教你巧設IP地址簡化管理網(wǎng)絡

作為網(wǎng)絡管理員，每天都要面臨大量的維護工作。如果能夠充分挖掘網(wǎng)絡管理中的技巧，無疑可以減輕管理員的負擔，同時可以讓網(wǎng)絡應用更加優(yōu)化。下面就介紹兩個與IP設置相關的管理技巧，希望能為廣大的管理員提供借鑒。
    動靜結合，靈活分配IP地址
    在基于TCP/IP的企業(yè)網(wǎng)絡中，通常采用靜態(tài)和動態(tài)兩種地址分配方式。靜態(tài)分配方式是由管理員為每一臺聯(lián)網(wǎng)的計算機、服務器交換機、防火墻、計費網(wǎng)關等網(wǎng)絡設備設定一個固定的IP地址。這種分配方式下，管理員可以掌握每一臺設備的IP地址信息，但是隨著設備的更新、調換以及用戶自己更改IP地址，很容易造成IP地址的混亂和沖突，進而給管理員帶來較大的維護工作量。
    動態(tài)分配方式下，每一臺計算機在登錄網(wǎng)絡后都可以通過DHCP服務器自動地獲取IP地址、默認網(wǎng)關及DNS地址信息。這種方式可以節(jié)省管理員大量的維護工作量。但是如果采用全動態(tài)的分配方式，對于服務器或是處理特定業(yè)務的工作站來講，一旦原有的地址被爭用，將重新獲得一個新的地址，這種轉變對于客戶端來講是不透明的，往往會造成應用不能正常使用的情況。
    因此，合理的IP地址分配方式是采取動靜結合的方式，其分配原則是以動態(tài)分配為主，同時對于需要設定固定IP地址的設備采取靜態(tài)分配方式。
    實現(xiàn)的方法是，在進行DHCP作用域設置的時候，在每個子網(wǎng)中預留一定空間的IP地址，這些地址參與動態(tài)分配，主要用來進行固定地址的分配。如：在VLAN1的作用域中要排除192.168.1.1到192.168.1.20范圍的IP地址以及地址192.168.1.100，可以在DHCP作用域設置的時候進行（如圖1）所示的設置。
    圖1 在作用域中預留IP地址
    通過上面的設置，在VLAN1中可以動態(tài)分配給客戶機的IP地址空間為除去地址192.168.1.100的從192.168.1.21到192.168.1.253(192.168.1.254作為默認網(wǎng)關地址)地址范圍。
    由于動靜結合的IP分配方式不需要管理員對客戶機的IP地址信息進行維護，可以大大減少IP地址沖突的產(chǎn)生，同時需要設定固定IP地址的設備相對較少，不會增加管理員的維護工作量。
    在采用DHCP動態(tài)分配IP地址的方式下，可以在客戶機啟用DHCP自動獲取IP地址的同時再手工設置一個固定IP地址，這樣當網(wǎng)絡中的DHCP服務器不可用時，客戶機會自動使用備用的固定IP地址進行網(wǎng)絡連接，從而減少DHCP服務器故障對網(wǎng)絡應用的不利影響。設置方法是在TCP/IP協(xié)議的屬性設置中，在“備用配置”選型頁選擇“用戶配置”選項并輸入相應的IP地址信息，（如圖2）所示。
     　　
    在圖2中可以看到備用配置還有一個“自動專有IP地址”的選項，使用該選項，在DHCP服務器不可用時，也可以自動配置計算機的IP地址信息，但是該地址有很大的局限性，只允許計算機與同在一個子網(wǎng)內并且所處狀態(tài)相同的計算機進行通信，具體的原因在下文中將會詳細介紹。因此在具有多個子網(wǎng)的企業(yè)網(wǎng)絡中，不要使用這種備用配置方式。
    對于一個沒有任何外部網(wǎng)絡連接并且只包含一個子網(wǎng)的小辦公室網(wǎng)絡，如果計算機全部基于Windows 2000或Windows XP系統(tǒng)，我們還可以利用操作系統(tǒng)提供的APIPA(Automatic Private IP Addressing，自動專有IP地址尋址)機制實現(xiàn)IP地址的零維護。在APIPA方式下，雖然網(wǎng)絡中沒有DHCP服務器，計算機啟動后會自動在169.254.0.1 ~169.254.255.254的范圍內為自己指定一個IP地址，子網(wǎng)掩碼為255.255.0.0，不指定默認網(wǎng)關或DNS、WINS服務器的地址。通過IPCONFIG /ALL命令可以查看當前的尋址方式及相關的IP地址信息，（如圖3）所示。
    圖3 用IPCONFIG /ALL命令查看
    尋址方式及IP地址信息
    在計算機的TCP/IP協(xié)議的屬性設置中，選擇“自動獲得IP地址”選項就可以自動地啟用APIPA方式。對小型的辦公網(wǎng)絡來講，APIPA既可以省去設置DHCP服務器的開銷，同時不需要對IP地址進行任何維護。
    隔離網(wǎng)絡設備所在的子網(wǎng)
    網(wǎng)絡管理員為了便于對網(wǎng)絡設備進行統(tǒng)一的管理和維護，通常需要為交換機設定管理IP地址，同時將所有的設備設定在一個指定的VLAN中。通過管理IP地址，管理員可以利用網(wǎng)管軟件或是TELNET遠程登錄對設備進行調試和維護。
    要實現(xiàn)位于不同VLAN之間的計算機互相通信，除了IP地址和子網(wǎng)掩碼外，在設置IP地址處必須輸入相應的默認網(wǎng)關地址，也就是VLAN的接口地址。在網(wǎng)絡中每一臺交換機都可以認為是專門的計算機，如果在設置交換機的管理IP地址時，設置了默認網(wǎng)關地址，那么網(wǎng)絡中的任何一個用戶如果知道了交換機的管理IP地址，都可以利用TELNET進行遠程連接。
    有些交換機提供了用戶身份認證的機制來限制用戶的登錄，但是對于沒有提供身份認證機制的交換機而言，這可能會帶來一定的安全問題：一些對網(wǎng)絡技術比較感興趣的用戶可能會遠程登錄到交換機中進行設置的實驗或是有意無意的更改、刪除已有的設置，這些操作可能會造成網(wǎng)絡工作不正常或是中斷。避免這些安全隱患的辦法就是對網(wǎng)絡設備所在的子網(wǎng)進行隔離。
    由于將設備VLAN設置為一個單獨的VLAN，因此在設置交換機管理IP地址的時候不設置默認網(wǎng)關地址，網(wǎng)絡中其他VLAN中的計算機也就不能遠程登錄到交換機中，這樣就可以實現(xiàn)對設備VLAN的隔離。