教你巧設(shè)IP地址簡(jiǎn)化管理網(wǎng)絡(luò)

作為網(wǎng)絡(luò)管理員，每天都要面臨大量的維護(hù)工作。如果能夠充分挖掘網(wǎng)絡(luò)管理中的技巧，無疑可以減輕管理員的負(fù)擔(dān)，同時(shí)可以讓網(wǎng)絡(luò)應(yīng)用更加優(yōu)化。下面就介紹兩個(gè)與IP設(shè)置相關(guān)的管理技巧，希望能為廣大的管理員提供借鑒。
    動(dòng)靜結(jié)合，靈活分配IP地址
    在基于TCP/IP的企業(yè)網(wǎng)絡(luò)中，通常采用靜態(tài)和動(dòng)態(tài)兩種地址分配方式。靜態(tài)分配方式是由管理員為每一臺(tái)聯(lián)網(wǎng)的計(jì)算機(jī)、服務(wù)器交換機(jī)、防火墻、計(jì)費(fèi)網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備設(shè)定一個(gè)固定的IP地址。這種分配方式下，管理員可以掌握每一臺(tái)設(shè)備的IP地址信息，但是隨著設(shè)備的更新、調(diào)換以及用戶自己更改IP地址，很容易造成IP地址的混亂和沖突，進(jìn)而給管理員帶來較大的維護(hù)工作量。
    動(dòng)態(tài)分配方式下，每一臺(tái)計(jì)算機(jī)在登錄網(wǎng)絡(luò)后都可以通過DHCP服務(wù)器自動(dòng)地獲取IP地址、默認(rèn)網(wǎng)關(guān)及DNS地址信息。這種方式可以節(jié)省管理員大量的維護(hù)工作量。但是如果采用全動(dòng)態(tài)的分配方式，對(duì)于服務(wù)器或是處理特定業(yè)務(wù)的工作站來講，一旦原有的地址被爭(zhēng)用，將重新獲得一個(gè)新的地址，這種轉(zhuǎn)變對(duì)于客戶端來講是不透明的，往往會(huì)造成應(yīng)用不能正常使用的情況。
    因此，合理的IP地址分配方式是采取動(dòng)靜結(jié)合的方式，其分配原則是以動(dòng)態(tài)分配為主，同時(shí)對(duì)于需要設(shè)定固定IP地址的設(shè)備采取靜態(tài)分配方式。
    實(shí)現(xiàn)的方法是，在進(jìn)行DHCP作用域設(shè)置的時(shí)候，在每個(gè)子網(wǎng)中預(yù)留一定空間的IP地址，這些地址參與動(dòng)態(tài)分配，主要用來進(jìn)行固定地址的分配。如：在VLAN1的作用域中要排除192.168.1.1到192.168.1.20范圍的IP地址以及地址192.168.1.100，可以在DHCP作用域設(shè)置的時(shí)候進(jìn)行（如圖1）所示的設(shè)置。
    圖1 在作用域中預(yù)留IP地址
    通過上面的設(shè)置，在VLAN1中可以動(dòng)態(tài)分配給客戶機(jī)的IP地址空間為除去地址192.168.1.100的從192.168.1.21到192.168.1.253(192.168.1.254作為默認(rèn)網(wǎng)關(guān)地址)地址范圍。
    由于動(dòng)靜結(jié)合的IP分配方式不需要管理員對(duì)客戶機(jī)的IP地址信息進(jìn)行維護(hù)，可以大大減少IP地址沖突的產(chǎn)生，同時(shí)需要設(shè)定固定IP地址的設(shè)備相對(duì)較少，不會(huì)增加管理員的維護(hù)工作量。
    在采用DHCP動(dòng)態(tài)分配IP地址的方式下，可以在客戶機(jī)啟用DHCP自動(dòng)獲取IP地址的同時(shí)再手工設(shè)置一個(gè)固定IP地址，這樣當(dāng)網(wǎng)絡(luò)中的DHCP服務(wù)器不可用時(shí)，客戶機(jī)會(huì)自動(dòng)使用備用的固定IP地址進(jìn)行網(wǎng)絡(luò)連接，從而減少DHCP服務(wù)器故障對(duì)網(wǎng)絡(luò)應(yīng)用的不利影響。設(shè)置方法是在TCP/IP協(xié)議的屬性設(shè)置中，在“備用配置”選型頁選擇“用戶配置”選項(xiàng)并輸入相應(yīng)的IP地址信息，（如圖2）所示。
     　　
    在圖2中可以看到備用配置還有一個(gè)“自動(dòng)專有IP地址”的選項(xiàng)，使用該選項(xiàng)，在DHCP服務(wù)器不可用時(shí)，也可以自動(dòng)配置計(jì)算機(jī)的IP地址信息，但是該地址有很大的局限性，只允許計(jì)算機(jī)與同在一個(gè)子網(wǎng)內(nèi)并且所處狀態(tài)相同的計(jì)算機(jī)進(jìn)行通信，具體的原因在下文中將會(huì)詳細(xì)介紹。因此在具有多個(gè)子網(wǎng)的企業(yè)網(wǎng)絡(luò)中，不要使用這種備用配置方式。
    對(duì)于一個(gè)沒有任何外部網(wǎng)絡(luò)連接并且只包含一個(gè)子網(wǎng)的小辦公室網(wǎng)絡(luò)，如果計(jì)算機(jī)全部基于Windows 2000或Windows XP系統(tǒng)，我們還可以利用操作系統(tǒng)提供的APIPA(Automatic Private IP Addressing，自動(dòng)專有IP地址尋址)機(jī)制實(shí)現(xiàn)IP地址的零維護(hù)。在APIPA方式下，雖然網(wǎng)絡(luò)中沒有DHCP服務(wù)器，計(jì)算機(jī)啟動(dòng)后會(huì)自動(dòng)在169.254.0.1 ~169.254.255.254的范圍內(nèi)為自己指定一個(gè)IP地址，子網(wǎng)掩碼為255.255.0.0，不指定默認(rèn)網(wǎng)關(guān)或DNS、WINS服務(wù)器的地址。通過IPCONFIG /ALL命令可以查看當(dāng)前的尋址方式及相關(guān)的IP地址信息，（如圖3）所示。
    圖3 用IPCONFIG /ALL命令查看
    尋址方式及IP地址信息
    在計(jì)算機(jī)的TCP/IP協(xié)議的屬性設(shè)置中，選擇“自動(dòng)獲得IP地址”選項(xiàng)就可以自動(dòng)地啟用APIPA方式。對(duì)小型的辦公網(wǎng)絡(luò)來講，APIPA既可以省去設(shè)置DHCP服務(wù)器的開銷，同時(shí)不需要對(duì)IP地址進(jìn)行任何維護(hù)。
    隔離網(wǎng)絡(luò)設(shè)備所在的子網(wǎng)
    網(wǎng)絡(luò)管理員為了便于對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一的管理和維護(hù)，通常需要為交換機(jī)設(shè)定管理IP地址，同時(shí)將所有的設(shè)備設(shè)定在一個(gè)指定的VLAN中。通過管理IP地址，管理員可以利用網(wǎng)管軟件或是TELNET遠(yuǎn)程登錄對(duì)設(shè)備進(jìn)行調(diào)試和維護(hù)。
    要實(shí)現(xiàn)位于不同VLAN之間的計(jì)算機(jī)互相通信，除了IP地址和子網(wǎng)掩碼外，在設(shè)置IP地址處必須輸入相應(yīng)的默認(rèn)網(wǎng)關(guān)地址，也就是VLAN的接口地址。在網(wǎng)絡(luò)中每一臺(tái)交換機(jī)都可以認(rèn)為是專門的計(jì)算機(jī)，如果在設(shè)置交換機(jī)的管理IP地址時(shí)，設(shè)置了默認(rèn)網(wǎng)關(guān)地址，那么網(wǎng)絡(luò)中的任何一個(gè)用戶如果知道了交換機(jī)的管理IP地址，都可以利用TELNET進(jìn)行遠(yuǎn)程連接。
    有些交換機(jī)提供了用戶身份認(rèn)證的機(jī)制來限制用戶的登錄，但是對(duì)于沒有提供身份認(rèn)證機(jī)制的交換機(jī)而言，這可能會(huì)帶來一定的安全問題：一些對(duì)網(wǎng)絡(luò)技術(shù)比較感興趣的用戶可能會(huì)遠(yuǎn)程登錄到交換機(jī)中進(jìn)行設(shè)置的實(shí)驗(yàn)或是有意無意的更改、刪除已有的設(shè)置，這些操作可能會(huì)造成網(wǎng)絡(luò)工作不正常或是中斷。避免這些安全隱患的辦法就是對(duì)網(wǎng)絡(luò)設(shè)備所在的子網(wǎng)進(jìn)行隔離。
    由于將設(shè)備VLAN設(shè)置為一個(gè)單獨(dú)的VLAN，因此在設(shè)置交換機(jī)管理IP地址的時(shí)候不設(shè)置默認(rèn)網(wǎng)關(guān)地址，網(wǎng)絡(luò)中其他VLAN中的計(jì)算機(jī)也就不能遠(yuǎn)程登錄到交換機(jī)中，這樣就可以實(shí)現(xiàn)對(duì)設(shè)備VLAN的隔離。