IP地址的規劃與高效管理

■

通常單位網絡出于安全考慮以及公安部門的相關要求，需要實行實名上網，上網日志需要保存時間不少于60天；同時會遇到隨時有新的設備要接入網絡或者有終端設備要移動到其他場所辦公的情況。固然通過靜態分配IP以及在防火墻上進行IP和MAC地址綁定，然后將MAC地址與用戶一一對應可以實現。但是面對有上百臺接入終端（甚至達到300到500數量級）規模的網絡這樣去做日常調整的工作量大，顯然是不可接受的。我們可以考慮采用動態IP地址分配技術（DHCP）、跨VLAN動態IP分配技術、實名認證技術來實現。

圖1是一個典型網絡的簡要連接示意圖。我們以此為例來討論如何實現。在圖1中五幢建筑物通過光纖連接至三層核心交換設備，三層核心交換設備通過防火墻接入Internet。面對幾百臺數量級的網絡，為了隔離沖突域，需要劃分VLAN。通常的做法是每幢樓宇劃分為一個VLAN。如果某一幢建筑內由于接入終端數過多，又會適當的多劃幾個VLAN。同時為每一個VLAN分配不同的網段號。本例VLAN劃分如圖1所示。

圖1 VLAN劃分

在信息中心的10.0.0.X網段里設置專門的DHCP服務器，分配DHCP服務器的IP為10.0.0.2。啟動DHCP服務，為每一個網段新建作用域，分配地址池、網絡配置參數等。由于篇幅的限制，DHCP技術在此筆者就不多作介紹，不是太熟悉的讀者朋友可以參考相關的DHCP教程。可能有的讀者朋友要問：DHCP動態IP地址分配是不能跨網段工作的。的確是這樣。如果給每一個VLAN安裝專門的DHCP服務器也是不現實的。這就要通過跨VLAN動態IP分配技術來實現。

跨VLAN動態IP分配具體操作步驟會因不同的三層核心交換設備而有所不同，但大體操作思想相同。操作步驟：

第1步 在三層核心交換設備上，為每一個VLAN分配網段，同時為每一個VLAN接口配置IP地址（一般分配首地址或者尾地址，依據個人習慣而定，沒有特別的規定）；

第2步 在每一個VLAN下指定DHCP服務器地址（這樣設備就知道轉發DHCP服務器地址來的廣播包，實現DHCP中繼 ）。

通過在網絡防火墻設備上配置實名認證，實現用戶實名上網。具體操作會因不同的防火墻而配置方法有所不同。一人一賬號，并根據權限的不同分配不同的接入權限。具體操作不太熟悉的讀者朋友可以參考一下自己所使用的防火墻設備的使用說明或教程。

這樣我們實現了用戶實名上網；避免網絡管理員一臺一臺手動為幾百臺接入終端分配IP地址，日后也無需重新手動設置IP地址；避免了用戶將終端從一幢樓移動到別一幢樓時需要重新手動分配IP地址，重新綁定IP與MAC地址；避免用戶有新的接入設備要接入網絡時需要人為手動去分配，手動IP與MAC地址綁定。

可能有的讀者朋友不免要問我們為什么不直接利用防火墻提供的DHCP服務來提供動態IP地址分配呢？還可以節省一臺專門的服務器？理論上是可行的。根據筆者的經驗，但面對有幾百臺數量級的網絡，防火墻要處理基本的上網數據，還要運行安全策略，計算壓力并不小，防火墻的運行效率將直接影響到用戶上網體驗（簡單來說就是網絡快慢）。所以筆者建議采用專用一臺服務器來做DHCP服務（其實一臺運行穩定一定的PC機就能承擔）。

通過上述分析，IP地址科學規劃，能極大的減輕日常網絡管理的常規工作量，提升網絡管理的效率。筆者在此只是拋磚引玉，借此引起廣大網絡管理者的共鳴，通自已的科學規劃，提升網絡管理效率，能從繁忙低效的工作中解脫出來。