ip地址规划
实例
赖冠霖开微博给定一个IP地址范围:192.168.10.0/24
环境:N个局域网(Vlan),网络设备
我是这样划分的:
首先把给定IP地址掩码改为/27,把给定IP分为几个IP范围;然后局域网IP地址从前面取,也就是说第一个局域网ip地址为192.168.10.32/27;然后把最后一段,也就是192.168.10.124/27给做设备互连地址用,再在192.168.10.124/27的基础上化为/30的掩码;中间的地址做保留。
驻地网用户IP地址规划
的问题。宽带驻地网前期建设只是发展用户必然而初步的基础,宽带运营商在逐步转入网络建设、运营阶段的过程中,IP地址规划、分配、使用是一项重要工作,尤其是对那些大运营商,由于建设地域范围广泛,市场发展进度各不相同,前期规划、管理工作就显得更加重要。大家知道,合法IP地址资源比较紧缺。IP地址规划直接影响网络运营、网络地址管理工作。宽带运营商要作好网络地址规划,充分利用合法IP地址和私有IP地址。
本文目的就是探讨宽带运营商合理使用IP地址的总体规划和使用管理方案。
二、宽带网络概况
宽带驻地网的接入依托于宽带城域网和全国宽带骨干网的发展。对于驻地网运营商来说,可以与具备这些资源的宽带网络运营商合作,也可以选择租用恰当的城市内和城际间的线路资源,把驻地网互联,再统一接入Internet。采用哪种模式,要考虑具体资源情况、市场规模、网络建设投入等因素。但不管采用何种模式,对于驻地网运营商来说,保持网络的独立性,灵活性、可管理性都是要考虑的问题。
宽带运营商相对于传统运营商(服务于拨号用户)具有不同特点:一是宽带用户可能长时间在线,需要长时间占用IP地址,而大部分窄带拨号用户通过随机动态分配得到IP地址,短时间使用;二是宽带驻地网,带有鲜明的网络层次,可以在不同的网络层次下,开展各具特的运
本文目的就是探讨宽带运营商合理使用IP地址的总体规划和使用管理方案。
二、宽带网络概况
宽带驻地网的接入依托于宽带城域网和全国宽带骨干网的发展。对于驻地网运营商来说,可以与具备这些资源的宽带网络运营商合作,也可以选择租用恰当的城市内和城际间的线路资源,把驻地网互联,再统一接入Internet。采用哪种模式,要考虑具体资源情况、市场规模、网络建设投入等因素。但不管采用何种模式,对于驻地网运营商来说,保持网络的独立性,灵活性、可管理性都是要考虑的问题。
宽带运营商相对于传统运营商(服务于拨号用户)具有不同特点:一是宽带用户可能长时间在线,需要长时间占用IP地址,而大部分窄带拨号用户通过随机动态分配得到IP地址,短时间使用;二是宽带驻地网,带有鲜明的网络层次,可以在不同的网络层次下,开展各具特的运
营服务。运营商可以实现对于不同IP地址类型用户提供不同访问资源服务。
三、IP地址规划原则
使用IP地址的宽带用户主要分为社区家庭用户、商业用户。另外,组建网络的网络设备和提供服务的服务器设备等基础设施也需要分配IP地址。
IP地址规划对任何运营商网络的可扩展性和稳定性都是非常重要的。我们在制定整个网络IP地址规划时,一般要考虑以下几点:
1)从全局角度考虑制订规划方案。
2)制定恰当的私有地址使用方案。
3)根据需求和环境,IP资源的规划要制定恰当的预留策略,以便将来的发展。
4)用户和基础设施的IP地址块要分开。用户和基础设施的IP地址块分开更易于管理,
5)合理规划地址空间,尽可能的提高地址使用率。APNIC规定合法IP地址使用率达到80%,运营商才可以申请新的IP地址。
6)根据市场用户细分,要制定恰当的地址作用域细分方案,以满足市场需要。
7)制定有利于路由汇总的划分策略。
四、IP地址作用域划分和说明
三、IP地址规划原则
使用IP地址的宽带用户主要分为社区家庭用户、商业用户。另外,组建网络的网络设备和提供服务的服务器设备等基础设施也需要分配IP地址。
IP地址规划对任何运营商网络的可扩展性和稳定性都是非常重要的。我们在制定整个网络IP地址规划时,一般要考虑以下几点:
1)从全局角度考虑制订规划方案。
2)制定恰当的私有地址使用方案。
3)根据需求和环境,IP资源的规划要制定恰当的预留策略,以便将来的发展。
4)用户和基础设施的IP地址块要分开。用户和基础设施的IP地址块分开更易于管理,
5)合理规划地址空间,尽可能的提高地址使用率。APNIC规定合法IP地址使用率达到80%,运营商才可以申请新的IP地址。
6)根据市场用户细分,要制定恰当的地址作用域细分方案,以满足市场需要。
7)制定有利于路由汇总的划分策略。
四、IP地址作用域划分和说明
根据宽带运营商网络结构和业务提供范围,我们可以将IP地址划分为Internet网、宽带运营商全网、宽带运营商城市和宽带运营商社区作用域,IP地址作用域划分如下表1:
表1、IP地址作用域划分表
各类IP地址作用域生效方法描述:
■ Internet网作用域
该作用域采用合法IP地址,将参与城域网络内的OSPF路由和骨干网络的BGP路由,并在宽带运营商的几个Internet出口广播。
宽带运营商第一次分配一个合法IP地址段时,可以考虑把用户和基础设施IP地址从两头往中间划分,如图1所示:
在第二次分配一个合法IP地址段时,如果两段IP地址相邻,宽带运营商可以按照相反方向划分用户和基础设施IP地址。
■ 宽带运营商全网作用域
该作用域采用私有IP地址,将参与城域网络内OSPF路由和骨干网络的BGP路由,但不在宽带运营商的几个Internet出口广播。
宽带运营商对于私有IP地址划分较为从容。按照RFC1918文件的规定,有1个A类、16个B类
表1、IP地址作用域划分表
各类IP地址作用域生效方法描述:
■ Internet网作用域
该作用域采用合法IP地址,将参与城域网络内的OSPF路由和骨干网络的BGP路由,并在宽带运营商的几个Internet出口广播。
宽带运营商第一次分配一个合法IP地址段时,可以考虑把用户和基础设施IP地址从两头往中间划分,如图1所示:
在第二次分配一个合法IP地址段时,如果两段IP地址相邻,宽带运营商可以按照相反方向划分用户和基础设施IP地址。
■ 宽带运营商全网作用域
该作用域采用私有IP地址,将参与城域网络内OSPF路由和骨干网络的BGP路由,但不在宽带运营商的几个Internet出口广播。
宽带运营商对于私有IP地址划分较为从容。按照RFC1918文件的规定,有1个A类、16个B类
、256个C类地址可用作私有IP地址。宽带运营商可以根据地址类型、用户数量、路由汇总等因素,划分全网、城市、社区作用域IP地址。
■ 宽带运营商城市作用域
该作用域采用私有IP地址,参与城域网络内OSPF路由,但不参与骨干网络的BGP路由。
■ 宽带运营商社区作用域
该作用域采用私有IP地址,不参与城域网络内的OSPF路由和骨干网络的BGP路由。如果该作用域采用私有IP地址,该地址作用域的性质与企业内网地址作用域是一样的,不通过NAT设备是不能访问Internet网网络资源的。
用户具有不同类型作用域的IP地址,对资源的访问权限是不同的,如用户有一个城市作用域IP地址,该用户可以访问所在社区资源和所在城市资源。表2表示各作用域IP地址与访问资源之间的关系。
表2、IP地址作用域与访问资源关系表
网络IP地址作用域可以用图3表示:
宽带运营商按照表2实现对用户的分类服务,通过给用户分配不同类型的IP地址,规定不同类型IP地址用户可访问不同网络资源,从而对用户进行细分。可访问网络资源分为Internet网
■ 宽带运营商城市作用域
该作用域采用私有IP地址,参与城域网络内OSPF路由,但不参与骨干网络的BGP路由。
■ 宽带运营商社区作用域
该作用域采用私有IP地址,不参与城域网络内的OSPF路由和骨干网络的BGP路由。如果该作用域采用私有IP地址,该地址作用域的性质与企业内网地址作用域是一样的,不通过NAT设备是不能访问Internet网网络资源的。
用户具有不同类型作用域的IP地址,对资源的访问权限是不同的,如用户有一个城市作用域IP地址,该用户可以访问所在社区资源和所在城市资源。表2表示各作用域IP地址与访问资源之间的关系。
表2、IP地址作用域与访问资源关系表
网络IP地址作用域可以用图3表示:
宽带运营商按照表2实现对用户的分类服务,通过给用户分配不同类型的IP地址,规定不同类型IP地址用户可访问不同网络资源,从而对用户进行细分。可访问网络资源分为Internet网
资源、国内网资源、城域网资源、社区网资源。宽带运营商可以通过IP地址分配,对用户提供不同的资源服务范围,如用户只访问国内中文资源、不访问国际Internet网资源等。
五、IP地址分配使用方案
根据上面IP地址类型,通过分配给用户不同种类的地址,使用户能访问不同范围的网络资源,如Internet网、全国骨干网络、本地城域网、社区网的网络资源,以配合用户市场细分的实现。
设备接口、用户地址在合法地址充足的情况下,尽量采用合法地址。根据业务需要,我们可以为用户、社区设备网管地址和有特殊安全需要的服务器分配私有地址。
5.1、社区家庭用户地址
社区家庭用户地址分配使用如表3所示:
表3、社区家庭用户地址分配表
不同的地址类别对应用户可访问到不同区域的网络资源,这样我们为开展多种业务提供可能性,如:预开户业务、只访问社区网内资源业务、只访问城域内资源业务、只访问宽带运营商网内资源业务、只收发email业务等。
社区家庭用户地址采用宽带运营商综合服务器,根据用户账号、密码种类不同而授权、分配
五、IP地址分配使用方案
根据上面IP地址类型,通过分配给用户不同种类的地址,使用户能访问不同范围的网络资源,如Internet网、全国骨干网络、本地城域网、社区网的网络资源,以配合用户市场细分的实现。
设备接口、用户地址在合法地址充足的情况下,尽量采用合法地址。根据业务需要,我们可以为用户、社区设备网管地址和有特殊安全需要的服务器分配私有地址。
5.1、社区家庭用户地址
社区家庭用户地址分配使用如表3所示:
表3、社区家庭用户地址分配表
不同的地址类别对应用户可访问到不同区域的网络资源,这样我们为开展多种业务提供可能性,如:预开户业务、只访问社区网内资源业务、只访问城域内资源业务、只访问宽带运营商网内资源业务、只收发email业务等。
社区家庭用户地址采用宽带运营商综合服务器,根据用户账号、密码种类不同而授权、分配
用户不同种类作用域的地址。每个家庭可以拥有多套用户账号,为访问不同资源而使用。
5.2、商业用户地址
商业用户如企业接入城域网络,其接入方式要从地址分配、管理、用户隔离等多种角度与社区用户及其它商业用户独立。
最新抗日电视剧大全企业网分为企业内部网部分和外部网部分。内部网采用保留地址,推荐用户采用宽带运营商社区作用域地址,免去NAT配置转换的麻烦。外部网根据业务类型、用户业务需求,可以采用Internet网、宽带运营商全网、宽带运营商城市作用域地址。如果企业用户要求访问Internet网资源,则分配合法地址;如果仅仅开展城域VPN业务,则可以分配城域作用域地址。地址大小,可以依据用户需求,最小4个地址。对于网络是否划分子网,由用户需求确定。
在城域网与用户边界链路上,我们要采用路由注入方式,以免企业用户网与城域网间路由相互影响。
在企业外网上,企业可以设置NAT设备。内网用户通过NAT地址转换后,访问Internet。在企业外网上,企业可以设置VPN设备。二种方式,一是企业自己部署VPN设备;二是宽带运营商在用户侧部署VPN设备。
外网上可以部署其它设备,如外网服务器或工作站。外网功能,如接入路由、NAT、甚至VPN
5.2、商业用户地址
商业用户如企业接入城域网络,其接入方式要从地址分配、管理、用户隔离等多种角度与社区用户及其它商业用户独立。
最新抗日电视剧大全企业网分为企业内部网部分和外部网部分。内部网采用保留地址,推荐用户采用宽带运营商社区作用域地址,免去NAT配置转换的麻烦。外部网根据业务类型、用户业务需求,可以采用Internet网、宽带运营商全网、宽带运营商城市作用域地址。如果企业用户要求访问Internet网资源,则分配合法地址;如果仅仅开展城域VPN业务,则可以分配城域作用域地址。地址大小,可以依据用户需求,最小4个地址。对于网络是否划分子网,由用户需求确定。
在城域网与用户边界链路上,我们要采用路由注入方式,以免企业用户网与城域网间路由相互影响。
在企业外网上,企业可以设置NAT设备。内网用户通过NAT地址转换后,访问Internet。在企业外网上,企业可以设置VPN设备。二种方式,一是企业自己部署VPN设备;二是宽带运营商在用户侧部署VPN设备。
外网上可以部署其它设备,如外网服务器或工作站。外网功能,如接入路由、NAT、甚至VPN
都可以在一个设备上完成。
5.3、网络设备地址
根据网络设备地址类型、使用场合、功能需求,网络设备地址分配使用原则如表4所示:
表5、网络设备地址分配及作用域原则表
以上分配办法主要考虑到以下几个因素:
社区网网络设备网管地址采用私有地址最主要的好处是:采用私有地址,根据社区网络规模大小,一次设计到位,不存在网络工程调整问题。如果采用合法地址,子网大小要随社区上网用户数而做工程调整,会带来许多不便。
设备网管地址采用宽带运营商全网作用域地址或Internet网作用域地址,是为全程全网的网管所必需的。
5.4、服务器地址
宽带运营商部署服务器,根据服务提供服务对象和范围,可以采用不同类型的地址。宽带运营商控制所部署的服务器网络服务范围主要可以采用二种方式:
1、通过服务软件系统提供的访问控制实现。如web服务,该方式比较灵活,但会给系统带来一定的开销。有些服务系统软件尚未提供该功能。
5.3、网络设备地址
根据网络设备地址类型、使用场合、功能需求,网络设备地址分配使用原则如表4所示:
表5、网络设备地址分配及作用域原则表
以上分配办法主要考虑到以下几个因素:
社区网网络设备网管地址采用私有地址最主要的好处是:采用私有地址,根据社区网络规模大小,一次设计到位,不存在网络工程调整问题。如果采用合法地址,子网大小要随社区上网用户数而做工程调整,会带来许多不便。
设备网管地址采用宽带运营商全网作用域地址或Internet网作用域地址,是为全程全网的网管所必需的。
5.4、服务器地址
宽带运营商部署服务器,根据服务提供服务对象和范围,可以采用不同类型的地址。宽带运营商控制所部署的服务器网络服务范围主要可以采用二种方式:
1、通过服务软件系统提供的访问控制实现。如web服务,该方式比较灵活,但会给系统带来一定的开销。有些服务系统软件尚未提供该功能。
2、通过设置不同的作用域地址,严格限定服务器提供服务范围。有些系统服务器通过这种方法将加强系统安全性。
六、IP地址规划与增值业务
采用全网类型私有地址的用户可以不经过NAT,访问宽带运营商全网资源,因此在运营商全网内开展VoIP、视频会议、VOD等增值业务不会受到地址类型的影响。
如果需要跨不同运营商服务平台,最好采用合法地址类型;也可以搭建针对该业务的VPN;也可以通过应用层网关实现地址转换,这几种办法可以保证增值业务不会受影响。
七、安全方面的考虑
在驻地网网络地址规划、分配使用和管理中,我们要注意考虑以下几个与安全相关的问题:
1、通过对不同作用域地址的规划、分配使用,增强网络系统的安全性,如网络设备管理安全、服务器管理安全。
2、防止用户非法接入宽带运营商网络,主要通过二个环节,一个环节是防止物理接入,主要防止非法用户在物理线路上,通过非法级联或自行打开楼道机箱接入,非法完成物理接入。第二个环节是防止逻辑接入,主要指防止用户获取网络地址,访问网络资源。在第一个环节失效的情况下,第二个环节的安全措施,尤为重要。
六、IP地址规划与增值业务
采用全网类型私有地址的用户可以不经过NAT,访问宽带运营商全网资源,因此在运营商全网内开展VoIP、视频会议、VOD等增值业务不会受到地址类型的影响。
如果需要跨不同运营商服务平台,最好采用合法地址类型;也可以搭建针对该业务的VPN;也可以通过应用层网关实现地址转换,这几种办法可以保证增值业务不会受影响。
七、安全方面的考虑
在驻地网网络地址规划、分配使用和管理中,我们要注意考虑以下几个与安全相关的问题:
1、通过对不同作用域地址的规划、分配使用,增强网络系统的安全性,如网络设备管理安全、服务器管理安全。
2、防止用户非法接入宽带运营商网络,主要通过二个环节,一个环节是防止物理接入,主要防止非法用户在物理线路上,通过非法级联或自行打开楼道机箱接入,非法完成物理接入。第二个环节是防止逻辑接入,主要指防止用户获取网络地址,访问网络资源。在第一个环节失效的情况下,第二个环节的安全措施,尤为重要。
3、考虑代理服务器(proxy)带来的漏洞。当用户具备访问一定范围内的网络资源的能力后,可以通过代理服务器(proxy)来接入其他非法用户。目前在技术层面上,我们还没有好的办法进行防范和控制此类漏洞。
4、通过社区交换机PVLAN功能,使用户间的相互影响包括proxy的漏洞,隔离在社区;通过楼道交换机的PVLAN功能,使用同一楼道的用户间相互隔离,消除用户间的相互影响包括proxy的漏洞。
5、通过即将部署的综合接入控制服务器,实现通过DHCP授权分配IP地址,对非法用户实现访问控制。
6、第4,5条的结合,在当前的情况下可以防止社区网内代理服务器(proxy)带来的漏洞。但是如果我们分配给用户不同访问域的地址时,代理服务器(proxy)带来的漏洞用会出现新的情况。比如,为增加开展业务的灵活性,我们分配给一个试用用户在城域内的有效地址,那么这个用户就能访问城域内的所有资源,但同时也扩大了代理服务器(proxy)带来漏洞的范围。换句话说是,这样做增加了非法用户的种类和非法访问网络资源的途径和办法。关于由此带来的安全问题,我们可以采用的监测、防范和保护的手段有以下几条:
A.通过对用户进行大流量监测来发现不正常用户,主要是流量大、session数多等现象。
4、通过社区交换机PVLAN功能,使用户间的相互影响包括proxy的漏洞,隔离在社区;通过楼道交换机的PVLAN功能,使用同一楼道的用户间相互隔离,消除用户间的相互影响包括proxy的漏洞。
5、通过即将部署的综合接入控制服务器,实现通过DHCP授权分配IP地址,对非法用户实现访问控制。
6、第4,5条的结合,在当前的情况下可以防止社区网内代理服务器(proxy)带来的漏洞。但是如果我们分配给用户不同访问域的地址时,代理服务器(proxy)带来的漏洞用会出现新的情况。比如,为增加开展业务的灵活性,我们分配给一个试用用户在城域内的有效地址,那么这个用户就能访问城域内的所有资源,但同时也扩大了代理服务器(proxy)带来漏洞的范围。换句话说是,这样做增加了非法用户的种类和非法访问网络资源的途径和办法。关于由此带来的安全问题,我们可以采用的监测、防范和保护的手段有以下几条:
A.通过对用户进行大流量监测来发现不正常用户,主要是流量大、session数多等现象。
B.通过系统扫描,发现非法proxy服务。
C.通过让用户签网络使用协议,约定用户使用网络方式。
D.通过法律手段解决此问题。
口袋妖怪蓝宝石八、结束语
IP地址规划并不是一个新课题,但对于宽带运营商来说,由于大部分用户需要通过分配网络地址来完成接入,那么尽早、尽快作好网络地址规划对宽带运营商进入网络运营、网络管理阶段非常重要。一、引言
随着国家对驻地网的开放政策,驻地网的建设技术和管理模式,是每个网络运营商都实际面临的问题。宽带驻地网前期建设只是发展用户必然而初步的基础,宽带运营商在逐步转入网络建设、运营阶段的过程中,IP地址规划、分配、使用是一项重要工作,尤其是对那些大运营商,由于建设地域范围广泛,市场发展进度各不相同,前期规划、管理工作就显得更加重要。大家知道,合法IP地址资源比较紧缺。IP地址规划直接影响网络运营、网络地址管理工作。宽带运营商要作好网络地址规划,充分利用合法IP地址和私有IP地址。
本文目的就是探讨宽带运营商合理使用IP地址的总体规划和使用管理方案。
二、宽带网络概况
C.通过让用户签网络使用协议,约定用户使用网络方式。
D.通过法律手段解决此问题。
口袋妖怪蓝宝石八、结束语
IP地址规划并不是一个新课题,但对于宽带运营商来说,由于大部分用户需要通过分配网络地址来完成接入,那么尽早、尽快作好网络地址规划对宽带运营商进入网络运营、网络管理阶段非常重要。一、引言
随着国家对驻地网的开放政策,驻地网的建设技术和管理模式,是每个网络运营商都实际面临的问题。宽带驻地网前期建设只是发展用户必然而初步的基础,宽带运营商在逐步转入网络建设、运营阶段的过程中,IP地址规划、分配、使用是一项重要工作,尤其是对那些大运营商,由于建设地域范围广泛,市场发展进度各不相同,前期规划、管理工作就显得更加重要。大家知道,合法IP地址资源比较紧缺。IP地址规划直接影响网络运营、网络地址管理工作。宽带运营商要作好网络地址规划,充分利用合法IP地址和私有IP地址。
本文目的就是探讨宽带运营商合理使用IP地址的总体规划和使用管理方案。
二、宽带网络概况
宽带驻地网的接入依托于宽带城域网和全国宽带骨干网的发展。对于驻地网运营商来说,可以与具备这些资源的宽带网络运营商合作,也可以选择租用恰当的城市内和城际间的线路资源,把驻地网互联,再统一接入Internet。采用哪种模式,要考虑具体资源情况、市场规模、网络建设投入等因素。但不管采用何种模式,对于驻地网运营商来说,保持网络的独立性,灵活性、可管理性都是要考虑的问题。
宽带运营商相对于传统运营商(服务于拨号用户)具有不同特点:一是宽带用户可能长时间在线,需要长时间占用IP地址,而大部分窄带拨号用户通过随机动态分配得到IP地址,短时间使用;二是宽带驻地网,带有鲜明的网络层次,可以在不同的网络层次下,开展各具特的运营服务。运营商可以实现对于不同IP地址类型用户提供不同访问资源服务。
三、IP地址规划原则
使用IP地址的宽带用户主要分为社区家庭用户、商业用户。另外,组建网络的网络设备和提供服务的服务器设备等基础设施也需要分配IP地址。
IP地址规划对任何运营商网络的可扩展性和稳定性都是非常重要的。我们在制定整个网络IP地址规划时,一般要考虑以下几点:
1)从全局角度考虑制订规划方案。
宽带运营商相对于传统运营商(服务于拨号用户)具有不同特点:一是宽带用户可能长时间在线,需要长时间占用IP地址,而大部分窄带拨号用户通过随机动态分配得到IP地址,短时间使用;二是宽带驻地网,带有鲜明的网络层次,可以在不同的网络层次下,开展各具特的运营服务。运营商可以实现对于不同IP地址类型用户提供不同访问资源服务。
三、IP地址规划原则
使用IP地址的宽带用户主要分为社区家庭用户、商业用户。另外,组建网络的网络设备和提供服务的服务器设备等基础设施也需要分配IP地址。
IP地址规划对任何运营商网络的可扩展性和稳定性都是非常重要的。我们在制定整个网络IP地址规划时,一般要考虑以下几点:
1)从全局角度考虑制订规划方案。
2)制定恰当的私有地址使用方案。
3)根据需求和环境,IP资源的规划要制定恰当的预留策略,以便将来的发展。
4)用户和基础设施的IP地址块要分开。用户和基础设施的IP地址块分开更易于管理,
5)合理规划地址空间,尽可能的提高地址使用率。APNIC规定合法IP地址使用率达到80%,运营商才可以申请新的IP地址。
6)根据市场用户细分,要制定恰当的地址作用域细分方案,以满足市场需要。
7)制定有利于路由汇总的划分策略。
四、IP地址作用域划分和说明
根据宽带运营商网络结构和业务提供范围,我们可以将IP地址划分为Internet网、宽带运营商全网、宽带运营商城市和宽带运营商社区作用域,IP地址作用域划分如下表1:
表1、IP地址作用域划分表
各类IP地址作用域生效方法描述:
■ Internet网作用域
该作用域采用合法IP地址,将参与城域网络内的OSPF路由和骨干网络的BGP路由,并在宽带运营商的几个Internet出口广播。
3)根据需求和环境,IP资源的规划要制定恰当的预留策略,以便将来的发展。
4)用户和基础设施的IP地址块要分开。用户和基础设施的IP地址块分开更易于管理,
5)合理规划地址空间,尽可能的提高地址使用率。APNIC规定合法IP地址使用率达到80%,运营商才可以申请新的IP地址。
6)根据市场用户细分,要制定恰当的地址作用域细分方案,以满足市场需要。
7)制定有利于路由汇总的划分策略。
四、IP地址作用域划分和说明
根据宽带运营商网络结构和业务提供范围,我们可以将IP地址划分为Internet网、宽带运营商全网、宽带运营商城市和宽带运营商社区作用域,IP地址作用域划分如下表1:
表1、IP地址作用域划分表
各类IP地址作用域生效方法描述:
■ Internet网作用域
该作用域采用合法IP地址,将参与城域网络内的OSPF路由和骨干网络的BGP路由,并在宽带运营商的几个Internet出口广播。
宽带运营商第一次分配一个合法IP地址段时,可以考虑把用户和基础设施IP地址从两头往中间划分,如图1所示:
在第二次分配一个合法IP地址段时,如果两段IP地址相邻,宽带运营商可以按照相反方向划分用户和基础设施IP地址。
■ 宽带运营商全网作用域
该作用域采用私有IP地址,将参与城域网络内OSPF路由和骨干网络的BGP路由,但不在宽带运营商的几个Internet出口广播。
米小仙女宽带运营商对于私有IP地址划分较为从容。按照RFC1918文件的规定,有1个A类、16个B类、256个C类地址可用作私有IP地址。宽带运营商可以根据地址类型、用户数量、路由汇总等因素,划分全网、城市、社区作用域IP地址。
■ 宽带运营商城市作用域
该作用域采用私有IP地址,参与城域网络内OSPF路由,但不参与骨干网络的BGP路由。
■ 宽带运营商社区作用域
2022年中秋节高速公路免费吗?该作用域采用私有IP地址,不参与城域网络内的OSPF路由和骨干网络的BGP路由。如果该作用域采用私有IP地址,该地址作用域的性质与企业内网地址作用域是一样的,不通过NAT设
在第二次分配一个合法IP地址段时,如果两段IP地址相邻,宽带运营商可以按照相反方向划分用户和基础设施IP地址。
■ 宽带运营商全网作用域
该作用域采用私有IP地址,将参与城域网络内OSPF路由和骨干网络的BGP路由,但不在宽带运营商的几个Internet出口广播。
米小仙女宽带运营商对于私有IP地址划分较为从容。按照RFC1918文件的规定,有1个A类、16个B类、256个C类地址可用作私有IP地址。宽带运营商可以根据地址类型、用户数量、路由汇总等因素,划分全网、城市、社区作用域IP地址。
■ 宽带运营商城市作用域
该作用域采用私有IP地址,参与城域网络内OSPF路由,但不参与骨干网络的BGP路由。
■ 宽带运营商社区作用域
2022年中秋节高速公路免费吗?该作用域采用私有IP地址,不参与城域网络内的OSPF路由和骨干网络的BGP路由。如果该作用域采用私有IP地址,该地址作用域的性质与企业内网地址作用域是一样的,不通过NAT设
备是不能访问Internet网网络资源的。
用户具有不同类型作用域的IP地址,对资源的访问权限是不同的,如用户有一个城市作用域IP地址,该用户可以访问所在社区资源和所在城市资源。表2表示各作用域IP地址与访问资源之间的关系。
表2、IP地址作用域与访问资源关系表
网络IP地址作用域可以用图3表示:
宽带运营商按照表2实现对用户的分类服务,通过给用户分配不同类型的IP地址,规定不同类型IP地址用户可访问不同网络资源,从而对用户进行细分。可访问网络资源分为Internet网资源、国内网资源、城域网资源、社区网资源。宽带运营商可以通过IP地址分配,对用户提供不同的资源服务范围,如用户只访问国内中文资源、不访问国际Internet网资源等。
五、IP地址分配使用方案
根据上面IP地址类型,通过分配给用户不同种类的地址,使用户能访问不同范围的网络资源,如Internet网、全国骨干网络、本地城域网、社区网的网络资源,以配合用户市场细分的实现。
设备接口、用户地址在合法地址充足的情况下,尽量采用合法地址。根据业务需要,我们可以
用户具有不同类型作用域的IP地址,对资源的访问权限是不同的,如用户有一个城市作用域IP地址,该用户可以访问所在社区资源和所在城市资源。表2表示各作用域IP地址与访问资源之间的关系。
表2、IP地址作用域与访问资源关系表
网络IP地址作用域可以用图3表示:
宽带运营商按照表2实现对用户的分类服务,通过给用户分配不同类型的IP地址,规定不同类型IP地址用户可访问不同网络资源,从而对用户进行细分。可访问网络资源分为Internet网资源、国内网资源、城域网资源、社区网资源。宽带运营商可以通过IP地址分配,对用户提供不同的资源服务范围,如用户只访问国内中文资源、不访问国际Internet网资源等。
五、IP地址分配使用方案
根据上面IP地址类型,通过分配给用户不同种类的地址,使用户能访问不同范围的网络资源,如Internet网、全国骨干网络、本地城域网、社区网的网络资源,以配合用户市场细分的实现。
设备接口、用户地址在合法地址充足的情况下,尽量采用合法地址。根据业务需要,我们可以
为用户、社区设备网管地址和有特殊安全需要的服务器分配私有地址。
5.1、社区家庭用户地址
社区家庭用户地址分配使用如表3所示:
表3、社区家庭用户地址分配表
不同的地址类别对应用户可访问到不同区域的网络资源,这样我们为开展多种业务提供可能性,如:预开户业务、只访问社区网内资源业务、只访问城域内资源业务、只访问宽带运营商网内资源业务、只收发email业务等。
社区家庭用户地址采用宽带运营商综合服务器,根据用户账号、密码种类不同而授权、分配用户不同种类作用域的地址。每个家庭可以拥有多套用户账号,为访问不同资源而使用。
5.2、商业用户地址
商业用户如企业接入城域网络,其接入方式要从地址分配、管理、用户隔离等多种角度与社区用户及其它商业用户独立。
企业网分为企业内部网部分和外部网部分。内部网采用保留地址,推荐用户采用宽带运营商社区作用域地址,免去NAT配置转换的麻烦。外部网根据业务类型、用户业务需求,可以采用Internet网、宽带运营商全网、宽带运营商城市作用域地址。如果企业用户要求访问Interne
5.1、社区家庭用户地址
社区家庭用户地址分配使用如表3所示:
表3、社区家庭用户地址分配表
不同的地址类别对应用户可访问到不同区域的网络资源,这样我们为开展多种业务提供可能性,如:预开户业务、只访问社区网内资源业务、只访问城域内资源业务、只访问宽带运营商网内资源业务、只收发email业务等。
社区家庭用户地址采用宽带运营商综合服务器,根据用户账号、密码种类不同而授权、分配用户不同种类作用域的地址。每个家庭可以拥有多套用户账号,为访问不同资源而使用。
5.2、商业用户地址
商业用户如企业接入城域网络,其接入方式要从地址分配、管理、用户隔离等多种角度与社区用户及其它商业用户独立。
企业网分为企业内部网部分和外部网部分。内部网采用保留地址,推荐用户采用宽带运营商社区作用域地址,免去NAT配置转换的麻烦。外部网根据业务类型、用户业务需求,可以采用Internet网、宽带运营商全网、宽带运营商城市作用域地址。如果企业用户要求访问Interne
t网资源,则分配合法地址;如果仅仅开展城域VPN业务,则可以分配城域作用域地址。地址大小,可以依据用户需求,最小4个地址。对于网络是否划分子网,由用户需求确定。
在城域网与用户边界链路上,我们要采用路由注入方式,以免企业用户网与城域网间路由相互影响。
在企业外网上,企业可以设置NAT设备。内网用户通过NAT地址转换后,访问Internet。在企业外网上,企业可以设置VPN设备。二种方式,一是企业自己部署VPN设备;二是宽带运营商在用户侧部署VPN设备。
外网上可以部署其它设备,如外网服务器或工作站。外网功能,如接入路由、NAT、甚至VPN都可以在一个设备上完成。
5.3、网络设备地址
根据网络设备地址类型、使用场合、功能需求,网络设备地址分配使用原则如表4所示:
表5、网络设备地址分配及作用域原则表
以上分配办法主要考虑到以下几个因素:
社区网网络设备网管地址采用私有地址最主要的好处是:采用私有地址,根据社区网络规模大小,一次设计到位,不存在网络工程调整问题。如果采用合法地址,子网大小要随社区上网
在城域网与用户边界链路上,我们要采用路由注入方式,以免企业用户网与城域网间路由相互影响。
在企业外网上,企业可以设置NAT设备。内网用户通过NAT地址转换后,访问Internet。在企业外网上,企业可以设置VPN设备。二种方式,一是企业自己部署VPN设备;二是宽带运营商在用户侧部署VPN设备。
外网上可以部署其它设备,如外网服务器或工作站。外网功能,如接入路由、NAT、甚至VPN都可以在一个设备上完成。
5.3、网络设备地址
根据网络设备地址类型、使用场合、功能需求,网络设备地址分配使用原则如表4所示:
表5、网络设备地址分配及作用域原则表
以上分配办法主要考虑到以下几个因素:
社区网网络设备网管地址采用私有地址最主要的好处是:采用私有地址,根据社区网络规模大小,一次设计到位,不存在网络工程调整问题。如果采用合法地址,子网大小要随社区上网
用户数而做工程调整,会带来许多不便。
设备网管地址采用宽带运营商全网作用域地址或Internet网作用域地址,是为全程全网的网管所必需的。
5.4、服务器地址
宽带运营商部署服务器,根据服务提供服务对象和范围,可以采用不同类型的地址。宽带运营商控制所部署的服务器网络服务范围主要可以采用二种方式:
1、通过服务软件系统提供的访问控制实现。如web服务,该方式比较灵活,但会给系统带来一定的开销。有些服务系统软件尚未提供该功能。
2、通过设置不同的作用域地址,严格限定服务器提供服务范围。有些系统服务器通过这种方法将加强系统安全性。
六、IP地址规划与增值业务
采用全网类型私有地址的用户可以不经过NAT,访问宽带运营商全网资源,因此在运营商全网内开展VoIP、视频会议、VOD等增值业务不会受到地址类型的影响。
如果需要跨不同运营商服务平台,最好采用合法地址类型;也可以搭建针对该业务的VPN;也可以通过应用层网关实现地址转换,这几种办法可以保证增值业务不会受影响。
设备网管地址采用宽带运营商全网作用域地址或Internet网作用域地址,是为全程全网的网管所必需的。
5.4、服务器地址
宽带运营商部署服务器,根据服务提供服务对象和范围,可以采用不同类型的地址。宽带运营商控制所部署的服务器网络服务范围主要可以采用二种方式:
1、通过服务软件系统提供的访问控制实现。如web服务,该方式比较灵活,但会给系统带来一定的开销。有些服务系统软件尚未提供该功能。
2、通过设置不同的作用域地址,严格限定服务器提供服务范围。有些系统服务器通过这种方法将加强系统安全性。
六、IP地址规划与增值业务
采用全网类型私有地址的用户可以不经过NAT,访问宽带运营商全网资源,因此在运营商全网内开展VoIP、视频会议、VOD等增值业务不会受到地址类型的影响。
如果需要跨不同运营商服务平台,最好采用合法地址类型;也可以搭建针对该业务的VPN;也可以通过应用层网关实现地址转换,这几种办法可以保证增值业务不会受影响。
七、安全方面的考虑
在驻地网网络地址规划、分配使用和管理中,我们要注意考虑以下几个与安全相关的问题:
1、通过对不同作用域地址的规划、分配使用,增强网络系统的安全性,如网络设备管理安全、服务器管理安全。
2、防止用户非法接入宽带运营商网络,主要通过二个环节,一个环节是防止物理接入,主要防止非法用户在物理线路上,通过非法级联或自行打开楼道机箱接入,非法完成物理接入。第二个环节是防止逻辑接入,主要指防止用户获取网络地址,访问网络资源。在第一个环节失效的情况下,第二个环节的安全措施,尤为重要。
3、考虑代理服务器(proxy)带来的漏洞。当用户具备访问一定范围内的网络资源的能力后,可以通过代理服务器(proxy)来接入其他非法用户。目前在技术层面上,我们还没有好的办法进行防范和控制此类漏洞。
4、通过社区交换机PVLAN功能,使用户间的相互影响包括proxy的漏洞,隔离在社区;通过楼道交换机的PVLAN功能,使用同一楼道的用户间相互隔离,消除用户间的相互影响包括proxy的漏洞。
5、通过即将部署的综合接入控制服务器,实现通过DHCP授权分配IP地址,对非法用户实现
在驻地网网络地址规划、分配使用和管理中,我们要注意考虑以下几个与安全相关的问题:
1、通过对不同作用域地址的规划、分配使用,增强网络系统的安全性,如网络设备管理安全、服务器管理安全。
2、防止用户非法接入宽带运营商网络,主要通过二个环节,一个环节是防止物理接入,主要防止非法用户在物理线路上,通过非法级联或自行打开楼道机箱接入,非法完成物理接入。第二个环节是防止逻辑接入,主要指防止用户获取网络地址,访问网络资源。在第一个环节失效的情况下,第二个环节的安全措施,尤为重要。
3、考虑代理服务器(proxy)带来的漏洞。当用户具备访问一定范围内的网络资源的能力后,可以通过代理服务器(proxy)来接入其他非法用户。目前在技术层面上,我们还没有好的办法进行防范和控制此类漏洞。
4、通过社区交换机PVLAN功能,使用户间的相互影响包括proxy的漏洞,隔离在社区;通过楼道交换机的PVLAN功能,使用同一楼道的用户间相互隔离,消除用户间的相互影响包括proxy的漏洞。
5、通过即将部署的综合接入控制服务器,实现通过DHCP授权分配IP地址,对非法用户实现
访问控制。
6、第4,5条的结合,在当前的情况下可以防止社区网内代理服务器(proxy)带来的漏洞。但是如果我们分配给用户不同访问域的地址时,代理服务器(proxy)带来的漏洞用会出现新的情况。比如,为增加开展业务的灵活性,我们分配给一个试用用户在城域内的有效地址,那么这个用户就能访问城域内的所有资源,但同时也扩大了代理服务器(proxy)带来漏洞的范围。换句话说是,这样做增加了非法用户的种类和非法访问网络资源的途径和办法。关于由此带来的安全问题,我们可以采用的监测、防范和保护的手段有以下几条:
A.通过对用户进行大流量监测来发现不正常用户,主要是流量大、session数多等现象。
B.通过系统扫描,发现非法proxy服务。
C.通过让用户签网络使用协议,约定用户使用网络方式。
D.通过法律手段解决此问题。
八、结束语
IP地址规划并不是一个新课题,但对于宽带运营商来说,由于大部分用户需要通过分配网络地址来完成接入,那么尽早、尽快作好网络地址规划对宽带运营商进入网络运营、网络管理阶段非常重要。
6、第4,5条的结合,在当前的情况下可以防止社区网内代理服务器(proxy)带来的漏洞。但是如果我们分配给用户不同访问域的地址时,代理服务器(proxy)带来的漏洞用会出现新的情况。比如,为增加开展业务的灵活性,我们分配给一个试用用户在城域内的有效地址,那么这个用户就能访问城域内的所有资源,但同时也扩大了代理服务器(proxy)带来漏洞的范围。换句话说是,这样做增加了非法用户的种类和非法访问网络资源的途径和办法。关于由此带来的安全问题,我们可以采用的监测、防范和保护的手段有以下几条:
A.通过对用户进行大流量监测来发现不正常用户,主要是流量大、session数多等现象。
B.通过系统扫描,发现非法proxy服务。
C.通过让用户签网络使用协议,约定用户使用网络方式。
D.通过法律手段解决此问题。
八、结束语
IP地址规划并不是一个新课题,但对于宽带运营商来说,由于大部分用户需要通过分配网络地址来完成接入,那么尽早、尽快作好网络地址规划对宽带运营商进入网络运营、网络管理阶段非常重要。
网络规划中的IP地址分配
在网络规划中,IP地址方案的设计至关重要,好的IP地址方案不仅可以减少网络负荷,还能为以后的网络扩展打下良好的基础。本文就网络规划中IP地址方案设计进行一些讨论,并给出一个IP地址方案设计实例。
一、IP地址和子网掩码
宠物批发市场 IP地址用于在网络上标识唯一一台机器。根据RFC791的定义,IP地址由32位二进制数组成(四个字节),表示为用圆点分成每组3位的12位十进制数字(x)每个3位数代表8位二进制数(一个字节)。由于1个字节所能表示的最大数为255,因此IP地址中每个字节可含有0~255之间的值。但0和255有特殊含义,255代表广播地址:IP地址中0用于指定网络地址号(若0在地址末端)或结点地址(若0在地址开始)。例如, 192.168.32.0指网络192.168.32.0,而0.0.0.62指网络上结点地址为62的计算机。
根据IP地址中表示网络地址字节数的不同将IP地址划分为三类,A类,B类,C类。A类用于超大型网络(百万结点),B类用于中等规模的网络(上千结点),C类用于小网络(最多254
个结点)。A类地址用第一个字节代表网络地址,后三个字代表结点地址。B类地址用前两个字节代表网络地址,后两个字节表示结点地址。C类地址则用前三个字节表示网络地址,第四个字节表示结点地址。见表1。
网络设备根据IP地址的第一个字节来确定网络类型。A类网络第一个字节的第一个二进制位为0;B类网络第一个字节的前两个二进制位为10;C类网络第一个字节的前三位二进制位为110,见表2。换成十进制可见A类网络地址从1~127,B类网络地址从128~191,C类网络地址从192~223。224~239间的数有时称为D类,239以上的网络号保留。
子网掩码用于出IP地址中网络及结点地址部分。子网掩码长32位,其中1表示网络部分,0表示结点地址部分。A类,B类,C类网络的子网掩码见表3,如一个结点IP地址为192.168.202.195,子网掩码255.255.255.0,表示其网络地址为192.168.202,结点地址为195。
有时为了方便网络管理,需要将网络划分为若干个网段。为此,必须打破传统的8位界限,从结点地址空间中“抢来”几位作为网络地址。具体说来,建立子网掩码需要以下两步:
1、确定运行IP的网段数
2、确定子网掩码
首先,确定运行IP的网段数。例如,你的网络上有五个网段,但只让三个网段上的用户访问Internet,则只有这三个网段需要配置IP。在确定了IP网段数后,再确定从结点地址空间中截取几位才能为每个网段创建一个子网络号。方法是计算这些位数的组合值。比如,取两位,有四种组合(00、01、10、11),取三位有八种组合(000、001、010、011、100、101、110、111)。需要注意的是,在这些组中须除去全0和全1的组合。因为在IP协议中规定了全0和全1的组合代表了网络地址和广播地址,所以如果我们需要将C类网络(192.168.123.0)划分为4个网段,需要截取结点地址的前3位作为网络地址,与之对应的子网掩码就是255.255.255.244(11111111.11111111.
11111111.11100000),将此子网掩码用到地址192.168.123.0上得到的值。
可见,采用以上子网络方案,每个子网络有30个结点地址。通过从结点地址空间中截取几位作为网络地址的方法,可将网络划分为若干网段,方便了网络管理。
二、设计IP地址方案实例
在网络规划的过程中,绘制一幅准确的网络图是不可缺少的。准确的网络文档对于日后的升级和分析问题是不可或缺的帮助。好的网络图应包含连接不同网段的各种网络设备的信息,比如路由器、网桥、网关的位置、IP地址,并用相应的网络地址标注各网段。若网络很小,只有一个网段,可同时画出其它关键网络设备(如服务器),包括网络地址。如图所示这是一幅简单的网络图,其中五个网段经服务器互连(这里由服务器提供路由功能),一个用于主干网连接其它网段。
在设计IP地址方案之前,应考虑以下几个问题:
发布评论