任小兵

摘要:本文介紹了IP地址的分類及局域網(wǎng)IP地址的分配,尤其是IP地址的動態(tài)分配。針對如何有效加強IP地址的管理,討論了IP綁定及VLAN劃分策略,來解決IP地址管理中的難題。最后介紹了幾種常用的網(wǎng)絡(luò)命令。

關(guān)鍵詞:IP地址局域網(wǎng)綁定動態(tài)地址分配

中圖分類號:TP393.1 文獻標識碼:A 文章編號:1674-098X(2012)06(c)-0027-01

局域網(wǎng)(LAN)技術(shù)廣泛應(yīng)用于學校、機關(guān)、企事業(yè)單位,是各類大型網(wǎng)絡(luò)的基礎(chǔ),具有投入低、組網(wǎng)方便、穩(wěn)定安全等特點。局域網(wǎng)組網(wǎng)的一項重要內(nèi)容是對IP地址進行管理,IP地址的管理策略關(guān)系到整個網(wǎng)絡(luò)的穩(wěn)定與安全。

1 IP地址的分類

現(xiàn)有的互聯(lián)網(wǎng)執(zhí)行的是IPv4協(xié)議。IPv6是下一版本的互聯(lián)網(wǎng)協(xié)議,目前仍未大規(guī)模使用。

IPv4協(xié)議中,常用的IP地址可分為三類,A類地址、B類地址、C類地址。

局域網(wǎng)通常采用C類地址。其中有兩個IP地址比較特殊,一個是網(wǎng)絡(luò)號,一個是廣播地址。網(wǎng)絡(luò)號是網(wǎng)段中的第一個地址,廣播地址是網(wǎng)段中的最后一個地址,這兩個地址不能用于配置主機。因此,局域網(wǎng)中,能配置在計算機中的地址比網(wǎng)段內(nèi)的地址要少兩個,這些地址稱之為主機地址。

2 IP地址的分配

IP地址分配有兩種:靜態(tài)分配IP地址和動態(tài)分配IP地址。

2.1 靜態(tài)分配

以人工的方式設(shè)置主機IP地址。此方法適用于網(wǎng)絡(luò)中主機數(shù)量較少的情況。為了方便管理與維護,一般將網(wǎng)絡(luò)主機劃分為幾個部分,每個部分分配一個連續(xù)的IP地址段。在命令窗口中,輸入ipconfig命令可查看本機的IP信息與MAC地址,也可以在配置好每臺電腦的地址后,使用局域網(wǎng)IP探測工具軟件記錄下與IP地址相對應(yīng)的MAC地址。

2.2 動態(tài)分配(DHCP)

利用DHCP服務(wù)器分配和管理IP地址。DHCP是動態(tài)主機配置協(xié)議,一種簡化主機IP地址配置管理的TCP/IP 標準。用動態(tài)IP地址分配的最大優(yōu)點是客戶端網(wǎng)絡(luò)的配置相對簡單,在沒有管理員幫助的情況下,用戶自己便可對網(wǎng)絡(luò)進行連接設(shè)置。使用DHCP時,網(wǎng)絡(luò)必須提供一臺DHCP服務(wù)器,用于向本網(wǎng)絡(luò)主機提供有效的IP地址。用戶只需將主機的網(wǎng)絡(luò)連接屬性設(shè)置為“自動獲得IP地址”即可。

IP地址動態(tài)分配具有簡單高效的優(yōu)點。首先,網(wǎng)絡(luò)管理員可以根據(jù)自身網(wǎng)絡(luò)實際情況,自定義地址池,如網(wǎng)段的起止IP、地址的租期、保留地址等。再有,對于不熟悉網(wǎng)絡(luò)設(shè)置的用戶也可以輕松入網(wǎng),不必輸入IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS等繁瑣信息。此外,網(wǎng)絡(luò)主機均從DHCP服務(wù)器獲取地址,避免了因人工輸入錯誤帶來的主機之間地址沖突。

3 常用局域網(wǎng)IP策略

3.1 IP地址與MAC地址綁定

MAC是網(wǎng)卡的物理地址,具有唯一性。在局域網(wǎng)內(nèi),同一網(wǎng)段內(nèi)的尋址是通過網(wǎng)卡的MAC地址來實現(xiàn)的,若局域網(wǎng)的地址分配采用靜態(tài)方式,可使用將IP與MAC進行綁定的策略,來避免用戶隨意修改主機IP地址。網(wǎng)絡(luò)管理員可以使用ARP命令來實現(xiàn)IP與MAC的綁定,通常也可以在具有網(wǎng)絡(luò)管理功能的交換機上設(shè)置相應(yīng)策略來實現(xiàn),更進一步還可以實現(xiàn)將用戶主機的IP、MAC地址及所連交換機的端口多重綁定。

3.2 IP-交換機端口綁定

通過使用具有管理功能的交換機來把IP和端口進行綁定,實現(xiàn)只允許特定IP地址的報文通過,可以有效解決用戶非法修改主機IP地址,防止IP地址沖突的發(fā)生。如在思科Catalyst交換機中使用下面命令來將交換機的FastEthernet0/17端口與IP綁定。

switch(config)#interface FastEthernet0/17

switch(config-if)# ip access-group 1 in

switch(config)#access-list 1 permit 192.168.0.100

3.3 VLAN劃分

VLAN(Virtual Local Area Network)技術(shù)將整個局域網(wǎng)從邏輯上劃分為虛擬子網(wǎng),通常應(yīng)用于主機數(shù)較多的網(wǎng)絡(luò)中。網(wǎng)絡(luò)用戶的劃分可以不受實際位置的限制,根據(jù)需要來任意劃分,有助于提高網(wǎng)絡(luò)規(guī)劃和重組的管理功能。通過IP地址劃分VLAN,可區(qū)分不同子網(wǎng)的訪問權(quán)限。按VLAN的劃分原則,劃分方法主要有三類,根據(jù)端口劃分VLAN、根據(jù)MAC地址劃分VLAN、根據(jù)路由劃分VLAN。

基于端口是VLAN劃分最簡便的方法,網(wǎng)絡(luò)管理員依據(jù)局域網(wǎng)交換機端口來確定VLAN用戶。通過邏輯上局域網(wǎng)交換機的端口分組來實現(xiàn)用戶的劃分?；贛AC地址定義VLAN,這種方法允許用戶遷移到網(wǎng)絡(luò)的其他物理網(wǎng)段,而保持原有的VLAN。根據(jù)路由劃分VLAN,該方式允許一個VLAN跨越多個交換機,或一個端口位于多個VLAN中。

3.4 防火墻

利用防火墻將用戶的IP地址與MAC地址進行綁定,即使合法用戶的IP地址被盜用,防火墻也會過濾掉MAC地址不匹配的主機,由于在防火墻設(shè)置中IP地址與MAC地址綁定,被盜用的IP地址無法通過防火墻系統(tǒng)。

IP地址沖突的原因很多,應(yīng)對的策略也不同,網(wǎng)絡(luò)管理員在管理維護局域網(wǎng)時,要依據(jù)實際情況,綜合運用IP、MAC、端口及劃分VLAN手段及多種身份認證機制,從根本上防范IP沖突。

4 局域網(wǎng)管理常用命令

網(wǎng)絡(luò)管理和維護過程中,通常使用簡便的命令來了解網(wǎng)絡(luò)的運行情況、判斷網(wǎng)絡(luò)故障、找出故障原因。下面介紹幾個最常用的局域網(wǎng)命令。

ping命令:

ping命令在檢查網(wǎng)絡(luò)故障中使用廣泛,它通過向計算機發(fā)送ICMP回應(yīng)報文并且監(jiān)聽回應(yīng)報文的返回,以校驗與遠程計算機或本地計算機的連接,主要是用來檢查網(wǎng)絡(luò)連接是否暢通。通常ping命令后接主機的IP地址,以ms顯示響應(yīng)時間,以此判斷網(wǎng)絡(luò)的時延情況。

ipconfig命令:

ipconfig命令用于快速查看主機的IP配置。該命令使用時如不附帶參數(shù),則僅顯示IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)等基本IP配置信息。常用的附帶參數(shù)是all,除顯示基本信息外,還增加了網(wǎng)卡的物理地址,使用DHCP獲取地址時,可顯示DHCP服務(wù)器地址及本機所用地址的獲得租約時間及租約過期時間,以及是否啟用NetBIOS。

netstat命令:

netstat命令用于掌握網(wǎng)絡(luò)的基本運行情況,可顯示與IP、TCP、UDP和ICMP協(xié)議相關(guān)的統(tǒng)計數(shù)據(jù),檢驗主機各端口的網(wǎng)絡(luò)連接狀況。此命令常用附帶參數(shù)是e,結(jié)果顯示當前的網(wǎng)絡(luò)數(shù)據(jù)報基本信息,可作為判斷網(wǎng)絡(luò)流量的根據(jù)。

5 結(jié)語

局域網(wǎng)IP地址策略關(guān)系到整個網(wǎng)絡(luò)的安全與穩(wěn)定,網(wǎng)絡(luò)管理員要多種技術(shù)手段并用,制定有效方案對主機IP地址進行合理分配,充分運用IP管理策略,并在維護過程中巧用多種網(wǎng)絡(luò)命令解決出現(xiàn)的網(wǎng)絡(luò)故障,確保網(wǎng)絡(luò)的正常運行。

參考文獻

[1] 梅剛,孫斌,劉曉霞.網(wǎng)絡(luò)管理員手冊[M].北京:國防工業(yè)出版社,2007.

[2] 梁超雄.實用聯(lián)網(wǎng)技術(shù)[M].北京:化學工業(yè)出版社,2009.