但是這些企業由于原來并沒有網絡管理和規劃的經驗，很多新上任的網管對IP地址的規劃管理不夠重視，以至于在以后需要擴展網絡或增加服務時造成很多不便，而且隨著時間的推移，沒有結構化的編制對日常的維護管理也會逐漸增加難度。所以，本文將對IP地址的分配和管理等方面做一個介紹，讓我們先來看看地址分配的幾個基本規則。

規則一：體系化編址

體系化其實就是結構化、組織化，根據企業的具體需求和組織結構為原則對整個網絡地址進行有條理的規劃。一般這個規劃的過程是由大局、整體著眼，然后逐級由大到小分割、劃分的。這其實跟實際的物理地址分配原則是一樣的，肯定是先劃分省市、再細分割出縣區、再細分出道路、再來是街巷，最后是門牌。從網絡總體來說，體系化編制由于相鄰或者具有相同服務性質的主機或辦公群落都在IP地址上也是連續的，這樣在各個區塊的邊界路由設備上便于進行有效的路由匯總，使整個網絡的結構清晰，路由信息明確，也能減小路由器中的路由表。而每個區域的地址與其他的區域地址相對獨立，也便于獨立的靈活管理。

注：將多條子路由條目匯總成一條都包含其內的總路由條目，這就是路由匯總或叫路由歸納。路由器在檢查計算路由時是比較消耗資源的，路由條目越多，路由表越長，則這個過程耗時越多，所以通過路由匯總減少路由表的長度，對提高路由器工作效率是很有幫助的。能不能進行有效的路由匯總、匯總的效率如何，都跟網絡結構中IP地址網段的分布有密切關系。IP地址的部署越連續而有條理，則路由匯總越容易也越有效，所以我們在部署網絡時應該重視體系化編址。在子網環境中，當網絡地址是以2的指數形式的連續區塊時，路由歸納是最有效的。

規則二：可持續擴展性

其實就是在初期規劃時為將來的網絡拓展考慮，眼光要放得長遠一些，在將來很可能增大規模的區塊中要留出較大的余地。IP地址最開始是按有類劃分的，A、B、C各類標準網段都只能嚴格按照規定使用地址。但現在發展到了無類階段，由于可以自由規劃子網的大小和實際的主機數，所以使得地址資源分配的更加合理，無形中就增大了網絡的可拓展性。雖然在網絡初期的一段可能很長的時間里，未合理考慮余量的IP地址規劃也能滿足需要，但是當一個局部區域出現高增長，或者整體的網絡規模不斷增大，這時不合理的規劃很可能必須重新部署局部甚至整體的IP地址，這在一個中、大型網絡中就絕不是一個輕松的工作了。

在這里讓我們對IP地址、掩碼、子網等概念做個簡述，以便于理解無類地址劃分的意義。

IPv4-網際協議版本4(Internet Protocol Version 4)是現行的IP協議。其地址通常用以圓點分隔號的4個十進制數字表示，每一個數字對應于8個二進制的比特串，稱為一個位組(octets)。如某一臺主機的IP地址為：128.10.2.1寫成二進制則為10000000.00001010.00000010.00000001。

網絡地址分為5類:

1.A類地址:4個8位位組(octets)中第一個octet代表網絡號,剩下的3個代表主機位.范圍是0xxxxxxx,即0到127。

2.B類地址: 前2個octets代表網絡號,剩下的2個代表主機位. 范圍是10xxxxxx,即128到191。

3.C類地址: 前3個octets代表網絡號,剩下的1個代表主機位. 范圍是110xxxxx,即192到223。

4.D類地址:多播地址,范圍是224到239。

5.E類地址:保留地址,實驗用,范圍是240到255。

一些特殊的IP地址:

1.IP地址127.0.0.1:本地回環(loopback)測試地址

2.廣播地址:255.255.255.255

3.IP地址0.0.0.0:代表任何網絡

4.網絡號全為0:代表本網絡或本網段

5.網絡號全為1:代表所有的網絡

6.主機位全為0:代表某個網段的任何主機地址

7.主機位全為1:代表該網段的所有主機

私有IP地址(private IP address):為了節約IP地址空間,并增加了安全性，保留了一些IP地址段作為私網IP，不會在公網上出現。處于私有IP地址的網絡稱為內網或私網,與外部進行通信就必須通過網絡地址翻譯(NAT)。

一些私有地址的范圍:

1.A類地址中:10.0.0.0到10.255.255.255.255

2.B類地址中:172.16.0.0到172.31.255.255

3.C類地址中:192.168.0.0到192.168.255.255

無類IP地址：首先要了解Subnet Masks(子網掩碼)，它用于辨別IP地址中哪部分為網絡地址,哪部分為主機地址,由1和0組成,長32位,全為1的位代表網絡號。不是所有的網絡都需要子網,因此就引入1個概念:默認子網掩碼(default subnet mask).A類IP地址的默認子網掩碼為255.0.0.0(由于255相當于二進制的8位1，所以也縮寫成“/8”，表示網絡號占了8位);B類的為 255.255.0.0(/16);C類的為255.255.255.0(/24)。

而無類的IP子網不使用默認子網掩碼，而是可以自由劃分網絡位和主機位，完全打破了A、B、C這樣的固定類別劃分。如這樣的地址：192.168.10.32/28，它的掩碼是255.255.255.240，最后一位組是11110000，也就是只剩后4位為主機位，前面28 位為網絡位，由于192.x.x.x屬于C類地址，默認24位掩碼，也就說這里多用了4位作為網絡位。使用這樣子網掩碼可以得到“2的x次方-2(x代表多占的掩碼位，這里是4)”=14個子網，這里減掉的2個為全0和全1的網段，每個子網包含“2的y次方-2(y代表主機位，這里也是4)”=14臺主機，這里減掉的2個是主機位全0和全1的地址。這樣本來的一個C類子網被劃分成了14個可用小子網(在某些情況下，初始的全0網段也是可用的，在Cisco路由器中使用IP SUBNET-ZERO命令之后,你就能使用全0網段，這樣可以得到15個可用子網)。可以看到，當需要的每個子網中主機數比較少時，可以用這種辦法節約IP資源，得到更多的子網。在實際使用中

無類IP地址：首先要了解Subnet Masks(子網掩碼)，它用于辨別IP地址中哪部分為網絡地址,哪部分為主機地址,由1和0組成,長32位,全為1的位代表網絡號。不是所有的網絡都需要子網,因此就引入1個概念:默認子網掩碼(default subnet mask).

A類IP地址的默認子網掩碼為255.0.0.0(由于255相當于二進制的8位1，所以也縮寫成“/8”，表示網絡號占了8位);B類的為255.255.0.0(/16);C類的為255.255.255.0(/24)。

而無類的IP子網不使用默認子網掩碼，而是可以自由劃分網絡位和主機位，完全打破了A、B、C這樣的固定類別劃分。如這樣的地址：192.168.10.32/28，它的掩碼是255.255.255.240，最后一位組是11110000，也就是只剩后4位為主機位，前面28 位為網絡位，由于192.x.x.x屬于C類地址，默認24位掩碼，也就說這里多用了4位作為網絡位。

使用這樣子網掩碼可以得到“2的x次方-2(x代表多占的掩碼位，這里是4)”=14個子網，這里減掉的2個為全0和全1的網段，每個子網包含“2的y次方-2(y代表主機位，這里也是4)”=14臺主機，這里減掉的2個是主機位全0和全1的地址。

這樣本來的一個C類子網被劃分成了14個可用小子網(在某些情況下，初始的全0網段也是可用的，在Cisco路由器中使用IP SUBNET-ZERO命令之后,你就能使用全0網段，這樣可以得到15個可用子網)。

可以看到，當需要的每個子網中主機數比較少時，可以用這種辦法節約IP資源，得到更多的子網。在實際使用中，如你給一個點對點的連接中兩端的設備分配IP地址，如果你嚴格按照有類別的子網劃分去分配地址，那么你只能分一個C類子網給它，一個C類網包含254(即2的8次方-2)個可用地址，而你只使用2個，那么將浪費252個可用地址。

這時如果使用/30的掩碼，則一個子網只包含2(即2的2次方-2)個有效地址，這樣劃分出來的其他子網地址還可利用。

超網(supernetting) ：超網是與子網類似的概念(也可以說是相對的概念)，IP地址根據子網掩碼被分為獨立的網絡地址和主機地址。但是，與子網把大網絡分成若干小網絡相反，它是把一些小網絡組合成一個大網絡--超網。可以說超網是一個地址聚合的概念，它和路由匯總有緊密的關系。關于路由匯總和超網的計算方法這里簡略說明一下。如，一路由器的路由表中有如下幾個條目：

目的IP地址 掩碼 下一跳(或網關)

192.168.0.0 255.255.255.0 10.1.1.2

192.168.1.0 255.255.255.0 10.1.1.2

192.168.2.0 255.255.255.0 10.1.1.4

其中前兩條下一跳地址相同，可以想象這兩個子網是掛在一個路由器下面的，那么這兩條路由可以匯總為：目的IP地址192.168.0.0，掩碼 255.255.254.0，下一跳10.1.1.2這樣的一條路由。為什么不能寫成192.168.0.0 255.255.0.0 10.1.1.2呢?因為這樣的匯總不精確，它包含了那個路由器下實際上并不存在的一些子網(192.168.2.0～192.168.255.0)，其中最明顯的就是路由表中192.168.2.0這個子網就是在10.1.1.4下面，那么路由就會出錯了。那么路由匯總中的掩碼是怎么算的呢?

我們都知道IPv4的地址是由4段8位的二進制數組成，一部分是網絡位，一部分是主機位。其對應的子網掩碼網絡位部分就是全1的二進制數，而主機位就是全0的二進制數。每個信息包在過路由器時會檢查其目的IP，和路由表中路由條目的子網掩碼做“與”運算，并與路由條目中目的IP進行比對，相同的就按照這條路由規則轉發，不相同的就再檢查比對下一條。

可以看出我們做的匯總路由的操作，就是將多條路由條目中目的IP相同的網絡位提取出來寫成一條。如上面路由表中的第一條：目的IP為 192.168.0.0;第二條：目的IP為192.168.1.0。我們只提取了前面的兩段192.168，而后面的第三段網絡位中還是有相同的部分的。

192.168.0.0中第三段寫成二進制數為00000000(8位0)，182.168.1.0中第三段寫成二進制數為 00000001(7位0，1位1)，那么它們的前7位是相同的，在對應的子網掩碼位置上就應該是11111110(7位1，1位0)，合成十進制為 254。

所以這條匯總路由應該寫成：目的IP為192.168.0.0，子網掩碼255.255.254.0，下一跳10.1.1.2。這樣，這條匯總路由只包含192.168.0.0和192.168.1.0兩個子網，是一條精確的匯總路由。這時發送到192.168.2.0網段的信息包，其第三段網絡位寫成二進制為00000010(前6位0)，就不包含在這條精確的匯總路由內了。

#p#

規則三：按需分配公網IP

相對于私有IP而言，公網IP是不能由自己完全做主要求的，而是ISP等機構統一分配和租用的。這就造成了公網IP要稀缺的多，所以對公網IP必須按實際需求來分配。如：對外提供服務的服務器群組區域，不僅要夠用，還得預留出余量;而員工部門等僅需要瀏覽Internet等基本需求的區域，可以通過NAT(網絡地址轉換)來多個節點共享一個或幾個公網IP;最后，那些只對內部提供服務，或只限于內部通訊的主機自然不用分配公網IP了。公網IP具體的分配，必須根據實際的需求，進行合理的規劃。

注：NAT(Network Address Translation)是一種把內部私有網絡地址(IP地址)翻譯成合法網絡IP地址的技術。內部網絡用戶連接互聯網時，NAT 將用戶的內部私有IP地址轉換成一個外部公網IP地址;反之，數據從外部返回時，NAT反向將目標地址替換成初始的內部用戶的地址。其中的過程基于地址端口的一張記錄表，使返回的地址端口信息和發出的信息能對照起來。現在市面上的寬帶路由共享設備就是基于這個技術來使局域網多臺PC共享一個公網IP的。并且由于NAT隱藏了內部IP地址，所以構成了一個天然的防火墻，使得外網用戶無法直接看到內網主機。正是由于這個原因，使得一些主機上的對外服務不能被外網用戶直接訪問到，由此出現了端口映射的概念。這時必須通過端口映射將其內網主機對外服務端口映射到公網IP上，這樣外網用戶再訪問你的公網IP服務端口時，路由器才會自動將訪問轉移到映射的主機上。

另外，由于現在的IPv4網絡正在向IPv6過渡，將來很可能出現一段很長的IPv4和IPv6共存的時期，所以現在構建網絡時應盡量考慮到對IPv6的兼容性，選擇能支持IPv6的設備和系統，以降低升級過渡時的成本。

靜態和動態分配地址的選擇

在何種環境下使用靜態或動態分配IP，這個問題需要從這兩類分配機制的優缺點談起。

第一，動態分配地址由于地址是由DHCP服務器分配的，便于集中化統一管理，并且每一個新接入的主機都能夠通過非常簡單的操作就可以正確獲得IP地址、子網掩碼、缺省網關、DNS等參數，在管理的工作量上比靜態地址要減少很多，而且越大的網絡越明顯。而靜態分配就正好相反，需要先指定好那些主機要用到那些IP，絕對不能重復了，然后再去客戶主機上挨個設置必要的網絡參數，并且當主機區域遷移時，還要記錄釋放IP，并重分配新的區域IP和配置網絡參數。這需要一張詳細記錄IP地址資源使用情況的表格，并且要根據變動實時更新，否則很容易出現IP沖突等問題，可以想見這在一個大規模的網絡中工作量是多么可怕。但是在一些特定的區塊，如服務器群區域，每臺服務器都有一個固定的IP地址這在絕大多數情況下都是必須的。當然，也可以使用DHCP的地址綁定功能或者動態域名系統來實現類似的效果。

第二，動態分配IP，可以做到按需分配地址，當一個IP地址不被主機使用時，能釋放出來供別的新接入主機使用，這樣可以在一定程度上高效利用好 IP資源。DHCP的地址池只要能滿足同時使用的IP峰值即可。靜態分配必須考慮更大的使用余量，很多臨時不接入網絡的主機并不會釋放掉IP，而且由于是臨時性的斷開和接入，手動去釋放和添加IP等參數明顯是受累不討好的工作，所以這時必須考慮使用更大的IP地址段，確保有足夠的IP資源。

第三，動態分配要求網絡中必須有一臺或幾臺穩定且高效的DHCP服務器，因為當IP管理和分配集中的同時，故障點也相應集中起來了，只要網絡中的DHCP服務器出現故障，整個網絡都有可能癱瘓，所以在很多網絡中DHCP服務器不止一臺，而是另有一臺或一組熱備份的DHCP服務器，在平時還可以分擔地址分配的工作量。另外，客戶機在與DHCP服務器通信時，如：地址申請、續約和釋放等，都會產生一定的網絡流量，雖然不大，但是還是要考慮到的。而靜態分配就沒有上面的這兩個缺點，而且靜態地址還有一個最吸引人的優點，就是比動態分配更加容易定位故障點。在大多數情況下，企業網管在使用靜態地址分配時，都會有一張IP地址資源使用表，所有的主機和特定IP都會一一對應起來，出現了故障或者對某些主機進行控制管理時都比動態地址分配的要簡單的多了。

注：做DHCP服務器冗余時要注意，為了防止多臺DHCP服務器為不同的客戶機分配同一個IP地址，應該將該子網的IP段分割成幾個部分，然后分別分配到各個DHCP服務器的作用域中，多臺DHCP服務器的地址池不能有重疊。另外，還得保證即使只有單臺DHCP工作時，所提供的IP地址也足夠網絡中客戶機的需要。也就是說每個分割開的地址池都要比實際需求的地址量要大，這樣才能保證最大的冗余性。

到底何種情況使用動態分配，何種使用靜態呢?肯定要按實際的網絡結構和需求來考慮，其中最重要的一個決定因素應該是網絡規模的大小，這是直接決定網管員工作量的因素。所以簡單的說，大型企業和遠程訪問的網絡適合動態地址分配，而小企業網絡和那些對外提供服務的主機適合用靜態地址分配。

看了前面的敘述，讀者可能覺得很枯燥，下面我們舉個簡單的例子來說明企業中大致哪些區域需要部署哪些IP資源，這樣會容易理解一些。

示意圖中以職能共劃分為3個區域：對外公共服務器群組、內部服務器群組和內網客戶端區域。這個示意圖雖然簡單，但是代表了大多數企業的網絡基本構架。其中內網客戶端區域部署私有IP地址，然后根據其數量和組織規模等因素來選擇網段，并決定是否使用DHCP動態IP分配。其中，需要訪問 Internet的客戶端可以通過NAT技術實現，一般在企業防火墻后面另配置一個NAT設備(可能是代理服務器或路由器等)，在其上配置一個NAT池放置適當的公網IP以供內網機訪問Internet的需要。還可在其上或其連接的下層3層交換機、路由器等設備上做ACL(訪問控制列表)，以限制內網機訪問Internet的權限。內網服務器區域由于只對內網用戶提供服務，所以不需要公網IP也不需要過NAT，而且因其職能應該部署固定的私有IP。其中如果由于整體網絡規模較大，內網服務器區與客戶端區之間隔著路由器，那當使用DHCP服務器時，還要注意DHCP的過程使用了廣播包，而路由器隔絕廣播，這時需要在路由器上配置DHCP中繼代理(在Cisco路由器需要的端口上使用ip-help address 即可打開中繼代理)。這樣對于客戶端來說，得到IP地址的過程和訪問本地DHCP沒有什么區別，也就是說DHCP中繼代理對客戶端而言是透明的。最后的 DMZ區域放置著對外提供服務的服務器群組，這部分自然是部署固定的公網IP。當然，可能由于使用服務器集群等冗余和負載均衡措施，會使IP地址的分配策略稍有不同。一個典型的企業網絡結構中，IP地址資源的分配和部署便大致如此了，細節部分肯定會因實際情況而不同，但是大的方向是不會有什么變化的。

總結：初期的IP地址規劃和分配在整個網絡的維護和擴展的難易度中，占了舉足輕重的地位，會直接影響到后期維護、升級、運作的效率。所以請各位網管和網絡規劃人員千萬不能等閑視之。