任小兵

摘要:本文介紹了IP地址的分類(lèi)及局域網(wǎng)IP地址的分配,尤其是IP地址的動(dòng)態(tài)分配。針對(duì)如何有效加強(qiáng)IP地址的管理,討論了IP綁定及VLAN劃分策略,來(lái)解決IP地址管理中的難題。最后介紹了幾種常用的網(wǎng)絡(luò)命令。

關(guān)鍵詞:IP地址局域網(wǎng)綁定動(dòng)態(tài)地址分配

中圖分類(lèi)號(hào):TP393.1 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-098X(2012)06(c)-0027-01

局域網(wǎng)(LAN)技術(shù)廣泛應(yīng)用于學(xué)校、機(jī)關(guān)、企事業(yè)單位,是各類(lèi)大型網(wǎng)絡(luò)的基礎(chǔ),具有投入低、組網(wǎng)方便、穩(wěn)定安全等特點(diǎn)。局域網(wǎng)組網(wǎng)的一項(xiàng)重要內(nèi)容是對(duì)IP地址進(jìn)行管理,IP地址的管理策略關(guān)系到整個(gè)網(wǎng)絡(luò)的穩(wěn)定與安全。

1 IP地址的分類(lèi)

現(xiàn)有的互聯(lián)網(wǎng)執(zhí)行的是IPv4協(xié)議。IPv6是下一版本的互聯(lián)網(wǎng)協(xié)議,目前仍未大規(guī)模使用。

IPv4協(xié)議中,常用的IP地址可分為三類(lèi),A類(lèi)地址、B類(lèi)地址、C類(lèi)地址。

局域網(wǎng)通常采用C類(lèi)地址。其中有兩個(gè)IP地址比較特殊,一個(gè)是網(wǎng)絡(luò)號(hào),一個(gè)是廣播地址。網(wǎng)絡(luò)號(hào)是網(wǎng)段中的第一個(gè)地址,廣播地址是網(wǎng)段中的最后一個(gè)地址,這兩個(gè)地址不能用于配置主機(jī)。因此,局域網(wǎng)中,能配置在計(jì)算機(jī)中的地址比網(wǎng)段內(nèi)的地址要少兩個(gè),這些地址稱(chēng)之為主機(jī)地址。

2 IP地址的分配

IP地址分配有兩種:靜態(tài)分配IP地址和動(dòng)態(tài)分配IP地址。

2.1 靜態(tài)分配

以人工的方式設(shè)置主機(jī)IP地址。此方法適用于網(wǎng)絡(luò)中主機(jī)數(shù)量較少的情況。為了方便管理與維護(hù),一般將網(wǎng)絡(luò)主機(jī)劃分為幾個(gè)部分,每個(gè)部分分配一個(gè)連續(xù)的IP地址段。在命令窗口中,輸入ipconfig命令可查看本機(jī)的IP信息與MAC地址,也可以在配置好每臺(tái)電腦的地址后,使用局域網(wǎng)IP探測(cè)工具軟件記錄下與IP地址相對(duì)應(yīng)的MAC地址。

2.2 動(dòng)態(tài)分配(DHCP)

利用DHCP服務(wù)器分配和管理IP地址。DHCP是動(dòng)態(tài)主機(jī)配置協(xié)議,一種簡(jiǎn)化主機(jī)IP地址配置管理的TCP/IP 標(biāo)準(zhǔn)。用動(dòng)態(tài)IP地址分配的最大優(yōu)點(diǎn)是客戶(hù)端網(wǎng)絡(luò)的配置相對(duì)簡(jiǎn)單,在沒(méi)有管理員幫助的情況下,用戶(hù)自己便可對(duì)網(wǎng)絡(luò)進(jìn)行連接設(shè)置。使用DHCP時(shí),網(wǎng)絡(luò)必須提供一臺(tái)DHCP服務(wù)器,用于向本網(wǎng)絡(luò)主機(jī)提供有效的IP地址。用戶(hù)只需將主機(jī)的網(wǎng)絡(luò)連接屬性設(shè)置為“自動(dòng)獲得IP地址”即可。

IP地址動(dòng)態(tài)分配具有簡(jiǎn)單高效的優(yōu)點(diǎn)。首先,網(wǎng)絡(luò)管理員可以根據(jù)自身網(wǎng)絡(luò)實(shí)際情況,自定義地址池,如網(wǎng)段的起止IP、地址的租期、保留地址等。再有,對(duì)于不熟悉網(wǎng)絡(luò)設(shè)置的用戶(hù)也可以輕松入網(wǎng),不必輸入IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS等繁瑣信息。此外,網(wǎng)絡(luò)主機(jī)均從DHCP服務(wù)器獲取地址,避免了因人工輸入錯(cuò)誤帶來(lái)的主機(jī)之間地址沖突。

3 常用局域網(wǎng)IP策略

3.1 IP地址與MAC地址綁定

MAC是網(wǎng)卡的物理地址,具有唯一性。在局域網(wǎng)內(nèi),同一網(wǎng)段內(nèi)的尋址是通過(guò)網(wǎng)卡的MAC地址來(lái)實(shí)現(xiàn)的,若局域網(wǎng)的地址分配采用靜態(tài)方式,可使用將IP與MAC進(jìn)行綁定的策略,來(lái)避免用戶(hù)隨意修改主機(jī)IP地址。網(wǎng)絡(luò)管理員可以使用ARP命令來(lái)實(shí)現(xiàn)IP與MAC的綁定,通常也可以在具有網(wǎng)絡(luò)管理功能的交換機(jī)上設(shè)置相應(yīng)策略來(lái)實(shí)現(xiàn),更進(jìn)一步還可以實(shí)現(xiàn)將用戶(hù)主機(jī)的IP、MAC地址及所連交換機(jī)的端口多重綁定。

3.2 IP-交換機(jī)端口綁定

通過(guò)使用具有管理功能的交換機(jī)來(lái)把IP和端口進(jìn)行綁定,實(shí)現(xiàn)只允許特定IP地址的報(bào)文通過(guò),可以有效解決用戶(hù)非法修改主機(jī)IP地址,防止IP地址沖突的發(fā)生。如在思科Catalyst交換機(jī)中使用下面命令來(lái)將交換機(jī)的FastEthernet0/17端口與IP綁定。

switch(config)#interface FastEthernet0/17

switch(config-if)# ip access-group 1 in

switch(config)#access-list 1 permit 192.168.0.100

3.3 VLAN劃分

VLAN(Virtual Local Area Network)技術(shù)將整個(gè)局域網(wǎng)從邏輯上劃分為虛擬子網(wǎng),通常應(yīng)用于主機(jī)數(shù)較多的網(wǎng)絡(luò)中。網(wǎng)絡(luò)用戶(hù)的劃分可以不受實(shí)際位置的限制,根據(jù)需要來(lái)任意劃分,有助于提高網(wǎng)絡(luò)規(guī)劃和重組的管理功能。通過(guò)IP地址劃分VLAN,可區(qū)分不同子網(wǎng)的訪(fǎng)問(wèn)權(quán)限。按VLAN的劃分原則,劃分方法主要有三類(lèi),根據(jù)端口劃分VLAN、根據(jù)MAC地址劃分VLAN、根據(jù)路由劃分VLAN。

基于端口是VLAN劃分最簡(jiǎn)便的方法,網(wǎng)絡(luò)管理員依據(jù)局域網(wǎng)交換機(jī)端口來(lái)確定VLAN用戶(hù)。通過(guò)邏輯上局域網(wǎng)交換機(jī)的端口分組來(lái)實(shí)現(xiàn)用戶(hù)的劃分?；贛AC地址定義VLAN,這種方法允許用戶(hù)遷移到網(wǎng)絡(luò)的其他物理網(wǎng)段,而保持原有的VLAN。根據(jù)路由劃分VLAN,該方式允許一個(gè)VLAN跨越多個(gè)交換機(jī),或一個(gè)端口位于多個(gè)VLAN中。

3.4 防火墻

利用防火墻將用戶(hù)的IP地址與MAC地址進(jìn)行綁定,即使合法用戶(hù)的IP地址被盜用,防火墻也會(huì)過(guò)濾掉MAC地址不匹配的主機(jī),由于在防火墻設(shè)置中IP地址與MAC地址綁定,被盜用的IP地址無(wú)法通過(guò)防火墻系統(tǒng)。

IP地址沖突的原因很多,應(yīng)對(duì)的策略也不同,網(wǎng)絡(luò)管理員在管理維護(hù)局域網(wǎng)時(shí),要依據(jù)實(shí)際情況,綜合運(yùn)用IP、MAC、端口及劃分VLAN手段及多種身份認(rèn)證機(jī)制,從根本上防范IP沖突。

4 局域網(wǎng)管理常用命令

網(wǎng)絡(luò)管理和維護(hù)過(guò)程中,通常使用簡(jiǎn)便的命令來(lái)了解網(wǎng)絡(luò)的運(yùn)行情況、判斷網(wǎng)絡(luò)故障、找出故障原因。下面介紹幾個(gè)最常用的局域網(wǎng)命令。

ping命令:

ping命令在檢查網(wǎng)絡(luò)故障中使用廣泛,它通過(guò)向計(jì)算機(jī)發(fā)送ICMP回應(yīng)報(bào)文并且監(jiān)聽(tīng)回應(yīng)報(bào)文的返回,以校驗(yàn)與遠(yuǎn)程計(jì)算機(jī)或本地計(jì)算機(jī)的連接,主要是用來(lái)檢查網(wǎng)絡(luò)連接是否暢通。通常ping命令后接主機(jī)的IP地址,以ms顯示響應(yīng)時(shí)間,以此判斷網(wǎng)絡(luò)的時(shí)延情況。

ipconfig命令:

ipconfig命令用于快速查看主機(jī)的IP配置。該命令使用時(shí)如不附帶參數(shù),則僅顯示IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等基本IP配置信息。常用的附帶參數(shù)是all,除顯示基本信息外,還增加了網(wǎng)卡的物理地址,使用DHCP獲取地址時(shí),可顯示DHCP服務(wù)器地址及本機(jī)所用地址的獲得租約時(shí)間及租約過(guò)期時(shí)間,以及是否啟用NetBIOS。

netstat命令:

netstat命令用于掌握網(wǎng)絡(luò)的基本運(yùn)行情況,可顯示與IP、TCP、UDP和ICMP協(xié)議相關(guān)的統(tǒng)計(jì)數(shù)據(jù),檢驗(yàn)主機(jī)各端口的網(wǎng)絡(luò)連接狀況。此命令常用附帶參數(shù)是e,結(jié)果顯示當(dāng)前的網(wǎng)絡(luò)數(shù)據(jù)報(bào)基本信息,可作為判斷網(wǎng)絡(luò)流量的根據(jù)。

5 結(jié)語(yǔ)

局域網(wǎng)IP地址策略關(guān)系到整個(gè)網(wǎng)絡(luò)的安全與穩(wěn)定,網(wǎng)絡(luò)管理員要多種技術(shù)手段并用,制定有效方案對(duì)主機(jī)IP地址進(jìn)行合理分配,充分運(yùn)用IP管理策略,并在維護(hù)過(guò)程中巧用多種網(wǎng)絡(luò)命令解決出現(xiàn)的網(wǎng)絡(luò)故障,確保網(wǎng)絡(luò)的正常運(yùn)行。

參考文獻(xiàn)

[1] 梅剛,孫斌,劉曉霞.網(wǎng)絡(luò)管理員手冊(cè)[M].北京:國(guó)防工業(yè)出版社,2007.

[2] 梁超雄.實(shí)用聯(lián)網(wǎng)技術(shù)[M].北京:化學(xué)工業(yè)出版社,2009.