教育城域網IP 地址分配方式分類：城域網技術類 摘要：本文簡要介紹了在教育城域網建設中存在的三種主要的IP 地址分配方式，并祥細分析了這三種方式各自的優(yōu)點和缺點，以期為廣大教育信息化工作者提供一點

教育城域網IP 地址分配方式

分類：城域網技術類 摘要：本文簡要介紹了在教育城域網建設中存在的三種主要的IP 地址分配方式，并祥細分析了這三種方式各自的優(yōu)點和缺點，以期為廣大教育信息化工作者提供一點借鑒

關鍵詞：教育城域網；IP 地址；市（區(qū)）教育信息中心

教育城域網是城域網的一個類別，是教育行業(yè)的城域專網，它為教育組織擁有和使用，提供學校、教育單位等局域網的互連途徑，是以網絡技術為基礎的區(qū)域教育整體信息化集成應用系統(tǒng)。教育城域網一般在一個地級市的范圍內建設，主要包括市教育信息中心、區(qū)（縣）教委信息中心、學校等，由市教育信息中心統(tǒng)一出口上互聯(lián)網。它的拓樸圖一般采用三層樹狀結構，如下圖所示：

在這個三層樹形結構的網絡上如何規(guī)劃、分配IP 地址是教育城域網建設者首先考慮的問題之一，筆者實地考察了山東的濟寧、煙臺、淄博、壽光等地區(qū)的教育城域網建設，并結合自己的實際工作經驗，就教育城域網IP 地址分配方式進行了歸納總結，主要有以下三種方式：

一、網內全部采用教育網IP 地址段。

這種方式比較簡單，網內IP 地址單一。由于全部采用教育網IP 地址段，根據目前教育城域網可申請到的IP 地址段一般為16個C 或32個C ，總共4096個IP 地址或8192個IP 地址。而一個地級市的教育城域網內一般有1千到幾千所學校，上萬臺或幾萬臺機器，更有甚者幾十萬臺機器，所以受IP 地址數量限制不可能給網內的每一臺機器分配一個教育網IP 地址，必須有一部分機器通過代理或地址轉換（NAT ）上網。一般是市（區(qū)）教育信息中心全部采用真實教育網IP 地址，可對內部用戶和外部用戶提供WEB 、DNS 、FTP 、MAIL 、資源等服務。學校只分配少量的教育網IP 地址，學校內部用戶此時要通過NAT 上網，學校的WEB 、FTP 、資源等服務根據學校自身和占有的網絡帶寬等情況可把它們放到學校的服務器上或市（區(qū)）信息中心的服務器上。

這種IP 地址分配方式的優(yōu)點是：區(qū)（市）信息中心只做IP 數據包轉發(fā)工作，不做占用CPU 和內存較大的NAT 工作，所以主干網比較暢通，數據包轉發(fā)較快，可減輕作為網絡樞紐的區(qū)（市）信息中心的網絡負載?？梢哉f是一種比較合理的IP 地址分配方式。

缺點是：各接入學校或教育行政部門上外網或學校之間的數據交換都

要做NAT 工作，所以根據學校的機器數量要配備性能不等的NAT 設備。根據筆者的實踐經驗，用一臺LINUX 服務器做NAT 效果很好，可省去昂貴的硬件防火墻。LINUX 服務器配置如下： CPU， P4 1.7G；內存，256M ；兩塊高性能的100M 網卡。此時的配置可支持30M 以下的網絡出口流量和大約最高500用戶同時在線的校園網。如果考慮到網絡安全，還可在LINUX 服務器上配置性能較好包過濾防火墻。當然，就整個網絡來說還要每月支付一定數量的教育網費用。

二、網內全部采用假地址。

網內全部采用假地址的教育城域網主要是為了節(jié)省教育網每月要交的那部分費用，出口ISP 一般為電信或網通，每月所需費用要比教育網低的多，而且可提供比教育網高的多的網絡帶寬。它們分配一定數量的公網IP 地址（當然，比教育網分配的IP 地址要少的多，一般能分配一個C 的地址就不錯了，根據雙方協(xié)商情況而定。）作為網內的地址轉換或WEB 、DNS 、FTP 、MAIL 、資源等服務。這些公網IP 根據情況可設置到市（區(qū)）信息中心或學校，各接入學校用戶通常只能使用假地址了，根據學校機器數量分配一個段（256個）或多個段的假地址，如果學校有放置的WEB 、FTP 、資源等服務器要對外發(fā)布，通常采用靜態(tài)NAT 映射或公網IP 的端口映射等方式實現(xiàn)。

采用這種方式的優(yōu)點是：如果采用10.0.0.0/8段的IP 地址，那么它的地址空間相對于網內機器數量來說應當是足夠大，可保證分到每一臺機器上一個假地址，所以采用這種方式對于學校局域網絡接入信息中心非常方便，不論學校的校園網的規(guī)模如何，只要在每臺機器上配置好信息中心

統(tǒng)一分配的IP 地址就可以了。此時學校內部或學校之間的數據交換可以直接進行，不需要做NAT ，在市（區(qū)）信息中心的交換機上開啟三層路由以后，從一個學校的某臺機器甚至可以通過“網上鄰居”直接訪問另一所學校的某臺機器上的文件。同時，由于IP 地址是直接、平等的分到每一臺機器上的，可以很方便的啟用windows 的域用戶管理，通過windows 的“域”來方便的管理網內的每一臺機器。如果學校機器數量較多，修改每臺機器原有的地址比較麻煩，那么只在學校的出口處再做一次NAT 就可以了，接入信息中心方式比較靈活。再一個就是學校一般不需要配備NAT 設備，節(jié)約了學校開支。

采用這種方式的缺點是：由于網內全部采用了假地址，所以在教育城域的統(tǒng)一出口處要做NAT ，這樣對出口設備的NAT 性能要求很高，一般要配備價格比較昂貴的硬件防火墻或路由器。

三、混合方式

這種方式就是網內既有教育網IP 地址用戶，也有假地址用戶。使用教育網IP 地址的學校一般是那些規(guī)模較大，網絡服務應用較多的學校，這樣就分配給它較多的教育網IP 地址，甚至是每臺機器上都配置教育網IP 地址。對于那些學校微機數量較少，不對外提供網絡應用服務的學校，只分配給他們假地址就可以了。分配給它們假地址以后，就要進行地址翻譯（NAT ）工作，根據當地情況，NAT 工作可以由學校內部做，也可以由市（區(qū)）信息中心統(tǒng)一做。就實際應用來看，一般都是由市信息中心統(tǒng)一做NAT ，主要目的是為了方便學校接入。在市（區(qū)）信息中心的交換機上啟來三層路由以后，分配教育網地址的學校和分配假地址的學校之間一樣可

以互訪。與以上兩種方式相比較而言，這種方式可以說是一種比較靈活的連接各學校的方式。

如果教育城域網只有一個教育網出口，就出口IP 分配來說，按第一種方式配置就可以了。如果此時有多個出口，還有電信出口或網通出口，那么此時網內即有公網IP 地址段，也有教育網IP 地址段和假地址段，此時的IP 地址分配方式更加靈活，原因是：

（１）教育城域網內對外提供的服務，像WEB 、DNS 、FTP 、MAIL 、資源等服務可能同時給它們分配教育網IP 地址和公網IP 地址，域名解析也申請教育網上的和公網上的，這樣可提高訪問這些資源的效率。當外網用戶通過教育網線路訪問本地的WEB 服務器時，WEB 服務器就通過教育網線路返回給用戶，相應的，通過公網線路訪問本地的WEB 服務器時也是如此。 （２）可利用策略路由實現(xiàn)出口訪問的優(yōu)化配置：ChinaNET 通常是包月形式，無論網內使用的流量有多大，每月固定收取一定費用。但是由于通過ChinaNET 訪問CERNET 的資源速度比較慢，而且教育網中有些資源是對ChinaNET 屏蔽的，通過ChinaNET 完全無法訪問，所以如果網內只使用ChinaNET 的出口，則會造成無法正常利用教育網資源。而完全通過教育網來對外訪問，則會因為流量巨大造成網絡資費過高（教育網資費可由如下網址查詢http://www.edu.cn/20020405/3024422.shtml）?；谒俣取①Y源利用情況和費用的考慮，教育城域網一般采用如下方式確定訪問方式：訪問賽爾網絡提供的免費地址列表中的地址，通過CERNET 出口訪問，訪問CERNET “免費”地址列表以外的地址，通過ChinaNE 出口。

（３）由于公網IP 不可能分配太多，所以公網IP 地址一般用在出口位置

做NAT 或用在對外提供的應用服務器上。教育網IP 地址段要分配在出口位置、應用服務器上和部分學校用戶。根據目前實際應用的情況看，由于可申請到的教育網IP 地址空間也不是足夠大，還必須有一部分用戶使用假地址。當使用教育網IP 地址用戶要訪問教育網時要從教育網出口直接出去，訪問公網時做NAT ；使用假地址的用戶訪問教育網和公網時都要做NAT 。實現(xiàn)上述功能的出口網絡結構如下圖所示：

圖中交換機A 為二層交換機，只做數據包轉發(fā)；核心交換機上配置教育網IP 地址用戶到教育網和公網的策略路由，可根據教育網的目的IP 地址段做轉發(fā)；假地址用戶的外網訪問請求數據包要全部路由到NAT 設備，然后通過NAT 設備翻譯成真實地址后，再根據教育網的目的IP 地址段做轉發(fā)。 以上討論了三種主要的IP 地址分配方式，在實際應用中還有采用無線接入市（區(qū)）教育信息中心情況，它們IP 地址分配一般采用動態(tài)IP 地址（DHCP ）分配方式，還有直接在區(qū)信息中心采用DHCP 方式分配IP 地址的等等。總之，不同的IP 地址規(guī)劃、分配方式都要與當地的實際應用情況相結合，關鍵是我們這些教育城域網的規(guī)劃、建設者們一定要在建設前做好詳細的IP 地址分配規(guī)劃