企业中ip地址规划(1)(2)

规则三：按需分配公网IP

相对于私有IP而言，公网IP是不能由自己完全做主要求的，而是ISP等机构统一分配和租用的。这就造成了公网IP要稀缺的多，所以对公网IP必须按实际需求来分配。如：对外提供服务的服务器群组区域，不仅要够用，还得预留出余量;而员工部门等仅需要浏览Internet等基本需求的区域，可以通过NAT(网络地址转换)来多个节点共享一个或几个公网IP;最后，那些只对内部提供服务，或只限于内部通讯的主机自然不用分配公网IP了。公网IP具体的分配，必须根据实际的需求，进行合理的规划。

注：NAT(Network Address Translation)是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。内部网络用户连接互联网时，NAT 将用户的内部私有IP地址转换成一个外部公网IP地址;反之，数据从外部返回时，NAT反向将目标地址替换成初始的内部用户的地址。其中的过程基于地址端口的一张记录表，使返回的地址端口信息和发出的信息能对照起来。现在市面上的宽带路由共享设备就是基于这个技术来使局域网多台PC共享一个公网IP的。并且由于NAT隐藏了内部IP地址，所以构成了一个天然的防火墙，使得外网用户无法直接看到内网主机。正是由于这个原因，使得一些主机上的对外服务不能被外网用户直接访问到，由此出现了端口映射的概念。这时必须通过端口映射将其内网主机对外服务端口映射到公网IP上，这样外网用户再访问你的公网IP服务端口时，路由器才会自动将访问转移到映射的主机上。

另外，由于现在的IPv4网络正在向IPv6过渡，将来很可能出现一段很长的IPv4和IPv6共存的时期，所以现在构建网络时应尽量考虑到对IPv6的兼容性，选择能支持IPv6的设备和系统，以降低升级过渡时的成本。

静态和动态分配地址的选择

在何种环境下使用静态或动态分配IP，这个问题需要从这两类分配机制的优缺点谈起。

第一，动态分配地址由于地址是由DHCP服务器分配的，便于集中化统一管理，并且每一个新接入的主机都能够通过非常简单的操作就可以正确获得IP地址、子网掩码、缺省网关、DNS等参数，在管理的工作量上比静态地址要减少很多，而且越大的网络越明显。而静态分配就正好相反，需要先指定好那些主机要用到那些IP，绝对不能重复了，然后再去客户主机上挨个设置必要的网络参数，并且当主机区域迁移时，还要记录释放IP，并重分配新的区域IP和配置网络参数。这需要一张详细记录IP地址资源使用情况的表格，并且要根据变动实时更新，否则很容易出现IP冲突等问题，可以想见这在一个大规模的网络中工作量是多么可怕。但是在一些特定的区块，如服务器群区域，每台服务器都有一个固定的IP地址这在绝大多数情况下都是必须的。当然，也可以使用DHCP的地址绑定功能或者动态域名系统来实现类似的效果。

第二，动态分配IP，可以做到按需分配地址，当一个IP地址不被主机使用时，能释放出来供别的新接入主机使用，这样可以在一定程度上高效利用好 IP资源。DHCP的地址池只要能满足同时使用的IP峰值即可。静态分配必须考虑更大的使用余量，很多临时不接入网络的主机并不会释放掉IP，而且由于是临时性的断开和接入，手动去释放和添加IP等参数明显是受累不讨好的工作，所以这时必须考虑使用更大的IP地址段，确保有足够的IP资源。

第三，动态分配要求网络中必须有一台或几台稳定且高效的DHCP服务器，因为当IP管理和分配集中的同时，故障点也相应集中起来了，只要网络中的DHCP服务器出现故障，整个网络都有可能瘫痪，所以在很多网络中DHCP服务器不止一台，而是另有一台或一组热备份的DHCP服务器，在平时还可以分担地址分配的工作量。另外，客户机在与DHCP服务器通信时，如：地址申请、续约和释放等，都会产生一定的网络流量，虽然不大，但是还是要考虑到的。而静态分配就没有上面的这两个缺点，而且静态地址还有一个最吸引人的优点，就是比动态分配更加容易定位故障点。在大多数情况下，企业网管在使用静态地址分配时，都会有一张IP地址资源使用表，所有的主机和特定IP都会一一对应起来，出现了故障或者对某些主机进行控制管理时都比动态地址分配的要简单的多了。

注：做DHCP服务器冗余时要注意，为了防止多台DHCP服务器为不同的客户机分配同一个IP地址，应该将该子网的IP段分割成几个部分，然后分别分配到各个DHCP服务器的作用域中，多台DHCP服务器的地址池不能有重叠。另外，还得保证即使只有单台DHCP工作时，所提供的IP地址也足够网络中客户机的需要。也就是说每个分割开的地址池都要比实际需求的地址量要大，这样才能保证最大的冗余性。

到底何种情况使用动态分配，何种使用静态呢?肯定要按实际的网络结构和需求来考虑，其中最重要的一个决定因素应该是网络规模的大小，这是直接决定网管员工作量的因素。所以简单的说，大型企业和远程访问的网络适合动态地址分配，而小企业网络和那些对外提供服务的主机适合用静态地址分配。

看了前面的叙述，读者可能觉得很枯燥，下面我们举个简单的例子来说明企业中大致哪些区域需要部署哪些IP资源，这样会容易理解一些。

示意图中以职能共划分为3个区域：对外公共服务器群组、内部服务器群组和内网客户端区域。这个示意图虽然简单，但是代表了大多数企业的网络基本构架。其中内网客户端区域部署私有IP地址，然后根据其数量和组织规模等因素来选择网段，并决定是否使用DHCP动态IP分配。其中，需要访问 Internet的客户端可以通过NAT技术实现，一般在企业防火墙后面另配置一个NAT设备(可能是代理服务器或路由器等)，在其上配置一个NAT池放置适当的公网IP以供内网机访问Internet的需要。还可在其上或其连接的下层3层交换机、路由器等设备上做ACL(访问控制列表)，以限制内网机访问Internet的权限。内网服务器区域由于只对内网用户提供服务，所以不需要公网IP也不需要过NAT，而且因其职能应该部署固定的私有IP。其中如果由于整体网络规模较大，内网服务器区与客户端区之间隔着路由器，那当使用DHCP服务器时，还要注意DHCP的过程使用了广播包，而路由器隔绝广播，这时需要在路由器上配置DHCP中继代理(在Cisco路由器需要的端口上使用ip-help address 即可打开中继代理)。这样对于客户端来说，得到IP地址的过程和访问本地DHCP没有什么区别，也就是说DHCP中继代理对客户端而言是透明的。最后的 DMZ区域放置着对外提供服务的服务器群组，这部分自然是部署固定的公网IP。当然，可能由于使用服务器集群等冗余和负载均衡措施，会使IP地址的分配策略稍有不同。一个典型的企业网络结构中，IP地址资源的分配和部署便大致如此了，细节部分肯定会因实际情况而不同，但是大的方向是不会有什么变化的。

总结：初期的IP地址规划和分配在整个网络的维护和扩展的难易度中，占了举足轻重的地位，会直接影响到后期维护、升级、运作的效率。所以请各位网管和网络规划人员千万不能等闲视之。