1. IP 地址规划原则
目前集团的 IP 地址欠缺统一规划,存在分配不合理和不连续情况,极大增加网络运维和系统运维的难度。缺乏 IP 地址分配和回收的管理机制,容易造成 IP 地址冲突。不同业务混合在一个 VLAN 地址段,不同安全域的 IP 地址范围没有关联规律,比较杂乱,不好记忆,缺乏 IP 指导规范。需要对 IP 地址管理进行梳理和规范。新 IP 地址规划原则如下:
| 新的地址规划将兼容现有的集团地址空间分配原则,同时也会对一些功能模块做一些合并,在地址不冲突的原则下为新数据中心规划需要的 IP 地址。 |
| IP 地址的分配空间符合 RFC1918 的标准规定。 |
| 网络地址在功能、容量、覆盖能力等各方面具有易扩展能力,以适应快速的业务发展对基础架构的要求。 |
| 由于目前私有地址空间对于业务规模(考虑未来业务发展)仍较充裕。因此在考虑战略预留空间的前提下, 对服务器及用户地 址可以选择最小按 24 位掩码这样易操作管理,易识别的地址分配。 |
| 在网络规模扩展时能保证地址汇总所需的连续性。网络地址空间划分采用分层、分级结构化方法,按业务类型、专业公司及地域划分连续地址,易于进行路由汇总。 |
2 Vlan 分配原则
为了有利于 VLAN 的统一管理和维护。数据中心 VLAN 规划有两种方式:
(1) VLAN ID 终结在每个安全区内,复用 VLAN 编号,减少 VLAN 地址的分配和简化管理。
(2) 按照顺序规划 VLAN 编号,整个数据中心 VLAN 编号不复用,各安全区VLAN 编号唯一。在现有数据中心 VLAN 数量使用量不是很大的情况下,建议采用第二种方式,即采用全网 VLAN 编号唯一的方式进行分配。VLAN 划分,需遵循以下原则:
⚫ 避免使用 VLAN 1;
⚫ 基于网络的功能分区划分 VLAN 范围,考虑到今后的数据中心迁移,功能分区 VLAN ID 允许复用;
⚫ 对于每个功能区内部,再基于不同的用途进一步划分 VLAN;
⚫ 不使用 VLAN 动态注册协议,便于对 VLAN 定义进行控制;
⚫ VTP 使用透明模式;
⚫ 网络设备上只定义需要使用的 VLAN;
⚫ 尽可能避免使用 VLAN ID 为 1000 以后的 VLAN;
⚫ 简要的 VLAN 命名描述区分承载的不同业务类型。
3 IP 地址和 VLAN 分配示范
在不同地点使用统一标准,能够简化网络维护和故障排除工作。建议用户将根据如下分类和建议制定 IP 地址规划标准:
⚫ 管理域: 二层设备使用 VLANIF 地址作为管理 IP,建议网关下的所有二层交换机使用同一网段;三层设备建议使用 Loopback 地址作为管理 IP, Loopback地址掩码统一为 32 位;堆叠或集群系统建议预留两个管理 IP 以方便其灵活选择。
⚫ 通道域: 通道域是指两台网络设备相互连接的接口所需要的地址。互联地址务必使用 30 位掩码的地址。其中层次较高的设备采用较小 IP,层次较低的设备采用较大 IP。同层设备互联时,编号较小的设备采用较小的 IP 地址,编号较
大的设备采用较大的 IP 地址。互联地址通常要聚合后发布,在规划时要充分
考虑使用连续的可聚合地址。
⚫ 服务域: 服务域是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址,业务地址规划时所有的网关地址统一使用相同的数字,如: .1 都是表示网关,如果网关地址采用 VRRP/HSRP 技术, VRRP/HSRP 虚拟地址使用该网段中的最小 IP 地址,两个 VRRP/HSRP 物理地址从虚拟 IP 地址顺序递增(分别为.2 和.3)。每一类子业务的地址范围要清晰区分,每一类子业务的服务器和客户端的地址范围也要清晰区分。每一类业务终端地址连续,可聚合。考虑广播域范围及规划的简易程度,建议为每个业务地址段预留掩码为 24 位的地址段,服务器地址分配建议按需预留部分地址,然后按照用户习惯按序分配。
IPv4 的 IP 地址格式为 32 位( 4 字节)的二进制编码方式,建议用户通过评估用户和服务器需求,在 RFC 1918 定义的私网地址中确定使用哪个地址空间。该私网地址空间在互联网不可路由, RFC 1918 包含以下三个 IP 地址空间块:
⚫ 10.0.0.0–10.255.255.255( 10.0.0.0/8),它具有极大的灵活性,可以根据需要使用 255 个 B 类地址空间;
⚫ 172.16.0.0–172.31.255.255( 172.16.0.0/12),其允许 16 ClassB 地址空间;
⚫ 192.168.0.0–192.168.255.255( 192.168.0.0/16),其允许使用 B 类地址 空间许多网络设备厂商为消费者设备和家用设备使用 192.168.0.0 地址范围。 该地址范围的可用地址数目最少,只有一个/16 子网,会很快被发展中企业用尽。此外,因为许多企业使用这个地址范围,所以如果发生企业合并,出现地址重叠的可能性极大。 172.16.0.0/12 地址范围较大,相当于 16 个/16 网络,能够满足大多数大中型企业的网络需要。而且,消费者设备也相对较少使用 172 .16 .0 .0/12 地址范围,从而降低了地址重叠或重复的可能性。 10.0.0.0/8 地址范围是最大的,除了最大的企业之外,其它所有企业都能轻松地将整个网络部署在此范围之内。鉴于上述私有地址空间特性,建议数据中心选用多个 A 类地址空间;各级分支机构、子公司与海外分支机构可按需分配一个或多个 B 类子网地址空间;各功能区均使用 C 类子网作为基本的 IP 地址使用单元,即每个 VLAN 都按照 1 个 C类子网进行分配。
示例如下:
| 区域 | 范围 | 子网 | 子网数 |
| 互联网接入区 | 100~129 | 10.1.0.0/24~10.1.29.0/24 | 30 |
| 广域网接入区 | 130~149 | 10.1.30.0/24~10.1.49.0/24 | 20 |
| 外联接入区 | 150~169 | 10.1.50.0/24~10.1.69.0/24 | 20 |