IP/VLAN规划是园区网设计实现的一项重要内容,不合理的规划会直接影响日后的管理维护。所谓IP / VLAN规划,就是为接入园区网的所有设备,包括交换机、路由器、防火墙、服务器、客户机、打印服务器等,分配一个惟一的IP地址,并为其指定适当的VLAN。
考虑到日后的扩展、维护等问题,园区网的IP/VLAN规划不仅应符合网络设计规范,还要有规律、易记忆,能反映园区网的特点。
园区网选用的主干技术、拓扑结构不同,IP/VLAN规划也会有所区别。本文主要针对在园区网建设中应用最广泛的“千兆以太网做主干+二级局域网络”方案,就其IP/VLAN规划需要考虑的问题进行讨论。
在进行园区网IP/VLAN规划前,绘制一幅准确的园区网拓扑图是不可缺少的。准确的网络文档对于日后的升级和分析问题很有帮助。图1所示,是一幅典型的园区网拓扑图。
1. 确定园区网-内网IP地址的类型
在分配IP地址前,应首先到有关部门申请IP地址。由于Internet上IP地址比较紧张,申请到的IP地址可能不够分配给内部网的每一个设备,这时就需对有限IP地址进行规划。
在申请的IP地址资源不足的情况下,可以为园区网-内网分配RFC1918中定义的非Internet连接的网络地址,也称为专用Internet地址。由Internet地址授权机构(IANA)控制的IP地址分配方案中,留出了三类网络地址,给不连到Internet上的专用网使用。
IANA保证这些网络号不会分配给连到Internet上的任何网络,因此任何人都可以自由地选择这些网络地址作为自己的私有网络地址。在申请的合法IP不足的情况下,园区网-内网可以采用私有IP地址的网络地址分配方案; 园区网-外网、DMZ区使用合法IP地址。
2. 规划主交换机端口VLAN 及网络设备IP
如图1所示,网络中的主交换机提供了到各楼宇二级交换机的连接,因此为主交换机的端口指定VLAN 是规划整个内部网的关键。
特别注意,由于1号楼、2号楼、3号楼除了有VLAN1、VLAN2、VLAN3的用户,都包含部分VLAN7用户,所以它们的千兆上联端口也都包含了VLAN7。
将网络中的主交换机、二级交换机都划到VLAN11,实现对网络设备安全、有效管理。
3. 规划虚拟局域网IP地址
在具有三层交换功能的园区网中,可以按照物理建筑划分虚拟局域网;也可以按职能部门划分虚拟局域网(VLAN),VLAN成员可以不受地理位置的限制。
VLAN划分分为两类,根据接入层交换机的端口划分称为静态VLAN,根据网卡的MAC地址划分称为动态VLAN。当园区网规模较大时,动态VLAN实现较为复杂,一般较少采用;应用最多的还是静态VLAN。为了方便日后的维护管理,VLAN与IP子网之间一般是一一对应的关系。
针对有些部门办公地点分散在几栋楼宇的情况,可以将对应楼宇交换机的指定端口统一划到一个指定VLAN。这正是使用VLAN技术的优势, 其成员不受地理位置的限制。
4.规划防火墙、路由器、服务器的IP地址
WWW/MAIL/DNS服务器、防火墙的DMZ网卡、防火墙的外网卡、路由器以太网口1、路由器以太网口2、路由器广域网口1应该使用从ISP申请到的合法IP。防火墙的DMZ区,如果需要可增加服务器。
5. 规划园区网内网用户的IP地址
规划完子网与VLAN,接下来就要考虑园区网用户IP的分配方式。
针对用户比较集中、信息点位置相对固定的情况,建议使用静态IP。这对于日后的管理、维护、故障排查非常重要,管理员可以根据IP地址迅速确定主机所在位置。使用静态IP,园区网用户与联接交换机的端口处于同一VLAN。为方便新的用户IP地址的分配,应做好现有用户IP地址的记录。
当用户变动较大,信息点数量无法准确计算时,建议使用动态IP。动态IP的优势在于方便用户使用,特别适合计算机基础较弱的用户群体。用户只需要将网络属性中的IP地址栏设成自动获取,用户的本机IP、缺省网关、DNS、WINS等关键信息,会自动从DHCP服务器中得到。
使用DHCP服务器可以大大减轻管理员的工作,但也会带来一些新的问题,例如:需要用一台主机提供DHCP服务;在上网计算机较多的情况下,如果DHCP服务器不稳定,会出现IP不能回收、IP发放不出去等问题。
6.园区网内网NAT实现
当园区网的IP / VLAN规划基本完成后,要采用网络地址转换(NAT)技术,即通过1 个或几个外部IP 地址来实现园区网-内网用户访问Internet。目前支持NAT的产品非常多,可以是软件,比如Winrouterpro、Sygate、Wingate、Winproxy 等;也可以是硬件,比如路由器、防火墙。