6.5 Wi-Fi网络IP地址分配

6.5.1 IP地址基础

IP地址是给每个连接在Internet上的主机(或路由器)分配的一个在全世界范围唯一的32比特的标识符。为了方便记忆,可将32位二进制数表示的IP地址分为4段,每段8位换算为10进制表示,并使用小数点隔开。这样就形成了我们常见的IP地址。

每个IP地址由两部分组成,一部分标识系统所连接的网络,即网络地址部分;另一部分标识该网络中的特定主机,即主机地址部分。

为了适应不同规模的网络,可将IP地址分5个类型,每个地址的最高位或起始几位标识地址的类型,如图6-6所示。

图片

图6-6 IP地址类别

各类IP地址的地址范围及其可容纳的网络数、主机数如表6-12所示。

  表6-12     各类IP地址可容纳的网络数、主机数及其地址范围

图片

由于IP地址的数量有限,为了解决IP地址枯竭的问题,IP网络地址的多重复用技术应运而生,例如动态主机分配协议(Dynamic Host Configuration Protocol,DHCP)、VLSM子网划分、网络地址转换(Network Address Translation,NAT)等。通过使用地址复用技术,可以使若干物理网络共享同一个IP网络地址,从而在一定程度上缓解IP地址不足的情形。

子网编址(Subnet Addressing)技术是使用最广泛的IP网络地址复用方式。子网编址技术将32位的IP地址分为两部分,即网络号和主机号,分别把它们叫做IP地址的“网间网部分”和“本地部分”;并将“本地部分”进一步划分为“物理网络”部分和“主机”部分,其中“物理网络”部分用于标识同一个IP网络地址下的不同物理网络,常称为子网掩码ID,据此掩码ID来识别不同的子网。

由于IPv4的32位地址数量有限,有时在申请的IP地址段范围内无法为每个需要地址的设备分配一个独立的公有IP地址。此时应用私有IP地址也是解决公有IP地址不足的一个途径,如表6-13所示。在这个范围内的IP地址不能被路由选择到Internet骨干网上,Internet路由器将丢弃该私有地址。需要将使用私有IP地址的网络接入Internet时,用一台NAT服务器把它转化成公有IP地址即可。

  表6-13     私有IP地址

图片

6.5.2 NAT概述

NAT是指在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通信时,在网关处将内部地址转换成公用地址,从而实现与外部公网的正常通信。

NAT有三种类型:静态NAT(Static NAT)、动态NAT(Pooled NAT)和网络地址端口转换(Network Address Port Translation,NAPT)。

静态NAT设置最为简单且最容易实现,内部网络中的每个主机都被永久映射成外部网络中某个合法的地址。而动态NAT则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据网络配置的不同需求,三种NAT方案各有利弊。

动态NAT只是转换IP地址,它为每一个内部的IP地址分配一个临时的外部IP地址,主要应用于拨号,对于频繁的远程连接也可以采用动态NAT。当远程用户连接上之后,动态NAT就会为用户分配一个IP地址,用户断开时会释放此IP地址。

NAPT普遍应用于接入设备中,可以将中小型的网络隐藏在一个合法的IP地址之后。NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时将该IP地址加上一个由NAT设备选定的TCP端口号。在Internet中使用NAPT时,所有不同的信息流看起来好像来源于同一个IP地址。

NAT功能通常被集成到路由器、防火墙、综合业务数字网(Integrated Service Digital Network,ISDN)路由器或者单独的NAT设备中,NAT可以自动修改IP报文头中的源IP地址和目的IP地址,IP地址校验则在NAT处理过程中自动完成。思科路由器中已经加入了NAT功能,网络管理员只需在路由器的IOS中设置NAT功能,就可以实现对内部网络的屏蔽。例如防火墙将WEB服务器的内部地址192.168.10.1映射为外部地址202.60.11.2,外部访问地址202.60.11.2实际上就是访问内部地址192.168.10.1。

目前,NAT技术已经被广泛应用于各种类型的Internet接入方式和各种类型的网络中,不仅高效地解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的服务器。

6.5.3 IP地址分配原则

规范、科学、统一的地址规划对于Wi-Fi网络建设和Wi-Fi网络业务的发展具有战略性的指导作用。地址规划是在充分考虑拟建Wi-Fi网络规模、开展业务内容、提供服务级别和未来发展方向等问题的基础上,对整个网络体系结构作出的抽象设计。

科学的地址规划是网络管理与网络安全的基本保障和客观要求。通过合理的地址规划,可以方便地实现对网络的分级管理,降低各种人力和设备的开销。同时,科学的地址结构还有利于在不同层次实施可靠的网络策略,从而保证整个网络的安全要求。在进行Wi-Fi网络的IP地址规划分配时,应遵循以下几个原则。

(1)自治原则

Wi-Fi网络可被划分成几个大的自治区域,每个大自治区域又被划分成几个小的自治区域。运营商的网络可以划分成等级不同的自治网络——省网、城域网、用户驻地网等。依据省份将网络划分成各个省网,各个省网之间的网络连接构成省际骨干网;每个省网可以分成多个地市网络,每个地市网络形成一个城域网,各城域网之间的相互连接构成省内骨干网;用户驻地的Wi-Fi可以连接到城域网边缘的汇聚点。

(2)顺序原则

按照自治原则将网络进行逻辑划分后,就可以根据地域、设备分布及区域内用户数量来进行子网规划。在进行地址分配时,为了提高地址分配效率和地址利用率,应按照一定的顺序进行。可以采用自上而下的顺序,也可以采用自下而上的顺序,或者是二者结合使用。

(3)可持续发展原则

由于网络用户数的持续增长,Wi-Fi所要承载的业务量和业务种类越来越多,使得原有的Wi-Fi网络需要频繁进行技术升级、改造和扩容。因此,在进行Wi-Fi地址分配时必须要充分考虑到这些因素,为网络中各部分保留冗余地址,这样才能保证网络的可持续发展。

(4)可聚合原则

可聚合原则要求我们在进行地址规划时,应提供足够的路由冗余功能。在路由表急剧膨胀的情况下,可聚合原则是网络地址分配时所必须遵守的最高原则,原因有以下两个方面。

第一,根据IPv4地址的三种主要类型来分配地址已经造成了互联网络地址资源的严重浪费。路由表在IP地址分配基本单位逐渐减小的情况下,正变得越来越大。

第二,IPv6地址与IPv4地址在较长的时间之内还要共存,这使得网络不仅要承担原本就非常庞大的IPv4路由,还要额外承担新增加的IPv6路由。由于IPv6地址空间非常庞大,如果规划不合理,其路由条目可能会非常庞大,并且还会以较高的速度增长。

(5)与过渡技术相结合原则

由于网络要由IPv4向IPv6过渡,而每种过渡技术对网络又有不同的要求,因此在地址分配时要充分考虑到所使用过渡技术的特点。例如在使用IPv4向IPv6过渡技术时,要求为网络分配以2002开头的IPv6地址;在配置自动隧道时,要求执行隧道功能的节点的IPv6地址为IPv4兼容地址等。

(6)静态分配与动态分配相结合原则

为了节约地址和减少网络维护管理的工作量,在地址分配时需要采用静态分配与动态分配相结合的方法。如果某些设备必须使用固定的地址,可以采用静态分配的方法;如果没有必要使用固定地址,则可以采用动态分配(包括有状态自动配置和无状态自动配置)的方法。动态编址的最大缺点是外界无法固定地寻址到某台具体的主机,主机无法为外界提供网络服务。因此,使用动态编址技术有时还需要采用混合方法进行地址分配,即采用静态分配的方法为服务器等为外界提供网络服务的设备分配地址,采用动态分配的方法为普通主机分配地址。

(7)公网地址与私网地址相结合原则

可用的公网地址数量有限,但私网地址可在不同场合中重复使用,两者相互结合是解决地址数量不足的途径之一。

(8)尽量节约IPv4地址的使用

IPv4地址的节约可以通过动态编址技术和NAT技术来实现。动态编址技术可以通过DHCP来实现,即当一个设备连接到网络时会向DHCP服务器申请租借IP地址;当该设备与网络断开连接时会释放所租借的IP地址,DHCP服务器可以将该IP地址分配给其他设备。

6.5.4 IP地址分配方法

结合具体的Wi-Fi网络规模结构和用户对服务级别的不同要求等因素,在对IP地址进行规划时,可按照以下步骤完成IP地址分配。

(1)确定Wi-Fi网络的组成部分,区分客户服务和电信运营商的内部基础设施。

(2)确定设备和拓扑变化情况,要兼顾网络冗余的考虑和网络扩大规模的考虑。

(3)在确定实施阶段,需要分别按当前(开始)和12个月后进行地址规划说明,IP地址的分配策略以满足1年的网络及用户需求为准。

6.5.5 Wi-Fi网络用户终端IP地址方案

由于公网地址资源有限,而Wi-Fi用户具有移动性和上下线时间不确定的特点,如为用户分配一个固定的公网IP地址,则有可能造成IP地址资源的浪费。目前部分地区用于Wi-Fi网络的IP地址已经出现了紧缺的现象。因此,建议用户终端的IP地址应使用私网IP地址,为每个热点中的每个AP所对应的用户统一分配独立的网段,满足用户的上网需求。用户终端IP地址的分配可采用如下策略。

(1)AC内置地址池,通过DHCP机制动态分配B类(最多支持2(32-12)=1 048 576个用户)私有IP地址给用户终端,并根据子网中用户数量设置子网掩码,且子网掩码的计算需具有较好的可扩展性。

(2)每个DHCP服务器为不同热点AP的用户配置不同的连续网段,从而保证用户的私网IP地址全局唯一。

(3)不同的网络在热点的地理位置要保持连续性,使IP地址有更好的聚合效应,以减少路由表的大小。

(4)AC配置NAT,并建议采用动态NAT技术。

本方案为用户配置私有IP地址,可保证最多2(32-12)=1 048 576个用户同时在线,且IP地址唯一,足以满足Wi-Fi业务未来发展的需求。此外,AC或BRAS需支持NAT技术。

6.5.6 Wi-Fi网络AP的IP地址方案

针对AP的IP地址划分,考虑到AP流量管理以及AP设备的网管规划,建议为AP分配唯一C类私有IP地址。C类私有IP地址,最多支持2(32-16)=65 536个主机,即支持在一定范围内部署65 536个分配私网IP地址的AP设备,既保证了AP地址在地域上的连续性,同时也可满足未来AP的可扩充性。

AP的IP地址分配示例如表6-14所示。

  表6-14     AP的IP地址分配示例

图片

这样,AP的IP地址就和该AP用户的IP地址建立了对应关系。根据单个AP接入的用户数上限为30,并考虑到AP的冗余性设置,可以最多为每个AP预留64个对应的用户IP地址,其对应示例表如表6-15所示。

  表6-15     AP与对应用户的IP地址示例

图片

6.5.7 Wi-Fi网络AC与其他设备的IP地址方案

Wi-Fi接入设备IP地址的分配应该和城域网IP地址的分配统一规划。Wi-Fi网络AC和其他设备的地址分配可采用如下方案。

(1)根据Wi-Fi接入设备的部署和网管需要,为AC分配C类私有IP地址,并分上行和下行IP地址(可连续),单独作为一个子网。在AC构成的子网内,具有上行和下行两个IP地址,考虑到子网IP地址的起始和结束地址保留,则为AC子网分配两位主机地址,则22=4即可满足上行和下行地址分配需求,其子网掩码为32-2=30。同时,AC具有NAT功能,将用户和AP的私有IP地址转换为公有IP地址。

(2)BRAS沿用原有IP地址,并提供NAT功能。

(3)本地远端用拨入验证服务(Remote Authentication Dial In User Service,RADIUS)认证服务器、Portal服务器,沿用原有公有IP地址。

(4)防火墙地址:配置C类私有IP地址,位于隔离区(Demilitarized Zone,DMZ)的防火墙配置公网地址,位于内网的防火墙配置私网IP地址。

(5)网管网地址:根据划分的网管子网分配C类私网IP地址。

6.5.8 Wi-Fi网络IP地址分配实例

这里,本文以西德胜热点地区为例,说明Wi-Fi用户IP地址和设备IP地址的分配方案。

(1)用户IP地址:分配私网IP地址,根据AP分配,如某AP用户规模为30,则IP地址分配172.16.0.0/26,即172.16.0.0至172.16.0.63。

(2)AP:分配C类私网IP地址,假设30个AP,计算其IP地址范围192.168.0.11到192.168.0.40。

(3)AC:分配私网IP地址,上行端口地址192.168.1.1/30。

(4)BRAS服务器:分配公网IP地址,211.136.243.69。

(5)DNS服务器地址:分配公网IP地址,211.136.243.70。

(6)流量识别服务器:分配私网IP地址,192.168.100.0/30。

(7)网管服务器:分配私网IP地址,192.168.200.0/28。