English

【乾貨】組建園區無線局域網時如何規劃設計IP以及VLAN?

2018-08-01

IP/VLAN規劃是園區局域網設計實現的一項重要內容,不合理的規劃會直接影響日後的網絡管理維護。所謂IP / VLAN規劃,就是爲接入園區網的所有設備,包括交換機、路由器、防火牆、服務器、客戶機、打印服務器等,分配一個惟一的IP地址,併爲其指定適當的VLAN。考慮到日後的擴展、維護等問題,園區網的IP/VLAN規劃不僅應符合網絡設計規範,還要有規律、易記憶,能反映園區網的特點。


園區網選用的主幹技術、拓撲結構不同,IP/VLAN規劃也會有所區別。本文主要針對在園區網建設中應用比較廣泛的網絡拓撲就其IP/VLAN規劃需要考慮的問題進行討論。


在進行園區網IP/VLAN規劃前,繪製一幅準確的園區網拓撲圖是不可缺少的。準確的網絡文檔對於日後的升級和分析問題很有幫助。圖1所示,是一幅典型的園區網拓撲圖。


大型園區網網絡結構設計規劃拓撲圖


1. 確定園區網-內網IP地址的類型

現在園區網建設中IP地址規劃均採用私有地址進行設計,即由Internet地址授權機構(IANA)爲園區網-內網分配RFC1918中定義的非Internet連接的網絡地址,留出了三類網絡地址,給不連到Internet上的專用網使用。園區網-內網可以採用私有IP地址的網絡地址分配方案; 園區網-外網、DMZ區使用合法互聯網IP地址。


網絡主機比較多即網絡人數比較多大型網絡可以採用172和10網段地址,如果是網絡較小的可以採用192.168網段的地址進行規劃。


不同用網規模的園區網IP網段設計


2. 規劃主交換機端口VLAN 及網絡設備IP

如圖1所示,網絡中的主交換機提供了到各樓宇二級交換機的連接,因此爲主交換機的端口指定VLAN 是規劃整個內部網的關鍵。


特別注意,由於A號樓、B號樓、C號樓除了有VLAN1、VLAN2、VLAN3的用戶,都包含部分VLAN7用戶,所以它們的千兆上聯端口也都包含了VLAN7(舉例)。


將網絡中的主交換機、二級交換機都劃到VLAN11,實現對網絡設備安全、有效管理。

3. 規劃虛擬局域網IP地址

在具有三層交換功能的園區網中,可以按照物理建築劃分虛擬局域網;也可以按職能部門劃分虛擬局域網(VLAN),VLAN成員可以不受地理位置的限制。


園區網不同部門VLAN劃分


VLAN劃分分爲兩類,根據接入層交換機的端口劃分稱爲靜態VLAN,根據網卡的MAC地址劃分稱爲動態VLAN。當園區網規模較大時,動態VLAN實現較爲複雜,一般較少採用;應用最多的還是靜態VLAN。爲了方便日後的維護管理,VLAN與IP子網之間一般是一一對應的關係。


針對有些部門辦公地點分散在幾棟樓宇的情況,可以將對應樓宇交換機的指定端口統一劃到一個指定VLAN。這正是使用VLAN技術的優勢, 其成員不受地理位置的限制。


園區網不同部門IP網段規劃


4.規劃防火牆、路由器、服務器的IP地址

WWW/MAIL/DNS服務器、防火牆的DMZ網卡、防火牆的外網卡、路由器以太網口1、路由器以太網口2、路由器廣域網口1應該使用從ISP申請到的合法IP。防火牆的DMZ區,如果需要可增加服務器。

5. 規劃園區網內網用戶的IP地址

規劃完子網與VLAN,接下來就要考慮園區網用戶IP的分配方式。

針對用戶比較集中、信息點位置相對固定的情況,建議使用靜態IP。這對於日後的管理、維護、故障排查非常重要,管理員可以根據IP地址迅速確定主機所在位置。使用靜態IP,園區網用戶與聯接交換機的端口處於同一VLAN。爲方便新的用戶IP地址的分配,應做好現有用戶IP地址的記錄。


當用戶變動較大,信息點數量無法準確計算時,建議使用動態IP。動態IP的優勢在於方便用戶使用,特別適合計算機基礎較弱的用戶羣體。用戶只需要將網絡屬性中的IP地址欄設成自動獲取,用戶的本機IP、缺省網關、DNS、WINS等關鍵信息,會自動從DHCP服務器中得到。


使用DHCP服務器可以大大減輕管理員的工作,但也會帶來一些新的問題,例如:需要用一臺主機提供DHCP服務;在上網計算機較多的情況下,如果DHCP服務器不穩定,會出現IP不能回收、IP發放不出去等問題。

6.園區網內網NAT實現

當園區網的IP / VLAN規劃基本完成後,要採用網絡地址轉換(NAT)技術,即通過1 個或幾個外部IP 地址來實現園區網-內網用戶訪問Internet。目前支持NAT的產品非常多,可以是軟件,比如Winrouterpro、Sygate、Wingate、Winproxy 等;也可以是硬件,比如路由器、防火牆,目前園區網中以硬件產品爲主。

返回頂部
隱藏或顯示