Z02-IPv4编址指南 - H1CY11

修订版：2011年上半年 智能业务平台 智能业务平台 中小企业 无边界网络 IPv4编址指南 本指南介绍了IP编址的基本原理，旨在帮助您作好准备，为您的网络创建一个IP编址 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 。 本指南为IP编址最佳实践提供了一个简明参考文档，包括如下内容： ● IP编址的基本概念 ● 思科智能业务平台（IBA）基础实验室网络中所用的IP编址计划 ● 您在创建IP编址计划时应遵循的步骤 ● 如何随着网络的演进维护您的IP地址空间 本指南的目标受众 本指南面向具有以下全部或部分特点的读者： ● 拥有最多2,500名互联员工的组织 ● 拥有最多75个远程站点，每个站点大约有25名员工 ● IT员工持有CCNA®证书或具有同等经验 指南目的 指南目的 本文的读者可能具有以下一项或多项需求： ● 掌握IP编址和子网划分知识 ● 获得常规编址指南，以重新 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 现有网络 ● 获得如何向现有网络添加新服务的指南 ● 针对收购一家有着不同IP地址空间的公司的事宜，获得规划帮助 ● 制定一项针对IP地址空间用尽后的扩展计划 ● 获得一条IP地址迁移路径，支持未来发展 ● 制定一个能够作为客户部署模板在中型网络中使用的IP编址计划 在阅读本指南前，您还可阅读 基础设计概述 基础部署指南 网络基础配置文件指南 IBA MID BN 设计指南 您在这里 部署指南 补充指南 IPv4编址 IPv6编址 基础 配置文件 IBA智能业务平台概述 ........................................................................................................................................... 1 指导原则 .................................................................................................................................................................................1 IP编址概述 ................................................................................................................................................................... 2 IP编址基本原理 ......................................................................................................................................................... 3 IP地址类别 ............................................................................................................................................................................3 专用IP编址 ............................................................................................................................................................................4 子网划分 .................................................................................................................................................................................4 可变长度子网掩码（VLSM） ...............................................................................................................................5 语音叠加子网 ......................................................................................................................................................................5 汇总 .............................................................................................................................................................................................6 IP组播 ........................................................................................................................................................................................6 目录 本手册中的所有设计、规格、陈述、信息和建议（统称为“设计”）均按“原样”提供，可能包含错误信息。思科及其供应商不提供任何保证，包括但不限于适销性、适合特定用途和非侵权保证，或与交易过程、使用或贸易惯例相 关的保证。在任何情况下，思科及其供应商对任何间接的、特殊的、继发的或偶然性的损害均不承担责任，包括但不限于由于使用或未能使用本手册所造成的利润损失或数据丢失或损害，即使思科或其供应商已被告知存在此类损害 的可能性。这些设计如有更改，恕不另行通知。用户对于这些设计的使用负有全部责任。这些设计不属于思科、供应商或合作伙伴的技术建议或其它专业建议。用户在采用这些设计之前应咨询他们的技术顾问。思科未测试的一些因 素可能导致结果有所不同。 文中使用的任何互联网协议（IP）地址均非真实地址。文中的任何举例、命令显示输出和图示仅供说明之用。在图示中使用任何真实IP 地址均属无意和巧合。Cisco Unified Communications SRND（基于Cisco Unified Communications Manager 7.x）。 © 2011 思科系统公司。保留所有权利。 目录 管理IP地址 ................................................................................................................................................................... 8 IBA智能业务平台中的IP编址 .................................................................................................................................8 附录A：IBA智能业务平台子网设计电子表格 ...................................................................................... 16 附录B：面向中小企业的IBA智能业务平台文档体系 ....................................................................... 17 1 思科®智能业务平台（IBA）是一个全面的设计，适用于拥有最多2,500名用户的网络。 这一即购即用的设计简单、快捷、廉宜，并具有出色的可扩展性和灵活性。根据您的 扩展需求，该设计可提供三个不同选项，分别支持：最多600名用户、1,000名用户， 以及2,500名用户。 面向中小企业的思科IBA在一个全面解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 中包含了局域网、广域网、无线、安全、 广域网优化和统一通信技术，并对其进行了严格测试，确保能够实现无缝协作。这一 解决方案 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 简化了在采用多种技术时通常需要进行的系统集成工作，使您可以随意 选择能够满足您组织需求的模块，而不必担心技术细节问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 。 在设计思科IBA智能业务平台时，我们竭力使其能够轻松进行配置、部署和管理。该架构： ● 提供了强大的网络基础 ● 能够轻松快捷地进行部署 ● 能够支持更快、更轻松地部署更多服务 ● 无需重新设计核心网络 通过部署思科IBA智能业务平台，您的组织将能够： ● 获得一个经过思科测试、由思科提供支持的标准化设计。 ● 获得一个优化的架构，适用于拥有最多2,500名用户的中小企业。 ● 建立一个最多支持75个远程站点的广域网，包含一个总部站点和一个地区站点，并 且每个远程站点能够支持大约25名用户。 ● 获得一款灵活的架构，能够确保随着组织的增长进行轻松迁移。 ● 无缝支持快速部署有线和无线网络访问，以支持数据、语音、远程员工和无线访客。 ● 为企业信息资源、服务器和互联网应用提供出色安全性与高可用性。 ● 通过广域网优化提高广域网性能，降低成本。 ● 通过获得CCNA®认证或具有同等经验的IT员工简化部署和运营。 ● 在专为中小企业设计的产品中获得出色的思科企业级可靠性。 IBA智能业务平台概述 指导原则 我们根据以下原则，将部署流程划分为多个模块： ● 易于使用：思科IBA智能业务平台在设计时的一个主要要求是，必须最大限度地减少 部署时所需的配置工作和第二天管理工作。 ● 经济高效：我们选择产品时的另一关键要求是，满足中小企业的预算。 ● 灵活性和可扩展性：随着组织的发展，基础设施也必须能够随之扩展。所选的产品必 须能够进行扩展或在架构中进行重新定位。 ● 能够重复利用：我们尽可能在各模块中重复利用相同产品，从而最大限度地减少所需 产品的数量。 面向中小企业的思科IBA智能业务平台可分为三个主要的模块化互联组件，其中包括： ● 网络基础：支持整个架构的网络 ● 网络服务：在后台运行的特性，用户不会直接感知到，用于支持并改进用户体验 ● 用户服务：用户直接进行交互的应用 语音、 视频、 Web会议 安全、 广域网优化、 访客接入 路由、交换、 无线和互联网 用户服务 网络服务 网络基础架构 IBA智能业务平台概述 2 在IP网络中，每一台设备均通过一个唯一的IP地址进行识别。 如果没有一个清晰的IP编址计划，网络中IP地址和子网的分配、再利用和记录会变得 十分混乱。一个有效的计划将能够帮助您建立一个可靠的网络基础，轻松添加更多服 务，如统一通信、无线接入和增强的网络安全性等。 IP编址是一项网络基础服务，也是网络设计的核心所在。它是其它所有网络和用户服 务的基础。如果没有它，用户将无法使用网络和用户服务，包括使用电话服务接听电 话，以及使用电子邮件服务阅读电子邮件等等。 通过遵循所建议的IP地址管理标准，您可以避免： ● 子网重叠或重复 ● 在网络中出现未经规划的路由 ● 重复的设备IP地址分配 ● IP地址空间浪费 ● 不必要的复杂性 IP编址概述 备注 IP编址概述 3 24 bits (Node ID) 1.0.0.0 – 127.255.255.255Class A 0 Net ID 1 20 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 0 1 2 3 1 2 3 4 5 6 7 16 bits (Node ID) 128.0.0.0 – 191.255.255.255Class B 1 0 1 0 1 1 0 1 1 1 0 Net ID 1 20 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 0 1 2 3 1 2 3 4 5 6 7 8 bits (Node ID)21 Bits 192.0.0.0 – 223.255.255.255Class C 1 Net ID 1 20 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 0 1 2 3 1 2 3 4 5 6 7 Multicast Group ID (28 Bits) 224.0.0.0 – 239.255.255.255Class D 1 Multicast 1 20 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 0 1 2 3 1 2 3 4 5 6 7 Reserved for Future Use (27 Bits) 240.0.0.0 – 254.255.255.255Class E 0 Experimental 1 20 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 0 1 2 3 1 2 3 4 5 6 7 IP版本4（IPv4）地址用于在IP网络中对设备进行唯一区分，长32位，通常采用点分十 进制格式。 32个二进制位： ● 分为网络部分和主机部分 ● 分为4个八位位组（1个八位位组= 8位）。每个八位位组都能转换为二进制。 以下面这一点分十进制的IP地址为例：10.10.16.1。该地址分为以下八位位组： ● 10 ● 10 ● 16 ● 1 每个八位位组的数值在0到255之间（十进制）或00000000到11111111之间（二进 制）。如使用二进制，则地址10.10.16.1表达为：00001010.00001010.00010000.000 00001。 IP地址类别 IP地址分为几个类别，包括A、B、C、D（组播）和E（保留）类。 地址类别的定义基于构成地址网络部分的位数，以及可用于定义各主机地址的剩余 位数。 ● 在A类地址中，第一个八位位组是网络部分。 ● 在B类地址中，前两个八位位组是网络部分。 ● 在C类地址中，前三个八位位组是网络部分。 图1显示了每类IP地址的网络和主机ID的不同之处。 IP编址基本原理 A类地址有三个八位位组用于构成地址的主机部分。由于目前可用的第二层技术不能轻松地在单一子网上支持如此多的主机，所以A类地址的部署对于地址空间的使用非常低 效。子网划分能够高效利用此地址空间。 图1. 各类地址 技术提示 IP版本6（IPv6）是下一代IP编址技术。IPv6将网络地址的位数增加到目前32位 （IPv4）的四倍，即128位，提供了足够全世界每个联网设备使用的IP地址。IPv6 是适用于未来IP网络的重要协议。如需了解更多信息，请访问： www.cisco.com/go/ipv6 IP编址基本原理 A类 B类 C类 D类 E类 24位（节点ID） 16位（节点ID） 组播组ID（28位） 保留供未来使用（27位） 8位（节点ID）21位 网络ID 网络ID 网络ID 组播 实验 4 192.168.5.0 - 11000000.10101000.00000101.00000000 255.255.255.224 - 11111111.11111111.11111111.11100000 ------------------------------------------[sub]------ 192.168.5.0 255.255.255.224 address range 0 to 31 192.168.5.32 255.255.255.224 address range 32 to 63 … 192.168.5.224 255.255.255.224 address range 224 to 255 专用IP编址 互联网编号分配机构（IANA）已保留了一些IPv4网络地址范围作为专用。这些网络地 址在公共互联网中按照RFC 1918的定义进行路由。 这些网络范围称为RFC 1918地址，专为希望基于TCP/IP构建内部网络基础设施，但没 有或不想使用公共IP空间的组织而保留。 RFC 1918地址包括以下三个IP地址空间地址块： ● 10.0.0.0 – 10.255.255.255（10.0.0.0/8）：此地址块提供了最高灵活性，能够根据需要 最多支持使用255个B类地址空间。 ● 172.16.0.0 – 172.31.255.255（172.16.0.0/12）：此地址块支持16个B类地址空间。 ● 192.168.0.0 – 192.168.255.255（192.168.0.0/16）：此地址块支持1个B类地址空间。 由于这些地址被公认为属于专用地址，无法在互联网中进行路由，多个组织可以在内部 使用这些地址范围，而不会与公共互联网地址冲突。如果某个组织试图在外部路由这些 网络，流量会被互联网服务供应商过滤和丢弃。 鉴于RFC 1918空间是完全专用的，因此能够在设计网络时带来极高的灵活性。 技术提示 要将流量从使用专用地址的主机传输到使用公共地址的互联网主机，需要采 用网络地址转换（NAT）协议。NAT允许将内部主机地址转换为公共地址， 以便接入互联网。由于公共地址空间很难获得且非常昂贵，因此必须节省地 使用ISP分配的少量公共地址。（如需了解有关NAT的更多信息，请参阅《思科 IBA部署指南》）。 子网划分 子网划分允许您在一个A类、B类或C类网络中创建多个逻辑网络。如果不进行子网划 分，您将只能使用A类、B类或C类网络中的一个，这显然不符合实际需要。 网络上的每个数据链路均必须拥有一个唯一的网络地址，该链路上的每个主机都是同一 网络的成员。如果您将一个主网络（A、B或C类）分为若干个较小的子网，就会形成 一个由多个互联子网组成的网络。此网络上的每个数据链路均拥有一个唯一的网络/子 网ID。 要对一个网络进行子网划分，应使用地址主机ID部分的某些位来扩展掩码，创建一个子 网ID。例如，假定一个网络地址为192.168.5.0/24，掩码为255.255.255.0，您可以按照 以下方式创建子网： 左面的地址是点分十进制格式，右边是二进制格式。在规划IP子网划分时，有时以二进 制格式来查看网络地址的不同部分较为容易。子网掩码也以点分十进制和二进制两种格 式表达。相应掩码位设置为1的地址位代表网络ID。相应掩码位设置为0的地址位代表 主机ID。 通过将掩码扩展为255.255.255.224，您已从地址的原始主机部分选取了三位（由sub表 示），并将它们用于构建子网。利用这三位，您能创建八个子网。通过使用剩余的五个 主机ID位，每个子网最多能支持32个主机地址。一个子网可划分为八个包括32个主机 的子网。但是，八个32主机子网可能还不够灵活。例如： IP编址基本原理 地址范围0到31 地址范围32到63 地址范围224到255 5 在本文下面部分，我们尽可能使用前缀/长度形式来表示掩码。 可变长度子网掩码（VLSM） 可变长度子网掩码（VLSM）允许您为每个子网使用不同的掩码，因此能够高效利用地 址空间。在专用地址空间，因为空间充足，几乎不必使用小于/24的子网掩码。通过使 用VLSM，您可以： ● 创建一个包含超过255个主机地址的较大子网 ● 为广域网链路创建一个微型子网 ● 配置回环地址 VLSM示例 假定需要在如下的192.168.5.0/24网络和要求的基础上，使用VLSM制定一个子网划分 方案： ● 网络A必须支持330个主机 ● 网络B必须为6个主机提供一个支持热待机路由协议（HSRP）的点对点广域网链路 ● 网络C必须为2个主机提供一条连接到远程站点的T1链路 ● 网络D必须为路由器回环提供一个地址 技术提示 有两种表示子网掩码的方法： ● 因为您比原始255.255 .255 .0掩码多使用了三位，所以现在掩码是 255.255.255.224。 ● 掩码也可表示为/27，这是因为掩码中设置了27位。掩码以前缀/长度 的形式表示。例如：192.168.5.32/27表示网络192.168.5.32采用了掩码 255.255.255.224。 第一步是确定哪些掩码能支持所需的主机数量。 ● 网络A需要一个/23（255.255.254.0）掩码来支持510个主机 ● 网络B需要一个/29（255.255.255.248）掩码来支持6个主机 ● 网络C需要一个/30（255.255.255.252）掩码来支持2个主机 ● 网络D需要一个/32（255.255.255.255）掩码来支持1个地址 *这是一个为回环地址保留的特别配置。 最简便的子网分配方式就是先分配最大的子网。例如：您可以这样分配子网： ● 网络A－192.168.5.0/23，地址范围5.0到6.255 ● 网络B－192.168.7.0/28，地址范围0到7 ● 网络C－192.168.7.8/28，地址范围8到11 ● 网络D－192.168.7.12/32，地址12 读者提示 如需了解有关 IP编址和可变长度子网掩码的更多信息，请参阅《新用户 IP编 址和子网划分》一文，文件ID：13788，www.cisco.com/en/US/tech/tk365/ technologies_tech_note09186a00800a67f5.shtml 语音叠加子网 当添加统一通信或服务质量等新服务时，将另一个专用IP地址范围叠加到现有IP地址上 有时会有所帮助。例如： ● 所有语音流量都应使用其来自10.0.0.0/8或172.16.0.0/16地址块的子网。 ● 一个涵盖所有172.16.0.0/16或10.0.0.0/8地址的掩码应用来区分所有站点间的语音 流量。 这种方式有助于解决编址计划不能为每个站点提供足够的子网和主机，来添加新服务 的可扩展性问题。 IP编址基本原理 6 例如：两个现有分支机构均支持有线和无线数据访问，希望添加语音功能。它们保留了 全部192.168子网空间。语音子网采用10.X.X.X地址范围叠加，在图2中以高亮红色显示。 图2. 语音叠加子网 汇总 汇总IP地址旨在确保消除子路由。子路由指为路由表中汇总地址所包含的任意IP地址的 组合而创建的路由。这一地址汇总可减小路由表的体积，支持路由器处理更多路由。 在小型网络中，开始时通常不必进行汇总。但随着网络的扩展，汇总功能也需要进行扩 展。汇总能够将IP地址空间从单一站点总部扩展到另一远程站点，然后再扩展到数百个 远程站点。 图3显示了一个从网络总部扩展到远程站点的地址汇总示例。正常的IP路由广播将发送 路由表中的七个路由。汇总后，这七个路由作为单一路由汇总回总部。 图3. 总部IP汇总 汇总能在所有地址都连续或专属某个地点之时使用。如果当前IP编址不能够汇总，则记 录下来，在部署未来IP空间时进行汇总。 技术提示 如果IP地址空间不连续，确保关闭增强型内部网关路由协议（EIGRP）的自 动汇总功能。 IP组播 IP组播是一种带宽保留技术，允许单一信息流通过网络传输到数千用户，从而减少流量 和服务器负载。 可充分利用组播技术优势的应用包括： ● 视频会议 ● 公司通信 ● 等待音乐 IP编址基本原理 192.168.64.0/24数据子网 192.168.65.0/24无线子网 10.1.1.0/24语音子网 192.168.72.0/24数据子网 192.168.73.0/24无线子网 10.1.8.0/24语音子网 两条路由，广播为 192.168.64.0/21 → 10.1.0.0/21（语音）→ 远程站点1 总部远程站点2 两条路由，广播为 192.168.72.0/21 → 10.1.8.0/21（语音）→ 总部接入层1 总部接入层2 服务器机房 10.10.0.0/24数据子网 10.10.2.0/24语音子网 10.10.16.0/24无线数据子网 10.10.20.0/24无线语音子网 10.10.48.0/24数据子网 10.10.49.0/24数据子网 单一路由，广播为 10.10.0.0/19→ 10.10.32.0/24核心路由子网 7 ● 远程教学 ● 软件、股价和新闻的分发 IANA已预留了239.0.0.0/8作为本地管理组播地址，用于专用组播域。这些地址在性质 上类似于RFC 1918中定义的预留IP单播地址（如10.0.0.0/8），不会被IANA分配给其它 任何组或协议。 如同单播编址计划一样，企业的组播IP编址计划须面向整个网络进行配置。 读者提示 如需了解更多有关IP组播的信息，请访问：www.cisco.com/go/multicast 备注 IP编址基本原理 8 通过正确规划，IP网络能比用户服务和网络服务更易于组织、设置和进行故障排除。 在阐述如何创建您自己的IP编址计划前，我们将使用思科IBA智能业务平台设计作为网 络示例，将已经介绍的技术概念应用于一个实际网络设计中。 IBA智能业务平台中的IP编址 思科IBA智能业务平台使用10.0.0.0作为地址范围示例，您可以将这些相同的规则应用到 其它地址范围。您的IP空间需求将决定您部署的地址范围。这些规则适用于公共地址范 围，但大多数中小企业会在内部部署专用地址，在连接到互联网等公共网络时，使用 电信运营商提供的公共地址。 思科IBA智能业务平台IP地址从专用地址的10.0.0.0/8范围中进行分配，以支持网络中的 以下主要部分： ● 总部 ● 广域网 ● 远程站点 ● 服务器机房 ● DMZ ● 地区站点 ● 安全 ● 语音 管理IP地址 所选地址空间以连续IP地址块的形式分配给以上每个区域，以支持IP汇总。 ● 总部分配到的地址位于10.10.0.0/19地址块中，支持32 /24子网。 ● 地区站点会分配到一个独立地址块。 ● 分支机构则分配到10.11.0.0/21中的一个8位子网地址块。 ● 针对网络基础： － 有线和无线用户需要数据子网。 － 无线接入可能需要多个子网来提供访客接入、隔离不安全设备等。 － 用于最终用户接入的子网通常指定为/23或/24，支持253个主机或509个主机， 分别使用单一路由器地址。 － 语音子网独立于数据网络，以简化服务质量的配置，避免IP电话造成已经非常拥 挤的数据子网出现空间不足的情况。 － 有线数据和无线使用不同的子网，用于提高灵活性。子网可以是/24或/23， 支持253个主机或509个主机，分别为默认网关保留单一地址。 管理IP地址 9 表1提供了一个IP地址分配和汇总示例。 在下表之后，您会看到一个采用IP子网分配和汇总示例的思科IBA智能业务平台架构 图。根据需要，汇总可以扩展到所有远程站点乃至整个园区。如需添加另一个远程站 点，只需分配另一个八位地址块即可。例如：分支机构2将被分配到10.11.8.0/21。 表1. 思科IBA智能业务平台所分配的IP地址 图4显示了《面向中小企业的IBA智能业务平台－无边界网络基础设计指南中》采用的 思科IBA设计，并增加了IP地址分配和路由汇总。 总部 10.10.0.0/19 100 10.10.0.0/24 总部有线数据 102 10.10.2.0/24 总部有线语音 104 10.10.4.0/24 总部有线数据 106 10.10.6.0/24 总部有线语音 116 10.10.16.0/24 总部无线数据 120 10.10.20.0/24 总部无线语音 124-31 10.10.24.0/21 互联网边缘 132-39 10.10.32.0/21 总部广域网 148-63 10.10.48.0/24 总部服务器群 远程站点1 10.11.0.0/21 无 10.11.0.0/24 回环 无 10.11.1.0/24 网络服务 102 10.11.2.0/24 无线数据 103 10.11.3.0/24 无线语音 104 10.11.4.0/24 有线数据 无 10.11.5.0/24 保留 106 10.11.6.0/24 有线语音 无 10.11.7.0/24 保留 地点 VLAN 子网 部门 汇总地址 备注 管理IP地址 10 图4. 思科IBA智能业务平台设计，带所分配的IP地址和汇总 单一路由，广播为10.11.0.0/21→ ←单一路由，广播为10.10.0.0/19 支持应用加速的远程站点路由器 10.11.2.0/24无线子网 10.10.48.0/24服务器子网 10.10.49.0/24服务器子网 10.11.4.0/24数据子网 远程站点交换机 10.11.6.0/24语音子网 无线接入点 硬件和软件 VPN 远程站点 广域网 PSTN 互联网 服务器 UC管理主机 服务器机房交换机 服务器机房堆叠 服务器机房 总部 接入层 应用加速 园区路由器 防火墙 核心交换机 堆叠 无线局域网 控制器 10.10.0.0/24数据子网 10.10.2.0/24语音子网 10.10.16.0/24无线数据子网 客户端接入层 交换机 客户端接入层 交换机堆叠 无线接入点 管理IP地址 11 在制订IP编址计划时，非常重要的一点是基于整个网络进行考虑，而不仅是网络基础。 正确规划每个网络层的IP地址空间是确保各层间实现无缝集成交互的关键。针对每个子 网，计划应明确： ● 子网大小 ● 子网分配 ● 网络设备的静态地址分配 ● 动态地址分配 出色规划和完善记录的IP地址空间将能够为您节约数小时的故障排除时间。 流程 程序1 定义编址标准 创建一个编址计划 1. 定义编址标准 2. 规划地址范围 3. 分配IP地址空间 4. 记录计划 对不同地点使用统一标准，以便简化网络的整体维护和故障排除工作。 步骤1：创建每个子网的IP地址分配标准。您可以考虑采用的部分标准包括： ● 为便于识别，可根据IP子网的第三个八位位组加100来创建VLAN。例如：x.x.71.x.分 配给VLAN 171。这将可以形成自表述设计。 ● 将地址范围中的前几个可用地址分配给子网中的路由器、网关和热待机路由器协议 （HSRP）虚拟地址。 ● 分配打印机和其它固定地址。 ● 为动态主机控制协议（DHCP）分配动态地址范围。例如：所有用户子网可能是/24 子网，有253个可用地址分配给终端主机。 ● 向路由器分配.2和.3地址，向HSRP地址分配.1地址。 ● 打印机可分配.5到.9地址。 ● DHCP的地址范围为.10到.250地址。 步骤2：为设备定义统一、结构化的命名规范和DNS。这有助于： ● 为路由器创建统一接入点，以传输与设备相关的所有网络管理信息。 ● 减少出现重复IP地址的可能。 ● 为设备创建一个简单标识，显示出设备地点、类型和用途。 ● 通过更简单的网络设备识别方式，改进库管理。 步骤3：确定DHCP范围，将它们添加到DNS，包括用户所在地点。此范围可以是IP地 址或物理地点的一部分。例如，dhcp-bldg-c21-10到dhcp-bldg-c21-254，表示建筑物 C二楼配线间1中的IP地址。另外，精确的子网或变量也能用于身份识别。 步骤4：记录下您制订的所有标准，并在所有网络工程计划文档中使用它们，以确保统 一部署。 管理IP地址 12 管理IP地址 在分配专用子网时存在错误与否的情况，但相比之下某些分配方式会更为灵活。 步骤1：通过评估所有用户和服务器需求，确定使用哪些地址空间。请参考以下示例： ● 许多公司和网络设备厂商都使用192.168.0.0地址范围。此地址范围的可用主机地址数 量较少，当组织扩展或与另一家使用相同地址范围的公司合并时，就会发生问题。 ● 如果您有幸从零开始构建，可考虑能够提供最高灵活性的10.0.0.0地址范围。10.0.0.0 地址范围可支持更多主机数量，在划分子网时能够提供更高的灵活性。例如：每个分 支机构或建筑物都需要统一的主机地址范围，而10.0.0.0网络具备此灵活性。 ● 在许多情况下，组织可能在网络中有多个不同的RFC 1918地址空间。为简化配置和 故障排除，使用RFC 1918中的一个地址空间并采用汇总功能是较为方便的一种方 法。当然，如果编址计划非常完善，使用不同地址空间的多个IP地址范围也不会构成 问题。 ● 无论选择或继承了哪个地址空间，在进行网络编号时，推荐从某一位置开始编号，而 不是从该地址范围的开头开始。如果与另一家使用10.0.0.0或192.168.0.0的IP地址的 公司合并，建议不要从地址范围的开头处开始分配地址，以减少地址冲突的机会。 程序2 规划地址范围 程序3 分配IP地址 步骤1：认真定义公共IP地址空间的大小，因为公共IP地址有限。确保考虑到以下因素： ● 专用地址不会受限。 ● 为便于使用，用户子网应至少使用/24掩码。 ● 终端设备会不断增加，因此，既然专用地址随时可用，就不要对其数量设定一个较低 的限制。 ● 广域网连接对IP地址的要求较低。一般来说，两个站点间的点对点网络连接使用两个 IP地址。如果使用HSRP，并且两个站点都有冗余路由，则地址数量增加到六个，链 路每边三个。 － /30子网支持两个可用IP地址 － /29子网支持六个可用IP地址 步骤2：保留一个子网用于支持物理安全功能。物理安全子网的要求可能很简单，如控 制建筑物门禁，也可能较复杂，如对整个建筑物进行视频监控。即使在初始设置时不需 要物理安全，您也应完成这一步。 步骤3：为办公设施保留一个子网。这个子网旨在满足办公设施的物理要求，如远程电 力控制、空调和办公设施监控等，这些要求现在都可通过IP网络上的新技术满足。 步骤4：为非军事化区（DMZ）中的所有生产网络分配公共地址，DMZ是ISP边缘路由 器和公司防火墙之间的网络。另一选择是使用NAT。 步骤5：为远程接入分配一个子网，它一般设置为虚拟专用网（VPN）。 步骤6：为网络管理分配一个子网，来访问网络设备，如以太网交换机、防火墙、路由器 等。该子网将使用独立逻辑网络以实现轻松管理。思科IBA使用VLAN 1来管理网络设备。 13 管理IP地址 步骤7：创建一个回环地址，以便能更轻松地为拥有多个接口的路由器管理单一地址。 回环： ● 始终运行。 ● 当路由器有多个接口时，如果一个接口发生故障，也能够到达。 ● 能够为语音应用、网络管理、路由等提供单一源地址。 ● 为路由器中的语音网关等提供连续性。如果语音网关针对为广域网接口进行配置，当 该接口发生故障时，则语音网关也将无法提供服务。回环可避免这些问题，只要路由 器保持运行，并且能够通过一个接口到达，它们就能保持正常工作。 ● 需通过IP路由协议进行广播。 回环接口可以分配一个/24地址，或最高/32地址（如果使用/32回环地址，请确保进行 汇总）。将回环接口配置为陷阱、SSH和简单网络管理协议（SNMP）的源IP地址。 技术提示 如可行，也可使用一个独立物理网络来进行管理。 程序4 记录计划 程序1 解决地址范围重叠问题 步骤1：在一个电子表格中记录下全部IP地址空间，显示地址块中每个子网的地点分 配、使用情况和可用子网，以及每个特定地址块的汇总地址。 本指南的附录提供了一个简单的IP编址电子表格示例。 一旦IP编址计划确定，您就作好了解决所出现问题的准备。以下流程介绍了如何处理您 可能遇到的特殊情况。 维护和扩展网络空间 1. 解决地址范围重叠问题 2. 增加IP地址的数量 3. 与另一公司合并 流程 如果两个地址范围重叠，可能会发生两种情况。 第一种情况是，两个地址范围相同，但用于每个站点的子网都是不同的，没有重叠，如 图5所示。这种情况并非最理想情况，但网络仍能通信。在此情况下，完成以下步骤： 步骤1：如果汇总地址包含重叠IP空间，则从两端删除汇总地址。 注意：这一步骤足以使网络通信，但第二步仍需完成。 步骤2：对重叠地址空间重编号。 步骤3：恢复汇总。 图5. 不冲突的重叠IP地址空间 分支机构 总部 远程站点使用192.168.0.0/19 192.168.20.0/24数据子网 192.168.30.0/24无线子网 总部使用192.168.0.0/19 数据子网 192.168.1.0/24 ⋯ 192.168.15.0/24 14 管理IP地址 第二种情况是地址空间冲突，即它们使用相同的子网，如图6所示。与前一例的简单解 决方案不同，这种情况较为复杂，但也可解决。 完成以下步骤来解决此问题： 步骤1：对冲突站点使用NAT，将一个新的不冲突的IP地址空间作为临时工作区。 步骤2：对冲突的地址空间重编号。 步骤3：在主机重编号到新地址空间后，关闭NAT。 图6. 有冲突的重叠IP地址空间 程序2 增加IP地址的数量 随着组织的发展，IP地址也需扩展。如果您的计划中包括了扩展配置，那么这将不会导 致问题。 如果主机全采用DHCP，且下一个可用子网已被预留，则完成以下步骤： 步骤1：初始部署时，数据子网可能有足够的IP地址空间，但随着公司的发展，很明显 所分配的/24需要扩展。一种方法是将掩码改为/23，将IP地址增加一倍，以扩展子网。 新掩码和路由确认后，路由器接口会重新配置。 技术提示 只有在设计网络时，网络IP规划就考虑了未来扩展的情况下，才能采取 这种更改掩码的做法。如果这是事先规划好的，那么主机会全部采用 DHCP，且下一可用子网已预留。 步骤2：路由器配置完成后，再处理主机。由于主机使用DHCP进行配置，它们会从 DHCP服务器收到其IP地址和子网掩码。 步骤3：更改掩码，将增加的地址范围添加到DHCP服务器。请注意DHCP掩码需在 DHCP服务器上更改，但不必在每个主机上更改。 步骤4：当掩码通过DHCP向现有主机发送的更新信息进行通知后，主机就能在DHCP 中看到扩展的地址范围。此时，将DHCP范围扩展到更大的IP地址集，以便分配。 技术提示 如果主机未配置DHCP，则必须访问每个主机，否则它将无法识别子网上 的主机和网关。 从源子网到当前总部IP地址空间中两个未使用的临时子网 进行NAT操作，这两个临时子网为：192.168.30.0/24和 192.168.31.0/24 远程站点使用192.168.0.0/19 192.168.1.0/24数据子网 192.168.15.0/24无线子网 总部使用192.168.0.0/19 数据子网 192.168.1.0/24服务器子网 192.168.15.0/24数据子网 分支机构 总部 15 管理IP地址 程序3 与另一公司合并 请参考图7中的示例。假定企业收购了一个新办公地点，后者在当前网络中使用 172.16.20.0和172.16.42.0地址空间。您需要对地址空间进行重编号，以支持总部目前已 部署的192.168.0.0地址空间，或者您也可简单地在边缘向远程站点汇总地址空间，即 172.16.0.0/16。 图7. 与不同IP地址空间合并 读者提示 如需了解更多有关IP编址的信息，请参考以下资源： ● 路由和交换最佳实践：思科 IT部门如何在企业中部署 IP编址，www.cisco. com/web/about/ciscoitatwork/downloads/ciscoitatwork/pdf/Cisco_IT_IP_ Addressing_Best_Practices.pdf ● 配置管理：最佳实践白皮书，www.cisco.com/en/US/tech/tk869/tk769/ technologies_white_paper09186a008014f924.shtml ● 思科出版物《网络安全架构》中的“安全网络设计的常见考虑因素”部分。 备注 分支机构 总部 使用172.16.0.0地址空间的远程站点向 总部广播单一路由器 172.16.0.0/16→ 使用192.168.0.0地址空间的总部汇总并向远 程站点广播单一路由器 ←192.168.0.0/16 172.16.20.0/24数据子网 172.16.42.0/24无线子网 16 附录A：IBA智能业务平台子网设计电子表格 地点 VLAN 子网 部门 汇总地址 附录A 17 附录B 附录B： 面向中小企业的IBA智能业务平台文档体系 IBA MID BN 设计指南 基础架构 设计概述 IPv4编址 IPv6编址 业务连续性 基础架构 电子邮件安全 Web安全 3G无线远程站点 无线CleanAir Panduit 配置文件 网络管理 SolarWinds Sciencelogic Ipswitch 部署指南 补充指南 您在这里 Cisco has more than 200 offices worldwide. Addresses, phone numbers, and fax numbers are listed on the Cisco Website at www.cisco.com/go/offices. Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R) Americas Headquarters Cisco Systems, Inc. San Jose, CA Asia Pacific Headquarters Cisco Systems (USA) Pte. Ltd. Singapore Europe Headquarters Cisco Systems International BV Amsterdam, The Netherlands C07-629862-01 12/10 智能业务平台