(nèi)部 地址轉(zhuǎn)換成外部地址。三 IP 地址的管理3.1 IP 地址管理的任務(wù)及常見的問題IP地址管理包括對(duì)IP地址段的分配使用情況進(jìn)行管理；對(duì)已分配IP地址 的基本信息進(jìn)行管理 ;詳細(xì)記錄 IP 地址的封鎖 /解封鎖情況，地址分配及變更 的歷史記錄等，還要保證網(wǎng)絡(luò)的正常運(yùn)行。IP 網(wǎng)絡(luò)運(yùn)行過程中， 最常引起網(wǎng)絡(luò)故障的原因之一是 IP 地址沖突問題 .。 造成 IP 地址沖突的原因：一是管理員由于工作疏忽分配了重復(fù)的 IP 地址； 二是由于使用靜態(tài)分配 IP 地址策略

10、，用戶在進(jìn)行客戶端配置時(shí)，有意或無 意地盜用了別人的 IP。3.2 常見 IP 地址管理策略(1) 由管理員為上網(wǎng)用戶分配 IP 地址，并靜態(tài)維護(hù) IP 地址分配表；(2) 動(dòng)態(tài)地址分配策略DHCP 協(xié)議動(dòng)態(tài)分配技術(shù)是目前高校校園網(wǎng)中最常見的 IP 地址分配及 管理技術(shù)之一。動(dòng)態(tài)分配可以節(jié)省 IP 地址，方便用戶的接入操作，同時(shí)也 可減輕網(wǎng)管員管理 IP 地址的負(fù)擔(dān) (勿需配置客戶端 )。但由于動(dòng)態(tài)分配 IP 地 址的隨機(jī)性和不確定性，網(wǎng)絡(luò)的安全管理將變得困難。(3) IP 和 MAC 地址綁定對(duì)于靜態(tài)修改 IP 地址的問題，現(xiàn)在很多院校都采用靜態(tài)路由技術(shù)加以 解決,即在路由器或三層交換機(jī)上的

11、 ARP表里將合法用戶的IP地址和網(wǎng)卡的 MAC地址進(jìn)行綁定.針對(duì)靜態(tài)路由技術(shù)，IP盜用者又采取了成對(duì)修改IP-MA C 地址的方法。針對(duì)這種情況，針對(duì)這種情況，我們可以使用交換機(jī)端口的 單地址工作模式，將交換機(jī)的端口和本機(jī)MAC地址綁定，這樣即使成對(duì)地 盜用IP地址與MAC地址也無法訪問網(wǎng)絡(luò)。(4) 子網(wǎng)與虛擬子網(wǎng)管理。通過合理的子網(wǎng)及虛擬子網(wǎng) VLAN 的劃分，使得 IP 盜用即使發(fā)生，也 被局限在一個(gè)小的范圍 ,便于管理員定位查找。(5) 基于用戶認(rèn)證的管理方案 用戶認(rèn)證是用于解決系統(tǒng)內(nèi)部的用戶管理和用戶安全問題的一個(gè)手段。 基于用戶認(rèn)證的管理方案要求用戶必須有一個(gè)合法的用戶名和密碼，

12、用戶上 網(wǎng)前需提供合法的用戶名及相應(yīng)密碼， 其對(duì) IP 地址的管理是通過 IP 與用戶 名和密碼綁定來實(shí)現(xiàn)的這首先杜絕了非法用戶進(jìn)入網(wǎng)絡(luò)并使用網(wǎng)絡(luò)資源， 其 次當(dāng)網(wǎng)絡(luò)出現(xiàn)問題時(shí)， 可以及時(shí)查找到相應(yīng)的用戶， 并通知該用戶解決問題， 這大大提高了網(wǎng)絡(luò)管理和維護(hù)的水平。(6) 防火墻與代理服務(wù)器管理 使用防火墻與代理服務(wù)器相結(jié)合，既能解決 IP 地址緊缺問題，也能較 好地解決 IP 地址盜用問題。通過防火墻提供的 NAT 技術(shù)，使多個(gè)內(nèi)部 IP 地址共享一個(gè)外部IP地址，可以更有效地利用IP地址資源。通過代理服務(wù) 器訪問外部網(wǎng)絡(luò)，將 IP 防盜放到應(yīng)用層來解決，變 IP 管理為用戶身份和口 令的管理，由于沒有合法的身份，盜用的 IP 地址只能在子網(wǎng)內(nèi)使用， IP 盜 用便沒有意義。(7) 集成化的管理方案 隨著校園網(wǎng)規(guī)模的不斷擴(kuò)大，接入用戶的不斷增加，單一的管理策略是 遠(yuǎn)遠(yuǎn)不夠的。如何更有效地實(shí)現(xiàn)校園網(wǎng)內(nèi) IP 地址的分配與管理 ,才能符合最 新的互聯(lián)網(wǎng)IP地址備案管理辦法的要求？首先，有效的 IP 地址分配是高效管理的基礎(chǔ)。集成化的管理方案即是 將 IP 資源管理與園區(qū)網(wǎng)絡(luò)管理服務(wù)相整合，解決校園網(wǎng)管理中遇到的各種 問題，提高管理效率。通過該方案開發(fā)出適合本校園網(wǎng)的先進(jìn)的網(wǎng)絡(luò)管理系 統(tǒng)。該系統(tǒng)應(yīng)集管