企业 IP 规划实战案例
理论落地:用一个中型企业的真实场景,从零规划 IP 方案——涵盖办公网络、生产网络、DMZ、VPN 接入、云 VPC 四个区域,以及如何避免常见的 IP 规划陷阱。
场景背景
公司:300 人规模的科技公司,单一办公室 + 阿里云生产环境
需求: - 员工办公网络(有线 + 无线,约 400 设备) - 服务器房(约 50 台) - DMZ 区域(对外服务,Web/API,约 10 台) - IT 管理网络(网络设备管理) - VPN 拨入地址池(远程办公,约 50 并发) - 云上 VPC(多个环境:生产/测试/开发)
IP 地址分配方案
内网选用 10.0.0.0/8(最大私有地址空间)
地址空间:10.0.0.0/8(约 1600 万地址,足够扩展)
一级规划(按地理/区域划分 /16):
┌─────────────────────────────────────────────────────────┐
│ 10.0.0.0/16 北京总部内网 │
│ 10.1.0.0/16 上海分支内网 │
│ 10.2.0.0/16 云上 VPC(阿里云) │
│ 10.3.0.0/16 预留(未来扩展) │
│ 10.10.0.0/16 VPN 拨入地址池 │
│ 10.100.0.0/16 IT 管理网络 │
└─────────────────────────────────────────────────────────┘
北京总部 10.0.0.0/16 二级规划(按功能划分 /24):
┌─────────────────────────────────────────────────────────┐
│ 10.0.1.0/24 员工有线网络(254个地址) │
│ 10.0.2.0/24 员工有线网络(二区/扩展) │
│ 10.0.10.0/24 员工无线 Wi-Fi │
│ 10.0.11.0/24 访客无线 Wi-Fi(隔离) │
│ 10.0.50.0/24 服务器区 │
│ 10.0.60.0/24 DMZ 区(对外服务) │
│ 10.0.100.0/24 网络设备管理(交换机/路由器/AP) │
│ 10.0.200.0/23 打印机/物联网/其他设备 │
└─────────────────────────────────────────────────────────┘
各区域详细规划
员工办公网络(10.0.1.0/24)
地址段:10.0.1.0/24(可用 254 个地址)
10.0.1.1 网关(核心交换机/防火墙接口)
10.0.1.2-10 服务器/基础设施(DNS、NTP)
10.0.1.11-30 固定 IP 设备(打印机、会议室设备)
10.0.1.100-254 DHCP 动态分配(员工笔记本)
DHCP 配置(/etc/dhcp/dhcpd.conf):
subnet 10.0.1.0 netmask 255.255.255.0 {
range 10.0.1.100 10.0.1.254;
option routers 10.0.1.1;
option domain-name-servers 10.0.1.2, 8.8.8.8;
option domain-name "corp.example.com";
default-lease-time 86400; # 24小时
max-lease-time 86400;
}
# 固定地址绑定(打印机)
host printer-hq {
hardware ethernet aa:bb:cc:dd:ee:ff;
fixed-address 10.0.1.20;
}
服务器区(10.0.50.0/24)
地址段:10.0.50.0/24
10.0.50.1 网关
10.0.50.10-19 数据库服务器(MySQL, PostgreSQL, Redis)
10.0.50.20-29 应用服务器
10.0.50.30-39 监控/日志服务器(Prometheus, ELK)
10.0.50.40-49 CI/CD 服务器(Jenkins, GitLab)
10.0.50.50-59 NAS/备份存储
服务器使用静态 IP(不用 DHCP),便于:
- 防火墙规则精确控制
- DNS 正向/反向解析
- 日志追踪(知道 IP 就知道是哪台服务器)
DMZ 区(10.0.60.0/24)
DMZ (Demilitarized Zone) = 对外暴露的服务与内网之间的隔离区
10.0.60.1 防火墙内网口
10.0.60.10-19 Web 服务器(Nginx 反向代理)
10.0.60.20-29 API 服务器
10.0.60.30 跳板机(Bastion Host)
防火墙规则原则:
互联网 → DMZ:只允许 TCP 80/443
DMZ → 内网服务器区:只允许 TCP 3306/5432/6379(数据库端口)
内网 → DMZ:允许管理访问
DMZ → 互联网:允许出站(API 回调、外部服务调用)
云 VPC 规划(10.2.0.0/16)
阿里云 VPC:10.2.0.0/16
生产环境(10.2.0.0/18):
10.2.0.0/24 生产-公网子网(接 EIP/SLB)
10.2.1.0/24 生产-应用子网(ECS)
10.2.2.0/24 生产-数据库子网(RDS,不对公网)
10.2.3.0/24 生产-缓存子网(Redis,不对公网)
测试环境(10.2.64.0/18):
10.2.64.0/24 测试-应用子网
10.2.65.0/24 测试-数据库子网
开发环境(10.2.128.0/18):
10.2.128.0/24 开发-应用子网
线下 ↔ 云上互通:
通过 VPN 网关或专线(专线更稳定)
路由:内网 10.0.0.0/8 ↔ 云上 10.2.0.0/16
常见 IP 规划陷阱
❌ 陷阱 1:所有设备用同一个 /24
问题:无法隔离流量,广播风暴,安全无法分区
✅ 正确:按部门/功能划分 VLAN,每个 VLAN 一个子网
❌ 陷阱 2:用 192.168.1.0/24(家用默认段)做办公网络
问题:员工远程工作时,家里路由器也是 192.168.1.0/24 → VPN 地址冲突
✅ 正确:企业内网使用 10.x.x.x,和家庭 192.168.1.x 不冲突
❌ 陷阱 3:划分太细(每个子网只有 /30 的 2 个地址)
问题:扩展不灵活,后期需要重新规划
✅ 正确:预留成长空间,一般分配当前需求的 2-4 倍
❌ 陷阱 4:DMZ 和内网服务器在同一网段
问题:DMZ 被攻破后,攻击者可直接访问所有内网服务器
✅ 正确:DMZ 单独网段,防火墙严格控制 DMZ→内网的访问
❌ 陷阱 5:VPN 地址池和内网地址重叠
问题:VPN 用户拨入后无法访问内网(路由冲突)
✅ 正确:VPN 地址池使用独立网段(如 10.10.0.0/16)
IP 规划文档模板
# 公司名称 IP 地址规划文档
# 最后更新:YYYY-MM-DD
# 负责人:IT 部门
## 汇总表
| 网段 | 子网掩码 | 用途 | 网关 | VLAN ID | 备注 |
|------|---------|------|------|---------|------|
| 10.0.1.0/24 | /24 | 员工有线 | 10.0.1.1 | 10 | DHCP |
| 10.0.50.0/24 | /24 | 服务器区 | 10.0.50.1 | 50 | 静态IP |
| ... | | | | | |
## 服务器清单
| 主机名 | IP地址 | 子网 | 功能 | 负责人 |
|--------|--------|------|------|--------|
| web-01 | 10.0.60.10 | DMZ | Nginx | devops |
| db-01 | 10.0.50.10 | 服务器区 | MySQL 主库 | dba |
CCNA 对应考点
考纲位置:Domain 1.6 — IPv4 addressing / Domain 1.7 — Private IPv4 addressing
实战价值:子网规划是 CCNA 和日常运维的核心,考试和工作都需要手算子网。 建议做 20-30 道子网计算练习题,直到 30 秒内能算出结果。
下一章:以太网、交换机与 VLAN——IP 规划好了,接下来理解局域网内部是怎样传输数据的,以及 VLAN 如何在物理网络上实现逻辑隔离。