【干货】组建园区无线局域网时如何规划设计IP以及VLAN？

IP/VLAN规划是园区局域网设计实现的一项重要内容，不合理的规划会直接影响日后的网络管理维护。所谓IP / VLAN规划，就是为接入园区网的所有设备，包括交换机、路由器、防火墙、服务器、客户机、打印服务器等，分配一个惟一的IP地址，并为其指定适当的VLAN。考虑到日后的扩展、维护等问题，园区网的IP/VLAN规划不仅应符合网络设计规范，还要有规律、易记忆，能反映园区网的特点。

园区网选用的主干技术、拓扑结构不同，IP/VLAN规划也会有所区别。本文主要针对在园区网建设中应用比较广泛的网络拓扑就其IP/VLAN规划需要考虑的问题进行讨论。

在进行园区网IP/VLAN规划前，绘制一幅准确的园区网拓扑图是不可缺少的。准确的网络文档对于日后的升级和分析问题很有帮助。图1所示，是一幅典型的园区网拓扑图。

1． 确定园区网－内网IP地址的类型

现在园区网建设中IP地址规划均采用私有地址进行设计，即由Internet地址授权机构（IANA）为园区网－内网分配RFC1918中定义的非Internet连接的网络地址，留出了三类网络地址，给不连到Internet上的专用网使用。园区网－内网可以采用私有IP地址的网络地址分配方案; 园区网－外网、DMZ区使用合法互联网IP地址。

网络主机比较多即网络人数比较多大型网络可以采用172和10网段地址，如果是网络较小的可以采用192.168网段的地址进行规划。

2． 规划主交换机端口VLAN 及网络设备IP

如图1所示，网络中的主交换机提供了到各楼宇二级交换机的连接，因此为主交换机的端口指定VLAN 是规划整个内部网的关键。

特别注意，由于A号楼、B号楼、C号楼除了有VLAN1、VLAN2、VLAN3的用户，都包含部分VLAN7用户，所以它们的千兆上联端口也都包含了VLAN7（举例）。

将网络中的主交换机、二级交换机都划到VLAN11，实现对网络设备安全、有效管理。

3． 规划虚拟局域网IP地址

在具有三层交换功能的园区网中，可以按照物理建筑划分虚拟局域网；也可以按职能部门划分虚拟局域网（VLAN），VLAN成员可以不受地理位置的限制。

VLAN划分分为两类，根据接入层交换机的端口划分称为静态VLAN，根据网卡的MAC地址划分称为动态VLAN。当园区网规模较大时，动态VLAN实现较为复杂，一般较少采用；应用最多的还是静态VLAN。为了方便日后的维护管理，VLAN与IP子网之间一般是一一对应的关系。

针对有些部门办公地点分散在几栋楼宇的情况，可以将对应楼宇交换机的指定端口统一划到一个指定VLAN。这正是使用VLAN技术的优势， 其成员不受地理位置的限制。

4．规划防火墙、路由器、服务器的IP地址

WWW/MAIL/DNS服务器、防火墙的DMZ网卡、防火墙的外网卡、路由器以太网口1、路由器以太网口2、路由器广域网口1应该使用从ISP申请到的合法IP。防火墙的DMZ区，如果需要可增加服务器。

5． 规划园区网内网用户的IP地址

规划完子网与VLAN，接下来就要考虑园区网用户IP的分配方式。

针对用户比较集中、信息点位置相对固定的情况，建议使用静态IP。这对于日后的管理、维护、故障排查非常重要，管理员可以根据IP地址迅速确定主机所在位置。使用静态IP，园区网用户与联接交换机的端口处于同一VLAN。为方便新的用户IP地址的分配，应做好现有用户IP地址的记录。

当用户变动较大，信息点数量无法准确计算时，建议使用动态IP。动态IP的优势在于方便用户使用，特别适合计算机基础较弱的用户群体。用户只需要将网络属性中的IP地址栏设成自动获取，用户的本机IP、缺省网关、DNS、WINS等关键信息，会自动从DHCP服务器中得到。

使用DHCP服务器可以大大减轻管理员的工作，但也会带来一些新的问题，例如：需要用一台主机提供DHCP服务；在上网计算机较多的情况下，如果DHCP服务器不稳定，会出现IP不能回收、IP发放不出去等问题。

6．园区网内网NAT实现

当园区网的IP / VLAN规划基本完成后，要采用网络地址转换（NAT）技术，即通过1 个或几个外部IP 地址来实现园区网－内网用户访问Internet。目前支持NAT的产品非常多，可以是软件，比如Winrouterpro、Sygate、Wingate、Winproxy 等；也可以是硬件，比如路由器、防火墙，目前园区网中以硬件产品为主。