當(dāng)前位置:
首頁(yè)>
技術(shù)交流>IP地址規(guī)劃與設(shè)計(jì)建議
IP地址規(guī)劃與設(shè)計(jì)建議
劃分VLAN,每個(gè)VLAN分配一個(gè)獨(dú)立的IP子網(wǎng)���,一方面獨(dú)立的子網(wǎng)可以實(shí)現(xiàn)對(duì)關(guān)鍵服務(wù)器和關(guān)鍵用戶的有效保護(hù)��,另一方面�����,細(xì)分的子網(wǎng)可以減少IP地址沖突或者IP地址盜用所帶來(lái)的影響�。
盡量將關(guān)鍵服務(wù)器設(shè)置一個(gè)獨(dú)立的VLAN和子網(wǎng),避免IP地址沖突����。
重要的領(lǐng)導(dǎo)和重要的部門要設(shè)立單獨(dú)的VLAN。
外來(lái)或者流動(dòng)性比較大的人員����,要設(shè)置單獨(dú)的VLAN。
語(yǔ)音(如果有)要設(shè)置單獨(dú)的VLAN�����。
在不致大量增加管理工作量的情況下����,把每個(gè)VLAN中的用戶盡量小一些���。
采用動(dòng)態(tài)地址和靜態(tài)分配相結(jié)合的方法來(lái)實(shí)現(xiàn)IP地址的有效管理�����,具體方法為:
所有網(wǎng)絡(luò)設(shè)備���,例如:防火墻����、路由器���、交換機(jī)�����、IDS����、等��,采用靜態(tài)IP地址�;
所有的服務(wù)器和管理維護(hù)工作站采用靜態(tài)IP地址;
重要的子網(wǎng)����,如:領(lǐng)導(dǎo)子網(wǎng)內(nèi)的主機(jī)用靜態(tài)IP地址�;
其他普通用戶子網(wǎng)��,包括外來(lái)或者流動(dòng)人員VLAN���,采用DHCP動(dòng)態(tài)分配的IP地址�����;
語(yǔ)音(IP電話)��,采用DHCP動(dòng)態(tài)分配IP地址�����,實(shí)現(xiàn)局域網(wǎng)的即插即用����;
建立有效的IP地址��、MAC地址���、用戶名��、主機(jī)名�����、網(wǎng)絡(luò)端口�����、信息點(diǎn)的對(duì)應(yīng)表格����。通過表格��,可以快速定位所有IP地址對(duì)應(yīng)的主機(jī)和人員����。
對(duì)采用靜態(tài)分配IP地址的設(shè)備或主機(jī),在分配IP地址時(shí)���,登記如下信息:IP地址��、MAC地址���、用戶名、用戶名、主機(jī)名��、網(wǎng)絡(luò)端口���、信息點(diǎn)編號(hào)等��。
采用DHCP進(jìn)行地址分配的����,將IP地址和MAC地址綁定(IP電話除外)��,即特定的MAC地址只能獲得指定的IP地址����,從而建立:IP地址、MAC地址��、用戶名��、用戶名�����、主機(jī)名�����、網(wǎng)絡(luò)端口、信息點(diǎn)編號(hào)等信息表�����。
除外來(lái)人員或流動(dòng)人員VLAN外�����,未經(jīng)過登記的MAC地址���,DHCP服務(wù)器將不為其分配IP地址。
建立所有網(wǎng)絡(luò)設(shè)備端口與信息點(diǎn)之間的對(duì)應(yīng)表�,即使這些信息點(diǎn)是還沒有主機(jī)(空的)。
一旦發(fā)現(xiàn)IP地址盜用��,首先應(yīng)找到該IP地址的MAC地址����,通過定位該MAC地址是從哪個(gè)交換機(jī)的哪個(gè)端口學(xué)習(xí)來(lái)的,可以知道該IP對(duì)應(yīng)的網(wǎng)絡(luò)設(shè)備端口和信息點(diǎn)編號(hào)���。
利用Cisco交換機(jī)提供的一些智能特性����,實(shí)現(xiàn)跨網(wǎng)段的地址分配,防范DHCP攻擊�����,對(duì)用戶MAC�、IP、交換機(jī)端口進(jìn)行跟蹤等�����。
通過劃分VLAN和IP子網(wǎng)�����,靜態(tài)和動(dòng)態(tài)地址分配相結(jié)合�,并結(jié)合DHCP保護(hù)和IP地址盜用快速定位等技術(shù),可以有效實(shí)現(xiàn)IP地址的管理�。實(shí)現(xiàn)關(guān)鍵的設(shè)備和重要的用戶主機(jī)不會(huì)產(chǎn)生IP地址沖突;
由于采用動(dòng)態(tài)和靜態(tài)相結(jié)合的管理��,如果網(wǎng)絡(luò)中發(fā)現(xiàn)IP地址沖突或者IP地址盜用�,可以快速定位出該IP地址所在的信息點(diǎn)編號(hào),所連接的網(wǎng)絡(luò)端口��������?梢粤⒖探沟刂窙_突����。
對(duì)于本項(xiàng)目的網(wǎng)絡(luò)系統(tǒng),作為內(nèi)部網(wǎng)絡(luò)不需要申請(qǐng)有效的IP地址����,所以應(yīng)該在內(nèi)部網(wǎng)內(nèi)使用RFC 1597中規(guī)定的保留IP地址段�。RFC 1597中規(guī)定了三段地址,這些地址不允許在因特網(wǎng)上出現(xiàn)�����。所規(guī)定的保留地址如下:
10.0.0.0 ~ 10.255.255.255 1個(gè)A類地址
172.16.0.0 ~ 172.31.255.255 16個(gè)B類地址
192.168.0.0 ~ 192.168.255.255 256個(gè)C類地址
貴公司可以根據(jù)目前網(wǎng)絡(luò)的狀況和今后的發(fā)展需要�,選擇符合自己需要的IP地址空間,我們建議選擇10.0.0.0/8這個(gè)網(wǎng)段作為貴公司辦公網(wǎng)普遍的地址段�����。
下面是我們?yōu)槟臣乙?guī)模較大的用戶單位做的IP地址規(guī)劃中的部分內(nèi)容�����,以供參考。
1����、10.0.0.0 ~ 10.0.255.255這個(gè)B類地址作為服務(wù)器的IP地址。
2��、10.1.0.0 ~ 10.200.255.255這200個(gè)B類地址用于VLAN的IP地址�����,其中第二位和相應(yīng)的VLAN號(hào)相匹配�。每個(gè)B類地址可以有62535個(gè)地址,保證了今后網(wǎng)絡(luò)用戶的擴(kuò)容對(duì)IP地址不會(huì)造成沖擊����。
3、10.1.0.0 ~ 10.1.255.255這個(gè)B類地址用于網(wǎng)絡(luò)設(shè)備的網(wǎng)管地址����,所有網(wǎng)絡(luò)設(shè)備的管理地址都設(shè)置在VLAN1內(nèi)。
4�����、10.201.0.0 ~ 10.255.255.255這些地址作為預(yù)留給廣域網(wǎng)連接使用,用到時(shí)再詳細(xì)定義��。
IP地址規(guī)劃設(shè)計(jì)原則
IP地址規(guī)劃設(shè)計(jì)常見問題
