■

通常單位網(wǎng)絡(luò)出于安全考慮以及公安部門的相關(guān)要求，需要實行實名上網(wǎng)，上網(wǎng)日志需要保存時間不少于60天；同時會遇到隨時有新的設(shè)備要接入網(wǎng)絡(luò)或者有終端設(shè)備要移動到其他場所辦公的情況。固然通過靜態(tài)分配IP以及在防火墻上進行IP和MAC地址綁定，然后將MAC地址與用戶一一對應(yīng)可以實現(xiàn)。但是面對有上百臺接入終端（甚至達到300到500數(shù)量級）規(guī)模的網(wǎng)絡(luò)這樣去做日常調(diào)整的工作量大，顯然是不可接受的。我們可以考慮采用動態(tài)IP地址分配技術(shù)（DHCP）、跨VLAN動態(tài)IP分配技術(shù)、實名認證技術(shù)來實現(xiàn)。

圖1是一個典型網(wǎng)絡(luò)的簡要連接示意圖。我們以此為例來討論如何實現(xiàn)。在圖1中五幢建筑物通過光纖連接至三層核心交換設(shè)備，三層核心交換設(shè)備通過防火墻接入Internet。面對幾百臺數(shù)量級的網(wǎng)絡(luò)，為了隔離沖突域，需要劃分VLAN。通常的做法是每幢樓宇劃分為一個VLAN。如果某一幢建筑內(nèi)由于接入終端數(shù)過多，又會適當?shù)亩鄤潕讉€VLAN。同時為每一個VLAN分配不同的網(wǎng)段號。本例VLAN劃分如圖1所示。

圖1 VLAN劃分

在信息中心的10.0.0.X網(wǎng)段里設(shè)置專門的DHCP服務(wù)器，分配DHCP服務(wù)器的IP為10.0.0.2。啟動DHCP服務(wù)，為每一個網(wǎng)段新建作用域，分配地址池、網(wǎng)絡(luò)配置參數(shù)等。由于篇幅的限制，DHCP技術(shù)在此筆者就不多作介紹，不是太熟悉的讀者朋友可以參考相關(guān)的DHCP教程?？赡苡械淖x者朋友要問：DHCP動態(tài)IP地址分配是不能跨網(wǎng)段工作的。的確是這樣。如果給每一個VLAN安裝專門的DHCP服務(wù)器也是不現(xiàn)實的。這就要通過跨VLAN動態(tài)IP分配技術(shù)來實現(xiàn)。

跨VLAN動態(tài)IP分配具體操作步驟會因不同的三層核心交換設(shè)備而有所不同，但大體操作思想相同。操作步驟：

第1步 在三層核心交換設(shè)備上，為每一個VLAN分配網(wǎng)段，同時為每一個VLAN接口配置IP地址（一般分配首地址或者尾地址，依據(jù)個人習慣而定，沒有特別的規(guī)定）；

第2步 在每一個VLAN下指定DHCP服務(wù)器地址（這樣設(shè)備就知道轉(zhuǎn)發(fā)DHCP服務(wù)器地址來的廣播包，實現(xiàn)DHCP中繼 ）。

通過在網(wǎng)絡(luò)防火墻設(shè)備上配置實名認證，實現(xiàn)用戶實名上網(wǎng)。具體操作會因不同的防火墻而配置方法有所不同。一人一賬號，并根據(jù)權(quán)限的不同分配不同的接入權(quán)限。具體操作不太熟悉的讀者朋友可以參考一下自己所使用的防火墻設(shè)備的使用說明或教程。

這樣我們實現(xiàn)了用戶實名上網(wǎng)；避免網(wǎng)絡(luò)管理員一臺一臺手動為幾百臺接入終端分配IP地址，日后也無需重新手動設(shè)置IP地址；避免了用戶將終端從一幢樓移動到別一幢樓時需要重新手動分配IP地址，重新綁定IP與MAC地址；避免用戶有新的接入設(shè)備要接入網(wǎng)絡(luò)時需要人為手動去分配，手動IP與MAC地址綁定。

可能有的讀者朋友不免要問我們?yōu)槭裁床恢苯永梅阑饓μ峁┑腄HCP服務(wù)來提供動態(tài)IP地址分配呢？還可以節(jié)省一臺專門的服務(wù)器？理論上是可行的。根據(jù)筆者的經(jīng)驗，但面對有幾百臺數(shù)量級的網(wǎng)絡(luò)，防火墻要處理基本的上網(wǎng)數(shù)據(jù)，還要運行安全策略，計算壓力并不小，防火墻的運行效率將直接影響到用戶上網(wǎng)體驗（簡單來說就是網(wǎng)絡(luò)快慢）。所以筆者建議采用專用一臺服務(wù)器來做DHCP服務(wù)（其實一臺運行穩(wěn)定一定的PC機就能承擔）。

通過上述分析，IP地址科學規(guī)劃，能極大的減輕日常網(wǎng)絡(luò)管理的常規(guī)工作量，提升網(wǎng)絡(luò)管理的效率。筆者在此只是拋磚引玉，借此引起廣大網(wǎng)絡(luò)管理者的共鳴，通自已的科學規(guī)劃，提升網(wǎng)絡(luò)管理效率，能從繁忙低效的工作中解脫出來。