作為網絡管理員,每天都要面臨大量的維護工作。如果能夠充分挖掘網絡管理中的技巧,無疑可以減輕管理員的負擔,同時可以讓網絡應用更加優化。下面就介紹兩個與IP設置相關的管理技巧,希望能為廣大的管理員提供借鑒。
動靜結合,靈活分配IP地址
在基于TCP/IP的企業網絡中,通常采用靜態和動態兩種地址分配方式。靜態分配方式是由管理員為每一臺聯網的計算機、服務器交換機、防火墻、計費網關等網絡設備設定一個固定的IP地址。這種分配方式下,管理員可以掌握每一臺設備的IP地址信息,但是隨著設備的更新、調換以及用戶自己更改IP地址,很容易造成IP地址的混亂和沖突,進而給管理員帶來較大的維護工作量。
動態分配方式下,每一臺計算機在登錄網絡后都可以通過DHCP服務器自動地獲取IP地址、默認網關及DNS地址信息。這種方式可以節省管理員大量的維護工作量。但是如果采用全動態的分配方式,對于服務器或是處理特定業務的工作站來講,一旦原有的地址被爭用,將重新獲得一個新的地址,這種轉變對于客戶端來講是不透明的,往往會造成應用不能正常使用的情況。
因此,合理的IP地址分配方式是采取動靜結合的方式,其分配原則是以動態分配為主,同時對于需要設定固定IP地址的設備采取靜態分配方式。
實現的方法是,在進行DHCP作用域設置的時候,在每個子網中預留一定空間的IP地址,這些地址參與動態分配,主要用來進行固定地址的分配。如:在VLAN1的作用域中要排除192.168.1.1到192.168.1.20范圍的IP地址以及地址192.168.1.100,可以在DHCP作用域設置的時候進行(如圖1)所示的設置。
 |
| 圖1 在作用域中預留IP地址 |
通過上面的設置,在VLAN1中可以動態分配給客戶機的IP地址空間為除去地址192.168.1.100的從192.168.1.21到192.168.1.253(192.168.1.254作為默認網關地址)地址范圍。
由于動靜結合的IP分配方式不需要管理員對客戶機的IP地址信息進行維護,可以大大減少IP地址沖突的產生,同時需要設定固定IP地址的設備相對較少,不會增加管理員的維護工作量。
在采用DHCP動態分配IP地址的方式下,可以在客戶機啟用DHCP自動獲取IP地址的同時再手工設置一個固定IP地址,這樣當網絡中的DHCP服務器不可用時,客戶機會自動使用備用的固定IP地址進行網絡連接,從而減少DHCP服務器故障對網絡應用的不利影響。設置方法是在TCP/IP協議的屬性設置中,在“備用配置”選型頁選擇“用戶配置”選項并輸入相應的IP地址信息,(如圖2)所示。
 |
| 圖2 為DHCP預留備用IP地址 |
| 共2頁: 1 [2] 下一頁 | ||||
|
我們可以看到備用配置還有一個“自動專有IP地址”的選項,使用該選項,在DHCP服務器不可用時,也可以自動配置計算機的IP地址信息,但是該地址有很大的局限性,只允許計算機與同在一個子網內并且所處狀態相同的計算機進行通信,具體的原因在下文中將會詳細介紹。因此在具有多個子網的企業網絡中,不要使用這種備用配置方式。
對于一個沒有任何外部網絡連接并且只包含一個子網的小辦公室網絡,如果計算機全部基于Windows 2000或Windows XP系統,我們還可以利用操作系統提供的APIPA(Automatic Private IP Addressing,自動專有IP地址尋址)機制實現IP地址的零維護。在APIPA方式下,雖然網絡中沒有DHCP服務器,計算機啟動后會自動在169.254.0.1 ~169.254.255.254的范圍內為自己指定一個IP地址,子網掩碼為255.255.0.0,不指定默認網關或DNS、WINS服務器的地址。通過IPCONFIG /ALL命令可以查看當前的尋址方式及相關的IP地址信息,(如圖3)所示。
 |
|
圖3 用IPCONFIG /ALL命令查看 尋址方式及IP地址信息 |
在計算機的TCP/IP協議的屬性設置中,選擇“自動獲得IP地址”選項就可以自動地啟用APIPA方式。對小型的辦公網絡來講,APIPA既可以省去設置DHCP服務器的開銷,同時不需要對IP地址進行任何維護。
隔離網絡設備所在的子網
網絡管理員為了便于對網絡設備進行統一的管理和維護,通常需要為交換機設定管理IP地址,同時將所有的設備設定在一個指定的VLAN中。通過管理IP地址,管理員可以利用網管軟件或是TELNET遠程登錄對設備進行調試和維護。
要實現位于不同VLAN之間的計算機互相通信,除了IP地址和子網掩碼外,在設置IP地址處必須輸入相應的默認網關地址,也就是VLAN的接口地址。在網絡中每一臺交換機都可以認為是專門的計算機,如果在設置交換機的管理IP地址時,設置了默認網關地址,那么網絡中的任何一個用戶如果知道了交換機的管理IP地址,都可以利用TELNET進行遠程連接。
有些交換機提供了用戶身份認證的機制來限制用戶的登錄,但是對于沒有提供身份認證機制的交換機而言,這可能會帶來一定的安全問題:一些對網絡技術比較感興趣的用戶可能會遠程登錄到交換機中進行設置的實驗或是有意無意的更改、刪除已有的設置,這些操作可能會造成網絡工作不正常或是中斷。避免這些安全隱患最好的辦法就是對網絡設備所在的子網進行隔離。
由于將設備VLAN設置為一個單獨的VLAN,因此在設置交換機管理IP地址的時候不設置默認網關地址,網絡中其他VLAN中的計算機也就不能遠程登錄到交換機中,這樣就可以實現對設備VLAN的隔離。
但是管理員需要對設備進行管理和維護,不可能每次都要物理接觸到交換機才能操作。解決這個問題,我們可以采取兩種辦法:
一、 在網管中心的核心交換機中,將連接網管工作站的端口包含在與設備相同的VLAN中,這樣管理員在網管工作站中遠程登錄設備時,和位于同一子網內的計算機進行通信一樣,不需要默認網關進行數據包的轉發。
二、 管理員可以首先TELNET遠程登錄到作為VLAN默認網關的核心交換機中,然后在核心交換機用戶接口窗口,再TELNET遠程登錄到要進行管理的交換機中。例如:一臺交換機的管理IP地址為192.168.2.21,所在子網的默認網關地址為192.168.2.1,管理員可以先在Windows的“命令提示符”窗口執行TELNET 192.168.2.1命令,成功連接到核心交換機后會出現命令行方式的設置界面,在此界面中,再執行TELNET 192.168.2.21命令就可以連接到交換機了。
如果出于應用的需要,必須為交換機設置默認網關地址,我們可以在設備VLAN和客戶機VLAN之間設置一道“防火墻”,即通過在核心交換機中設置二層的包過濾策略和三層的IP過濾策略來限制客戶機對指定VLAN和IP地址的訪問,從而實現對設備VLAN的隔離。
啟動策略后,只有符合策略規則的數據包才能進入設備VLAN中。當然這種方式的實現,要求核心交換機支持包過濾和IP過濾才可以。
熱詞搜索:
上一篇:利用IP 別名托管多個SSL 站點
下一篇:將風險降到最低 網絡管理十大注意事項分享到:
收藏
主站蜘蛛池模板: 员工离职协议书| 打字说一句话二年级上册| 转正意见发言简短| 毕业论文5000字免费| 永远的乳房 电影| 娇喘视频在线观看| 小学生必用头像| 爱情秘密| cctv16体育节目表今天目表| 鬼吹灯黄皮子坟| 丁丁历险记电影| 章莹| 小熙| 太原教育电视台| 中国汉字大全20000个| 褚阳| 五上竖式计算300道及答案| 九龙城寨在线观看| 谈判专家豆瓣| 人口高质量发展论文800字| 决胜法庭演员表| 成毅最新电视剧赴山海免费看| 泰坦尼克号床戏| 接吻教学视频| 电影《埋葬巴斯托》| 成人在线影片| 叶子楣喜剧电影全集| 我和我的少年时光| 出埃及记电影| 二年级数学下册期末测试卷| 熊出没免费电影| 我们的高清免费视频观看| 美女比基尼游泳视频大全高清| 七下英语第二单元作文| 回到黑暗 电影| 小学智力测试题100题| 陈若| 电影交换| 诗第十二主要内容| free hd xxxx moms movie777| 49图库龙门客栈|
