National University of Kaohsiung Repository System:Item 310360000Q/10167

A Network Architecture with Hybrid IP Addresses

具備混合式 IP 位址的網路架構

楊國棟

1

趙志宏

2

劉則明

2

洪宗貝

1

林文揚

1,2

國立高雄大學資訊工程學系

1

, 國立高雄大學圖書資訊館

2

高雄市、中華民國

{kdyang, wilson, tzerming, tphong, wylin}@nuk.edu.tw

摘要

在現行 IPv4 的網路環境下，普遍存在著 IP 數量不足的問 題，雖然私有 IP 的應用問世可暫解此燃眉之急，但是在 公用 IP 與私有 IP 皆有其需求的當下，如何能夠同時提供 公用 IP 與私有 IP 兩項服務，是網路管理人員常面臨的難 題。本文提出了一個混合式的 IP 位址網路架構，運用網 路位址轉換、動態主機設定協定的技術建構一集中式的網 路位址轉換環境。再搭配虛擬區域網路的定義、策略路由 與信任埠的設定，讓區域網路內的用戶可同時採用公用 IP 或是私有 IP 連結網路，以有效使用網路資源。此混合 式的 IP 位址網路架構，提供網路用戶更簡單、更便利的 使用環境，並提供網路管理人員更彈性、更完整的管理功 能。本文中詳細描述架構之原理、特色與設定方式，作為 網路管理者開發及建置相關系統之參考。

關鍵字: 私有 IP(Private IP),公用 IP(Public IP), 網路位址轉換 (Network Address Translation, NAT), 動態主機設定協定(Dynamic Host Configuration Protocol, DHCP),策略性路由(Policy Routing)

I. 前言

在傳統網路 IP 位址的規劃，通常只會指定一組特定的 子 網 路 位 址 給 一 個 虛 擬 區 域 網 路 (Virtual Local Area Network, VLAN)[1] ， 此 組 子 網 路 位 址 可 以 是 公 用 的 IP(Public IP)位址或是私有的 IP(Private IP)位址，則需視此 虛擬區網的用途而定。舉例而言，若此虛擬區網是配置給 提供公共服務的伺服主機，如網頁伺服器(WWW)或是檔 案傳輸協定伺服器(FTP)等，則此虛擬區域網路(VLAN)須 指定公用的 IP 位址給這些主機；若是此虛擬需區網只是 提供給一般使用者上網使用，則此虛擬區網可以配置私有 的 IP 位址給使用者的資訊設備，再搭配虛擬區域網路的 機制，即可滿足上網的需求。 然而，隨著資訊產品及校園網路的普及，校園中使用 網路上網學習與研究的使用者越來越廣泛，我們經常會在 校園網路中遭遇到一個虛擬區域網路之中，既有伺服主機 的存在，也有一般使用者上網的需求存在；尤有甚者，使 用者因為研究與教學的需求，經常出現或是往返於不同的 虛擬區域網路之間。在傳統的 IP 位址規劃，就必須規劃 一組特定公用子網路位址給上述的虛擬區域網路，此組公 用的 IP 位址不僅需分配給伺服主機之外，也必須分配給 一般的使用者上網使用。當使用者日益增多或是網路連線 的資訊設備不斷地增加的情況下，所需的共用 IP 位址數 量亦相對的提高。在現行 IPv4 公用 IP 位址資源有限的環 境下，網路管理人員手中所能夠分配的公用 IP 位址的資 源，就有如杯水車薪般無法滿足現行多元型態上網設備的 IP 位址需求。 因此本篇論文提出一個具備混合式 IP 位址的網路架 構，解決校園虛擬區域網路遭遇上述規劃課題的方案，提 出在同一虛擬區域網路下，同時設定一組公用 IP 與一組 私有 IP 的混合式 IP 位址網路架構。公用 IP 提供伺服主機 或是給特定需要公用固定 IP 位址的使用者，而私有的 IP 位址則提供給一般上網用途的使用者，不論是持有線的或 是無線的資訊使用者皆可滿足。此外，再配合不同的路由 機制，導引公用 IP 位址與私有 IP 位址的流量分流，並針 對私有 IP 的位址，建構出一個集中式的動態主機設定協 定(Dynamic Host Configuration Protocol, DHCP) [4][5]與網 路位址轉換(Network Address Translation, NAT) [2][13]的環 境，讓一般使用者可以很便利的存取網路資源。 在此混合式 IP 位址網路架構中，除了可以解決使用者 端公用 IP 位址數量不足的問題外，使用者更可以在校園 中不同的虛擬區域網路，從動態主機設定協定伺服主機取 得私有 IP 後，方便的連上網際網路，使用者可以不用花 心思，設定資訊設備中的 IP 位址、網路遮罩、通訊閘道 及領域名稱伺服器(Domain Name Server, DNS)[3]等資訊， 設定的簡便性需求亦可獲得滿足。此外，在所建置的網路 位址轉換環境中，亦可搭配認證伺服器，讓每位使用者於 連結網路服務時，皆需透過認證伺服器作完認證後，始可 上網獲取服務。這樣的功能就網路管理人員的角度來看， 除了在管理上更加具有彈性外，對於資訊安全的維護亦更 加具有保障。 本篇論文的組織如下。第二節將介紹所提出的混合式 IP 位址的網路架構所用到的相關技術；第三節將以國立高 雄大學的網路設備的相關設定，詳述本文所提出的網路架 構；第四節將分析國立高雄大學六個系所，有關公用 IP 與私有 IP 的使用狀況；第五節則討論如何避免使用者私 設動態主機設定協定伺服器，影響整個網路架構的運作； 最後第六節則為本論文的簡短結論。

II. 相關技術

本節描述架構一個混合式 IP 位址網路架構所需的網路 技 術 ， 包 括 動 態 主 機 設 定 協 定 、 DHCP 偵 聽 (DHCP Snooping) [10][11]、策略性路由(Policy Routing) [6][12]與 網路位址轉換等技術。 A. DHCP-動態主機設定協定 動態主機設定協定是一種動態指派主機 IP 位址的網路 協定。其作用原理如圖 1 所示，在使用者連結網路時，動 態地由動態主機設定協定伺服器取得 IP 位址，並自動地 設定與網路連線相關的參數。由於動態主機設定協定具有 自動取得 IP 與設定的特性，對於使用者來說，不需具備 資訊知識的背景，隨插即用的便利性，是一項十分貼心的 功能，也廣受用戶的喜愛，也正應驗了「科技始終來自於 人性」的廣告語。因此，動態主機設定協定被廣泛應用於 區域網路與無線網路中。 DHCP Server Access Point DHCP Request DHCP ACK 圖 1. DHCP 服務 B. DHCP Snooping – DHCP 偵聽 DHCP 偵聽(DHCP Snooping) [10][11]是為強化動態主機 設定協定的安全性而發展的技術。通常透過 Layer 2 交換 器上的設定，僅有被指定為信任的連接埠，方能獲得動態 主機設定協定的回應。這樣的機制可過濾掉不信任的動態 主機設定協定資訊，防止私設動態主機設定協定伺服器不 當取得 MAC 與 IP 的對應、Vlan ID 等訊息，亦可阻絕私 設動態主機設定協定伺服器對正常動態主機設定協定服務 所產生之干擾以及預防 IP 位址衝突等問題。其所扮演的 角色就有如在用戶與動態主機設定協定伺服器間建立起一 道小型的防火牆。 C. Policy Routing -策略性路由 策略性路由(Policy Routing) [6][12]是一項可以依據使用 者需求而自訂的路由策略技術，為傳統路由技術的延伸與 改進。傳統的路由機制，如靜態路由或是動態路由主要依 據目的端的 IP 位址來決定網路封包的繞送路徑。然而策 略性路由可讓網管人員依據來源端的不同，附予不同的路 由策略，相較於傳統的路由，大幅度地提高了路由政策的 彈性與靈活性。目前較常應用策略性路由有，包括多線路 的負載平衡、國外連線指定獨立線路等。 D. NAT - 網路位址轉換

網路位址轉換(Network Address Translation, NAT) [2][13] 的技術是一項為解決 IP 位址不足，所衍生出來的解決方 案。所謂的 NAT 技術，簡單來說就是多個私有 IP 的用 戶，同時共用一個合法公用的 IP 位址與 Internet 連結。在 現行的 IPv4 環境中，全球可分配的 IP 位址資源共有 43 億 個。這個數目看似十分龐大，但以資訊設備與網路發展的 速度來估計，現行的 IPv4 位址，將於西元 2010 年消耗殆 盡。為因應即將來臨的網路位址資源危機，除已提出的 IPv6 位址架構外，目前應用較廣的解決方式，就屬網路位 址轉換的技術了。

III. 混合式 IP 位址網路架構

本文所提出的混合式 IP 位址網路架構，如圖 2 所示， 主要可以分成三個主要部分。首先在各路由器上，分別對 各個虛擬區域網路的網段定義兩組混合式的 IP 位址。其 次，在每一個虛擬區域網路設定轉送動態主機設定協定的 請求，讓使用者的動態主機設定協定請求，可以跨過不同 的虛擬區域網路與路由器，送達動態主機設定協定伺服 器；同時為了讓動態主機設定協定伺服器能回應正確的私 有 IP 給使用者端，動態主機設定協定伺服器也必需配合 混合式的虛擬區域網路，作適當的參數調校。最後一部分 則配合策略性路由機制，將使用者端私有 IP 的流量，導 入 NAT 的設備，執行私有 IP 與公用 IP 的轉換，同時可以 配合認證伺服器的導入，對使用者作上網認證的請求，建 構出一個方便、有效且安全性的網路環境。 圖 2. 混合式 IP 位址網路架構 A. 定義 VLAN 的混合式 IP 位址

虛擬區域網路(Virtual Local Area Netwok, VLAN) [1][8] 為網路交換技術上一種虛擬的邏輯概念。藉由虛擬區域網 路的概念，網路管理人員可以對實體區域網路的使用者或 設備進行分群，除了方便管理之外，亦具有提高資訊安全 的作用。 在混合式 IP 位址的網路架構中，對校園的每一個路由 器的每一個虛擬區域網路定義了兩組的 IP 網段；一組屬

於公用的 IP 位址網段，另一組屬於私有的 IP 網段。下面 舉國立高雄大學路由器的某一個虛擬區域網路為例，說明 混合式的觀念： 圖 3. 單一 VLAN 中定義兩組 IP 網段 如圖 3 所示，一個虛擬區域網路 VLAN 232，我們設定 了兩組 IP 網段，如此設定的用意是要建構出在同一個虛 擬區域網路的環境下，同時能夠滿足公用 IP 用戶與動態 主機設定協定用戶的需求，將兩種網路服務於同一個虛擬 區域網路中實現。同時為了方便網管人員，可以快速的鑑 別私有 IP 位址是來自於哪一個虛擬區域網路，使用的私 有 IP 網段的第三碼則與 VLAN 的名稱有相同的關連性。 B. DHCP 服務的相關設定 依據 RFC 2131 [8]的定義，由於動態主機設定協定的服 務是使用 UDP 的廣播封包來達成，動態主機設定協定的 服務應在同一個虛擬區域網路內實現。若要提供動態主機 設定協定的服務跨過不同的虛擬區域網路與路由器，則必 須透過路由器設定轉送 UDP 廣播封包的功能來達成。因 此，為了讓方便使用者的資訊設備可以使用動態主機設定 協定的服務，快速方便的取得私有 IP 位址，每一個虛擬 區域網路則需再設定轉送動態主機設定協定的請求，將此 請求轉送到動態主機設定協定伺服器上，如圖 3 所示。圖 3 的設定例子，我們在混合式的虛擬區域網路新增了一個 設定，將每一個虛擬區域網路所收到的動態主機設定協定 請求，轉送到特定的動態主機設定協定伺服主機。 圖 3. VLAN 中定義 DHCP 服務的相關設定 另外為了讓動態主機設定協定伺服主機，能夠正確的 派送私有 IP 位址給使用者，動態主機設定協定伺服器需 能夠辨識來自同一虛擬區域網路中公用的 IP 網段與私有 的 IP 網段。因此，動態主機設定協定伺服器在相同網段 中，需定義出兩個子網段，一個網段需搭配虛擬區域網路 中的公用 IP 網段，另一個網段則需配合虛擬區域網路中 的私有網段。如圖 4 所示： 其中，subnet 140.127.232.0 為定義使用公用 IP 位址的 子網段，subnet 10.1.232.0 為定義使用私有 IP 位址的子網 段。另外，pool 的設定則是定義動態主機設定協定分配 IP 的範圍。上述的設定例子，動態主機設定協定伺服器可以 分配共 200 組的 IP 位址給 VLAN 232 的使用者，IP 位址的 範圍從 10.1.232.1 到 10.1.232.200，透過這樣的設定，動態 主機設定協定伺服器始可正確的派送私有 IP 位址給使用 者的資訊設備。 圖 4. DHCP 伺服器的網段設定 C. Policy Routing 的設定 當連接在不同虛擬區域網路的資訊設備，透過動態主 機設定協定服務取得私有的 IP 位址後，這些設備所產生 的網路封包，則需透過 Policy Routing 的機制，繞送到 NAT 的設備，始可連上網際網路，如圖 5 所示。相對於私 有 IP 位址的封包，既有使用公用 IP 的資訊設備所產生的 網路封包，仍然依據傳統的路由設定，被繞送到邊界路由 器以連上網際網路。這樣分流機制的目的，可以將使用公 用 IP 的使用者，不必透過 NAT 的轉換機制，可直接與網 際網路連結。然而，使用私有 IP 的使用者，則需透過集 中式 NAT 的環境方能與網際網路連線，達成不同的服務 需求擁有各自的路由策略。以公用 IP 用戶的路由來說， 因路由不需跨越太多的網路設備，在連結存取資料上可擁 有較快的速度。以私有 IP 用戶而言，不需瞭解太多資訊 知識，隨插即用的便利性功能，可省卻用戶許多不便。 圖 6 所表示的設定乃延續上述虛擬區域網路的定義， 說明在一個虛擬區域網路中如何設定策略性路由，藉由策 略性路由的設定，將動態主機設定協定的用戶導引到指定 interface Vlan232 ip address 10.1.232.254 255.255.255.0 secondary ip address 140.127.232.254 255.255.255.0 shared-network 232 { subnet 140.127.232.0 netmask 255.255.255.0 { option routers 140.127.232.254; option subnet-mask 255.255.255.0; option broadcast-address 140.127.225.255; } subnet 10.1.232.0 netmask 255.255.255.0 { option routers 10.1.232.254; option subnet-mask 255.255.255.0; option broadcast-address 10.1.225.255; option domain-name "Private.nuk.edu.tw"; } pool { range 10.1.232.1 10.1.232.200; } } interface Vlan232 ip address 10.1.232.254 255.255.255.0 secondary ip address 140.127.232.254 255.255.255.0 ip helper-address 140.127.198.1

的網路位址轉換設備作網路位址轉換。指令 ip policy-map 主要定義策略性路由的名稱，然後在此策略性路由的名 稱，限制哪些來源 IP 會被繞送到特定的網路位址轉換設 備上。指令 set ip next-hop 則是設定此網路位址轉換設備 的 IP 位址。 Internet Core Router Router Router Router Router NAT Equipment Switch 圖 5. 策略性路由繞送機制 圖 6. 策略性路由的設定

IV. 公用 IP 與私有 IP 使用率的分析

本文所提的混合式 IP 位址的網路架構已經實際建構在 國立高雄大學的校園網路上。本節將以國立高雄大學為例 子，摘錄六月份某日的網路 IP 的使用狀況，分析不同系 所有關公用 IP 位址與私有 IP 位址的使用狀態。進而了解 不同屬性院系的 IP 使用行為，並可評估該院系 IP 位址發 放與分配，是否為有效的運用與管理，進而提供相關的數 據及意見。 圖 7 為法律系網段 IP 的使用統計，公用的 IP 位址與私 有的 IP 位址相差相當懸殊，顯示該系的師生主要以使用 公用 IP 作為一般資訊設備上網使用，因為公用 IP 的使用 隨著工作的時間而起伏，公用 IP 的使用應是分配給使用 者端的資訊設備為大宗，另外，由於本校的法律相關系所 擁有獨棟的研究教學大樓，老師與學生的移動空間，皆以 該 棟 大 樓 為 主 ， 且 該 棟 大 樓 的 不 同 樓 層 皆 屬 相 同 的 VLAN，因此使用者欠缺使用動態主機設定協定服務的誘 因，而採設定固定公用 IP 位址的方式上網。 圖 7. 法律系 IP 使用狀況 圖 8 為資工系網段 IP 的使用統計，公用 IP 位址的數量 相當穩定，一天之內變動的數目不多，可以研判該公用 IP 的使用，主要應為伺服主機或是實驗儀器設備等需長時間 運作用途的設備。私有 IP 位址的使用，於上午上班上課 時段後，即有大量的用戶增加，而於晚間下課時段後即趨 於平緩。由此可判斷該系網段對於一般的使用者，應沒有 分配固定的 IP 位址，而是讓一般使用者使用動態主機設 定協定服務為主。站在有效規劃 IP 位址的立場，各伺服 器或是需網路連線的實驗設備與事務機器，應分配公用 IP 位址，而一般使用者的資訊設備則透過動態主機設定協定 服務派送私有 IP 的位址。這樣的 IP 管理模式，以網路管 理者的角度來說，是比較有效且嚴謹的策略。 圖 8. 資工系 IP 使用狀況 圖 9 為不同屬性系所，使用公用 IP 位址與私有 IP 位址 的使用情形。由圖中大致上可以觀察到下列幾個趨勢。一 為各系所公用 IP 的使用相較於使用私有 IP 的用戶來說， 還是佔較大多數。這或許是因為各系所老師與研究生的人 數不是那麼多，相較於師生數，系上的 IP 數目尚稱充 裕，足夠供給辦公室、研究室與實驗室的教職員生使用。 因此，老師與學生都可以分配到公用的 IP 位址使用。 interface Vlan232 ip address 10.1.232.254 255.255.255.0 secondary ip address 140.127.232.254 255.255.255.0 ip helper-address 140.127.198.1

ip policy route-map nuk_auth route-map nuk_auth permit 10 match ip address 1

set ip next-hop 192.168.253.254

另一個趨勢就是資訊相關背景的系所，使用 IP 的需求 明顯高於非資訊相關的科系。不管是公用 IP 或是私有 IP 的使用來說，資訊相關背景的系所，都有較高的 IP 使用 率。因此，在 IP 分配策略上就可以做彈性的調整。 圖 9.各系所 IP 使用之比較

V. 討論

為了強化集中式動態主機設定協定服務的安全性，避 免使用者端私設動態主機設定協定伺服器，影響整個網路 架構的運作，本節討論如何於 Layer 2 交換器或 Layer 3 路 由器的連結介面上設定 DHCP 偵聽，以建立一信任管道， 讓動態主機設定協定的使用者可以正確的接收來自動態主 機設定協定伺服器所派送的私有 IP 位址。 DHCP 偵聽的設定其實相當簡單，主要的觀念是必需 在 Layer 2 交換器連往動態主機設定協定伺服器的 Uplink 設定為信任埠，如圖 10 所示。這樣設定的用意，是指交 換器只信任來自於信任埠的 DHCP 回應(DHCP Reply)訊 息，其餘的埠所傳送過來的 DHCP 回應訊息，皆會被交換 器丟棄，如此便可確保使用者私設的動態主機設定協定伺 服器，不會干擾整個網路架構動態主機設定協定服務的運 作。 Trusted Port 圖 10. DHCP 偵聽的信任埠 圖 11 的設定說明如何在 Layer 2 的交換器設定 DHCP 偵聽的功能，首先必須將 DHCP 偵聽的功能啟用。指令 ip dhcp snooping 即是在此台交換器啟用 DHCP 偵聽的功能。 接下來需設定哪些虛擬區域網路要受到 DHCP 偵聽的管 控，最後則是在交換器的上行鏈路(Uplink Port)設為信任埠 [9]，如 GigabitEthernet 0/1 介面的設定所示。 經由圖 11 的設定描述，即可建立一混合型 IP 位址的網 路架構環境。為確實掌握使用動態主機設定協定用戶的資 訊，避免網路資源遭到濫用。另外本文所提出的網路架構 可以很容易的搭配網路流控設備與認證伺服器，一來可以 針對不同的用戶群，進行不同的流量政策設定，杜絕不肖 用戶使用者，大量濫用網路資源的行為。二來可以藉由認 證伺服器的身份認證機制，避免非授權用戶使用學術網路 資源。 圖 11.信任埠的設定

VI. 結論

在 IPv4 的 IP 數量即將耗盡的威脅，IPv6 尚未普及的壓 力下，採用私有 IP 利用網路位址轉換成公用 IP 的技術， 提供用戶連結網路是目前政府機關、學校單位與私人企業 較常採用的解決方式，也是方便使用者使用網路的有效作 法。但是，使用者的網路需求通常不僅僅侷限於個人的網 路連線，還有部分的網路服務如 Web Service、FTP Service 等，需要使用公用的 IP 位址方能發揮其服務的效能。本 篇論文提出了一個混合式 IP 位址的網路架構，在不更動 實體線路與網路設備的前提下，搭配虛擬區域網路的定 義、動態主機設定協定伺服器的設定調整、策略性路由的 配置與信任埠的設定。可建構出符合不同 IP 需求使用者 的網路環境，使網路用戶可在同一個網路節點上，採用公 用 IP 或私有 IP 上網。此外，此架構也可提供網路管理人 員十分靈活且具彈性的網路管理策略運用。例如搭配流控 設備做不同屬性群組的網路流量進行控管。還可搭配認證 ip dhcp snooping vlan 202 ip dhcp snooping vlan 232

no ip dhcp snooping information option ip dhcp snooping

!

interface GigabitEthernet0/1 description TO CC6509 switchport trunk native vlan 900 switchport mode trunk

ip dhcp snooping trust !

interface GigabitEthernet0/2 switchport trunk native vlan 900 switchport mode trunk

伺服器，對非授權使用者進行過濾的動作。網路管理人員 可以依據環境所需，進行不同管理策略的網路架構調整。 不論是由用戶使用便利性的觀點來看或是由管理者策略性 的角度來考量，混合型 IP 位址的架構實為一具備高度可 用性與安全性的網路架構。

參考文獻

[1] Wikimedia Foundation, Inc., “IEEE 802.1Q,” http://en.wikipedia.org/wiki/IEEE_802.1Q.

[2] Wikimedia Foundation, Inc., “Network address translation,” http://en.wikipedia.org/wiki/Network_address_translation.

[3] Wikimedia Foundation, Inc., “Domain Name System,” http://en.wikipedia.org/wiki/Domain_name_system.

[4] R. Droms, “Automated configuration of TCP/IP with DHCP,” IEEE Internet Computing, vol. 3, pp. 45-53, Jul/Aug 1999.

[5] Wikimedia Foundation, Inc., “Dynamic Host Configuration Protocol,” http://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol.

[6] Cisco System, “Configuring DHCP Snooping and IP Source Guard,” Catalyst 6500 Series Switch Software Configuration Guide Chapter 33. [7] Cisco System, “Understanding Policy Routing,” Document ID:10116 . [8] Cisco System, “Creating Ethernet VLANs on Catalyst Switches,”

Document ID:10023 .

[9] FAQS.ORG, “RFC 2131,” http://www.faqs.org/rfcs/rfc2131.html. [10] Cisco System, “Configuring DHCP Snooping,” Catalyst 6500 Series

Switch Cisco IOS Software Configuration Guide, Chapter 37, Trusted and Untrusted Sources .

[11] Cisco Systems, “Configuring DHCP Snooping,” http://www.cisco.com/univercd/cc/td/doc/product/lan/cat4000/12113/co nfig/dhcp.pdf, accessed April2006.

[12] D. Clark, “Policy routing in internet protocols,” Internet Engineering Task Force, May 1989. RFC 1102.

[13] P. Francis and R. Gummadi, “IPNL: A NAT-extended internet architecture,” in ACM SIGCOMM, pp. 69-80, San Diego, CA, Aug. 2001.