淺議局域網IP地址管理策略

任小兵

摘要:本文介紹了IP地址的分類及局域網IP地址的分配,尤其是IP地址的動態分配。針對如何有效加強IP地址的管理,討論了IP綁定及VLAN劃分策略,來解決IP地址管理中的難題。最后介紹了幾種常用的網絡命令。

關鍵詞:IP地址局域網綁定動態地址分配

中圖分類號:TP393.1 文獻標識碼:A 文章編號:1674-098X(2012)06(c)-0027-01

局域網(LAN)技術廣泛應用于學校、機關、企事業單位,是各類大型網絡的基礎,具有投入低、組網方便、穩定安全等特點。局域網組網的一項重要內容是對IP地址進行管理,IP地址的管理策略關系到整個網絡的穩定與安全。

1 IP地址的分類

現有的互聯網執行的是IPv4協議。IPv6是下一版本的互聯網協議,目前仍未大規模使用。

IPv4協議中,常用的IP地址可分為三類,A類地址、B類地址、C類地址。

局域網通常采用C類地址。其中有兩個IP地址比較特殊,一個是網絡號,一個是廣播地址。網絡號是網段中的第一個地址,廣播地址是網段中的最后一個地址,這兩個地址不能用于配置主機。因此,局域網中,能配置在計算機中的地址比網段內的地址要少兩個,這些地址稱之為主機地址。

2 IP地址的分配

IP地址分配有兩種:靜態分配IP地址和動態分配IP地址。

2.1 靜態分配

以人工的方式設置主機IP地址。此方法適用于網絡中主機數量較少的情況。為了方便管理與維護,一般將網絡主機劃分為幾個部分,每個部分分配一個連續的IP地址段。在命令窗口中,輸入ipconfig命令可查看本機的IP信息與MAC地址,也可以在配置好每臺電腦的地址后,使用局域網IP探測工具軟件記錄下與IP地址相對應的MAC地址。

2.2 動態分配(DHCP)

利用DHCP服務器分配和管理IP地址。DHCP是動態主機配置協議,一種簡化主機IP地址配置管理的TCP/IP 標準。用動態IP地址分配的最大優點是客戶端網絡的配置相對簡單,在沒有管理員幫助的情況下,用戶自己便可對網絡進行連接設置。使用DHCP時,網絡必須提供一臺DHCP服務器,用于向本網絡主機提供有效的IP地址。用戶只需將主機的網絡連接屬性設置為“自動獲得IP地址”即可。

IP地址動態分配具有簡單高效的優點。首先,網絡管理員可以根據自身網絡實際情況,自定義地址池,如網段的起止IP、地址的租期、保留地址等。再有,對于不熟悉網絡設置的用戶也可以輕松入網,不必輸入IP地址、子網掩碼、網關、DNS等繁瑣信息。此外,網絡主機均從DHCP服務器獲取地址,避免了因人工輸入錯誤帶來的主機之間地址沖突。

3 常用局域網IP策略

3.1 IP地址與MAC地址綁定

MAC是網卡的物理地址,具有唯一性。在局域網內,同一網段內的尋址是通過網卡的MAC地址來實現的,若局域網的地址分配采用靜態方式,可使用將IP與MAC進行綁定的策略,來避免用戶隨意修改主機IP地址。網絡管理員可以使用ARP命令來實現IP與MAC的綁定,通常也可以在具有網絡管理功能的交換機上設置相應策略來實現,更進一步還可以實現將用戶主機的IP、MAC地址及所連交換機的端口多重綁定。

3.2 IP-交換機端口綁定

通過使用具有管理功能的交換機來把IP和端口進行綁定,實現只允許特定IP地址的報文通過,可以有效解決用戶非法修改主機IP地址,防止IP地址沖突的發生。如在思科Catalyst交換機中使用下面命令來將交換機的FastEthernet0/17端口與IP綁定。

switch(config)#interface FastEthernet0/17

switch(config-if)# ip access-group 1 in

switch(config)#access-list 1 permit 192.168.0.100

3.3 VLAN劃分

VLAN(Virtual Local Area Network)技術將整個局域網從邏輯上劃分為虛擬子網,通常應用于主機數較多的網絡中。網絡用戶的劃分可以不受實際位置的限制,根據需要來任意劃分,有助于提高網絡規劃和重組的管理功能。通過IP地址劃分VLAN,可區分不同子網的訪問權限。按VLAN的劃分原則,劃分方法主要有三類,根據端口劃分VLAN、根據MAC地址劃分VLAN、根據路由劃分VLAN。

基于端口是VLAN劃分最簡便的方法,網絡管理員依據局域網交換機端口來確定VLAN用戶。通過邏輯上局域網交換機的端口分組來實現用戶的劃分。基于MAC地址定義VLAN,這種方法允許用戶遷移到網絡的其他物理網段,而保持原有的VLAN。根據路由劃分VLAN,該方式允許一個VLAN跨越多個交換機,或一個端口位于多個VLAN中。

3.4 防火墻

利用防火墻將用戶的IP地址與MAC地址進行綁定,即使合法用戶的IP地址被盜用,防火墻也會過濾掉MAC地址不匹配的主機,由于在防火墻設置中IP地址與MAC地址綁定,被盜用的IP地址無法通過防火墻系統。

IP地址沖突的原因很多,應對的策略也不同,網絡管理員在管理維護局域網時,要依據實際情況,綜合運用IP、MAC、端口及劃分VLAN手段及多種身份認證機制,從根本上防范IP沖突。

4 局域網管理常用命令

網絡管理和維護過程中,通常使用簡便的命令來了解網絡的運行情況、判斷網絡故障、找出故障原因。下面介紹幾個最常用的局域網命令。

ping命令:

ping命令在檢查網絡故障中使用廣泛,它通過向計算機發送ICMP回應報文并且監聽回應報文的返回,以校驗與遠程計算機或本地計算機的連接,主要是用來檢查網絡連接是否暢通。通常ping命令后接主機的IP地址,以ms顯示響應時間,以此判斷網絡的時延情況。

ipconfig命令:

ipconfig命令用于快速查看主機的IP配置。該命令使用時如不附帶參數,則僅顯示IP地址、子網掩碼、默認網關等基本IP配置信息。常用的附帶參數是all,除顯示基本信息外,還增加了網卡的物理地址,使用DHCP獲取地址時,可顯示DHCP服務器地址及本機所用地址的獲得租約時間及租約過期時間,以及是否啟用NetBIOS。

netstat命令:

netstat命令用于掌握網絡的基本運行情況,可顯示與IP、TCP、UDP和ICMP協議相關的統計數據,檢驗主機各端口的網絡連接狀況。此命令常用附帶參數是e,結果顯示當前的網絡數據報基本信息,可作為判斷網絡流量的根據。

5 結語

局域網IP地址策略關系到整個網絡的安全與穩定,網絡管理員要多種技術手段并用,制定有效方案對主機IP地址進行合理分配,充分運用IP管理策略,并在維護過程中巧用多種網絡命令解決出現的網絡故障,確保網絡的正常運行。

參考文獻

[1] 梅剛,孫斌,劉曉霞.網絡管理員手冊[M].北京:國防工業出版社,2007.

[2] 梁超雄.實用聯網技術[M].北京:化學工業出版社,2009.