IP地址規(guī)劃與設(shè)計建議
劃分VLAN�,每個VLAN分配一個獨立的IP子網(wǎng)���,一方面獨立的子網(wǎng)可以實現(xiàn)對關(guān)鍵服務(wù)器和關(guān)鍵用戶的有效保護(hù)���,另一方面,細(xì)分的子網(wǎng)可以減少IP地址沖突或者IP地址盜用所帶來的影響���。
盡量將關(guān)鍵服務(wù)器設(shè)置一個獨立的VLAN和子網(wǎng),避免IP地址沖突����。
重要的領(lǐng)導(dǎo)和重要的部門要設(shè)立單獨的VLAN。
外來或者流動性比較大的人員��,要設(shè)置單獨的VLAN。
語音(如果有)要設(shè)置單獨的VLAN�。
在不致大量增加管理工作量的情況下,把每個VLAN中的用戶盡量小一些���。
采用動態(tài)地址和靜態(tài)分配相結(jié)合的方法來實現(xiàn)IP地址的有效管理�,具體方法為:
所有網(wǎng)絡(luò)設(shè)備�,例如:防火墻�����、路由器��、交換機(jī)��、IDS����、等,采用靜態(tài)IP地址�;
所有的服務(wù)器和管理維護(hù)工作站采用靜態(tài)IP地址;
重要的子網(wǎng)�,如:領(lǐng)導(dǎo)子網(wǎng)內(nèi)的主機(jī)用靜態(tài)IP地址;
其他普通用戶子網(wǎng)�����,包括外來或者流動人員VLAN,采用DHCP動態(tài)分配的IP地址��;
語音(IP電話)��,采用DHCP動態(tài)分配IP地址,實現(xiàn)局域網(wǎng)的即插即用�;
建立有效的IP地址、MAC地址����、用戶名、主機(jī)名�����、網(wǎng)絡(luò)端口�、信息點的對應(yīng)表格�����。通過表格���,可以快速定位所有IP地址對應(yīng)的主機(jī)和人員���。
對采用靜態(tài)分配IP地址的設(shè)備或主機(jī)�,在分配IP地址時��,登記如下信息:IP地址���、MAC地址、用戶名���、用戶名��、主機(jī)名�����、網(wǎng)絡(luò)端口�、信息點編號等����。
采用DHCP進(jìn)行地址分配的,將IP地址和MAC地址綁定(IP電話除外),即特定的MAC地址只能獲得指定的IP地址�����,從而建立:IP地址����、MAC地址�、用戶名、用戶名��、主機(jī)名�����、網(wǎng)絡(luò)端口�����、信息點編號等信息表��。
除外來人員或流動人員VLAN外�����,未經(jīng)過登記的MAC地址����,DHCP服務(wù)器將不為其分配IP地址。
建立所有網(wǎng)絡(luò)設(shè)備端口與信息點之間的對應(yīng)表�,即使這些信息點是還沒有主機(jī)(空的)��。
一旦發(fā)現(xiàn)IP地址盜用����,首先應(yīng)找到該IP地址的MAC地址,通過定位該MAC地址是從哪個交換機(jī)的哪個端口學(xué)習(xí)來的���,可以知道該IP對應(yīng)的網(wǎng)絡(luò)設(shè)備端口和信息點編號���。
利用Cisco交換機(jī)提供的一些智能特性,實現(xiàn)跨網(wǎng)段的地址分配����,防范DHCP攻擊,對用戶MAC�����、IP、交換機(jī)端口進(jìn)行跟蹤等�����。
通過劃分VLAN和IP子網(wǎng)�,靜態(tài)和動態(tài)地址分配相結(jié)合����,并結(jié)合DHCP保護(hù)和IP地址盜用快速定位等技術(shù),可以有效實現(xiàn)IP地址的管理�。實現(xiàn)關(guān)鍵的設(shè)備和重要的用戶主機(jī)不會產(chǎn)生IP地址沖突;
由于采用動態(tài)和靜態(tài)相結(jié)合的管理�����,如果網(wǎng)絡(luò)中發(fā)現(xiàn)IP地址沖突或者IP地址盜用��,可以快速定位出該IP地址所在的信息點編號���,所連接的網(wǎng)絡(luò)端口�����?梢粤⒖探沟刂窙_突。
對于本項目的網(wǎng)絡(luò)系統(tǒng)���,作為內(nèi)部網(wǎng)絡(luò)不需要申請有效的IP地址,所以應(yīng)該在內(nèi)部網(wǎng)內(nèi)使用RFC 1597中規(guī)定的保留IP地址段����。RFC 1597中規(guī)定了三段地址,這些地址不允許在因特網(wǎng)上出現(xiàn)����。所規(guī)定的保留地址如下:
10.0.0.0 ~ 10.255.255.255 1個A類地址
172.16.0.0 ~ 172.31.255.255 16個B類地址
192.168.0.0 ~ 192.168.255.255 256個C類地址
貴公司可以根據(jù)目前網(wǎng)絡(luò)的狀況和今后的發(fā)展需要,選擇符合自己需要的IP地址空間�,我們建議選擇10.0.0.0/8這個網(wǎng)段作為貴公司辦公網(wǎng)普遍的地址段。
下面是我們?yōu)槟臣乙?guī)模較大的用戶單位做的IP地址規(guī)劃中的部分內(nèi)容��,以供參考���。
1���、10.0.0.0 ~ 10.0.255.255這個B類地址作為服務(wù)器的IP地址�。
2、10.1.0.0 ~ 10.200.255.255這200個B類地址用于VLAN的IP地址����,其中第二位和相應(yīng)的VLAN號相匹配���。每個B類地址可以有62535個地址,保證了今后網(wǎng)絡(luò)用戶的擴(kuò)容對IP地址不會造成沖擊�����。
3���、10.1.0.0 ~ 10.1.255.255這個B類地址用于網(wǎng)絡(luò)設(shè)備的網(wǎng)管地址��,所有網(wǎng)絡(luò)設(shè)備的管理地址都設(shè)置在VLAN1內(nèi)�����。
4�、10.201.0.0 ~ 10.255.255.255這些地址作為預(yù)留給廣域網(wǎng)連接使用��,用到時再詳細(xì)定義。
IP地址規(guī)劃設(shè)計原則
IP地址規(guī)劃設(shè)計常見問題
