校园IP.docx
《校园IP.docx》由会员分享,可在线阅读,更多相关《校园IP.docx(16页珍藏版)》请在冰豆网上搜索。
校园IP
目录
摘要I
1IP概述1
2IP分配规划1
2.1体系化编址1
2.2可持续扩展性2
2.3按需分配公网IP4
2.4静态和动态分配地址的选择4
3校园网络IP地址的管理6
3.1IP地址及其管理6
3.2静态IP地址的绑定技术7
3.2.1基于交换机的IP绑定7
3.2.2应用ARP绑定IP和MAC地址7
3.3校园网中IP地址的动态分配8
3.3.1DHCP服务的配置8
3.3.2地址子网划分9
3.3.3交换机及客户端配置支持10
4局域网IP地址冲突的解决方法11
4.1计算机基础网络管理策略11
4.2技术实战策略12
4.2.1限制用户随意更改IP12
4.2.2限制访问网络属性法12
4.2.3绑定IP-MAC地址12
5结论13
1IP概述
IP是当前热门的技术。
与此相关联的一批新名词,如IP网络、IP交换、IP电话、IP传真等等,也相继出现。
那么,IP是什么呢?
IP是英文InternetProtocol的缩写,意思是“网络之间互连的协议”,也就是为计算机网络相互连接进行通信而设计的协议。
在因特网中,它是能使连接到网上的所有计算机网络实现相互通信的一套规则,规定了计算机在因特网上进行通信时应当遵守的规则。
任何厂家生产的计算机系统,只要遵守IP协议就可以与因特网互连互通。
正是因为有了IP协议,因特网才得以迅速发展成为世界上最大的、开放的计算机通信网络。
因此,IP协议也可以叫做“因特网协议”。
IP协议中还有一个非常重要的内容,那就是给因特网上的每台计算机和其它设备都规定了一个唯一的地址,叫做“IP地址”。
由于有这种唯一的地址,才保证了用户在连网的计算机上操作时,能够高效而且方便地从千千万万台计算机中选出自己所需的对象来。
现在电信网正在与IP网走向融合,以IP为基础的新技术是热门的技术,如用IP网络传送话音的技术(即VoIP)就很热门,其它如IPoverATM、IPoverSDH、IPoverWDM等等,都是IP技术的研究重点。
本文主要研究了在局域网中IP地址的管理及分配和常见IP分配问题的解决方案。
2IP分配规划
随着这些年网络的发展,越来越多的企业和学校都组建了局域网,但是这些单位由于原来并没有网络管理和规划的经验,很多新上任的管理者对IP地址的规划管理不够重视,以至于在以后需要扩展网络或增加服务时造成很多不便,而且随着时间的推移,没有结构化的编制对日常的维护管理也会逐渐增加难度。
所以,笔者首先对IP地址的分配和管理等方面做一个介绍,下面让我们先来看看地址分配的几个基本规则。
2.1体系化编址
体系化其实就是结构化、组织化,根据组织的具体需求和组织结构为原则对整个网络地址进行有条理的规划。
一般这个规划的过程是由大局、整体着眼,然后逐级由大到小分割、划分的。
这其实跟实际的物理地址分配原则是一样的,肯定是先划分省市、再细分割出县区、再细分出道路、再来是街巷,最后是门牌。
从网络总体来说,体系化编制由于相邻或者具有相同服务性质的主机或办公群落都在IP地址上也是连续的,这样在各个区块的边界路由设备上便于进行有效的路由汇总,使整个网络的结构清晰,路由信息明确,也能减小路由器中的路由表。
而每个区域的地址与其他的区域地址相对独立,也便于独立的灵活管理。
2.2可持续扩展性
其实就是在初期规划时为将来的网络拓展考虑,眼光要放得长远一些,在将来很可能增大规模的区块中要留出较大的余地。
IP地址最开始是按有类划分的,A、B、C各类标准网段都只能严格按照规定使用地址。
但现在发展到了无类阶段,由于可以自由规划子网的大小和实际的主机数,所以使得地址资源分配的更加合理,无形中就增大了网络的可拓展性。
虽然在网络初期的一段可能很长的时间里,未合理考虑余量的IP地址规划也能满足需要,但是当一个局部区域出现高增长,或者整体的网络规模不断增大,这时不合理的规划很可能必须重新部署局部甚至整体的IP地址,这在一个中、大型网络中就绝不是一个轻松的工作了。
在这里让我们对IP地址、掩码、子网等概念做个简述,以便于理解无类地址划分的意义。
网络地址分为5类:
1.A类地址:
4个8位位组(octets)中第一个octet代表网络号,剩下的3个代表主机位.范围是0xxxxxxx,即0到127。
2.B类地址:
前2个octets代表网络号,剩下的2个代表主机位.范围是10xxxxxx,即128到191。
3.C类地址:
前3个octets代表网络号,剩下的1个代表主机位.范围是110xxxxx,即192到223。
4.D类地址:
多播地址,范围是224到239。
5.E类地址:
保留地址,实验用,范围是240到255。
一些特殊的IP地址:
1.IP地址127.0.0.1:
本地回环(loopback)测试地址
2.广播地址:
255.255.255.255
3.IP地址0.0.0.0:
代表任何网络
4.网络号全为0:
代表本网络或本网段
5.网络号全为1:
代表所有的网络
6.主机位全为0:
代表某个网段的任何主机地址
7.主机位全为1:
代表该网段的所有主机
私有IP地址(privateIPaddress):
为了节约IP地址空间,并增加了安全性,保留了一些IP地址段作为私网IP,不会在公网上出现。
处于私有IP地址的网络称为内网或私网,与外部进行通信就必须通过网络地址翻译(NAT)。
一些私有地址的范围:
1.A类地址中:
10.0.0.0到10.255.255.255.255
2.B类地址中:
172.16.0.0到172.31.255.255
3.C类地址中:
192.168.0.0到192.168.255.255
无类IP地址:
首先要了解SubnetMasks(子网掩码),它用于辨别IP地址中哪部分为网络地址,哪部分为主机地址,由1和0组成,长32位,全为1的位代表网络号。
不是所有的网络都需要子网,因此就引入1个概念:
默认子网掩码(defaultsubnetmask).A类IP地址的默认子网掩码为255.0.0.0(由于255相当于二进制的8位1,所以也缩写成“/8”,表示网络号占了8位);B类的为255.255.0.0(/16);C类的为255.255.255.0(/24)。
超网(supernetting):
超网是与子网类似的概念(也可以说是相对的概念),IP地址根据子网掩码被分为独立的网络地址和主机地址。
但是,与子网把大网络分成若干小网络相反,它是把一些小网络组合成一个大网络--超网。
可以说超网是一个地址聚合的概念,它和路由汇总有紧密的关系。
2.3按需分配公网IP
相对于私有IP而言,公网IP是不能由自己完全做主要求的,而是ISP等机构统一分配和租用的。
这就造成了公网IP要稀缺的多,所以对公网IP必须按实际需求来分配。
如:
对外提供服务的服务器群组区域,不仅要够用,还得预留出余量;而员工部门等仅需要浏览Internet等基本需求的区域,可以通过NAT(网络地址转换)来多个节点共享一个或几个公网IP;最后,那些只对内部提供服务,或只限于内部通讯的主机自然不用分配公网IP了。
公网IP具体的分配,必须根据实际的需求,进行合理的规划。
另外,由于现在的IPv4网络正在向IPv6过渡,将来很可能出现一段很长的IPv4和IPv6共存的时期,所以现在构建网络时应尽量考虑到对IPv6的兼容性,选择能支持IPv6的设备和系统,以降低升级过渡时的成本。
2.4静态和动态分配地址的选择
在何种环境下使用静态或动态分配IP,这个问题需要从这两类分配机制的优缺点谈起。
第一,动态分配地址由于地址是由DHCP服务器分配的,便于集中化统一管理,并且每一个新接入的主机都能够通过非常简单的操作就可以正确获得IP地址、子网掩码、缺省网关、DNS等参数,在管理的工作量上比静态地址要减少很多,而且越大的网络越明显。
而静态分配就正好相反,需要先指定好那些主机要用到那些IP,绝对不能重复了,然后再去客户主机上挨个设置必要的网络参数,并且当主机区域迁移时,还要记录释放IP,并重分配新的区域IP和配置网络参数。
这需要一张详细记录IP地址资源使用情况的表格,并且要根据变动实时更新,否则很容易出现IP冲突等问题,可以想见这在一个大规模的网络中工作量是多么可怕。
但是在一些特定的区块,如服务器群区域,每台服务器都有一个固定的IP地址这在绝大多数情况下都是必须的。
当然,也可以使用DHCP的地址绑定功能或者动态域名系统来实现类似的效果。
第二,动态分配IP,可以做到按需分配地址,当一个IP地址不被主机使用时,能释放出来供别的新接入主机使用,这样可以在一定程度上高效利用好IP资源。
DHCP的地址池只要能满足同时使用的IP峰值即可。
静态分配必须考虑更大的使用余量,很多临时不接入网络的主机并不会释放掉IP,而且由于是临时性的断开和接入,手动去释放和添加IP等参数明显是受累不讨好的工作,所以这时必须考虑使用更大的IP地址段,确保有足够的IP资源。
第三,动态分配要求网络中必须有一台或几台稳定且高效的DHCP服务器,因为当IP管理和分配集中的同时,故障点也相应集中起来了,只要网络中的DHCP服务器出现故障,整个网络都有可能瘫痪,所以在很多网络中DHCP服务器不止一台,而是另有一台或一组热备份的DHCP服务器,在平时还可以分担地址分配的工作量。
另外,客户机在与DHCP服务器通信时,如:
地址申请、续约和释放等,都会产生一定的网络流量,虽然不大,但是还是要考虑到的。
而静态分配就没有上面的这两个缺点,而且静态地址还有一个最吸引人的优点,就是比动态分配更加容易定位故障点。
看了前面的叙述,读者可能觉得很枯燥,下面我们举个简单的例子来说明企业中大致哪些区域需要部署哪些IP资源,这样会容易理解一些。
图2.1企业简单IP分布
示意图中以职能为界限共划分为3个区域:
对外公共服务器群组、内部服务器群组和内网客户端区域。
这个示意图虽然简单,但是代表了大多数学校或企业的网络基本构架。
其中内网客户端区域部署私有IP地址,然后根据其数量和组织规模等因素来选择网段,并决定是否使用DHCP动态IP分配。
其中,需要访问Internet的客户端可以通过NAT技术实现,一般在企业防火墙后面另配置一个NAT设备(可能是代理服务器或路由器等),在其上配置一个NAT池放置适当的公网IP以供内网机访问Internet的需要。
还可在其上或其连接的下层3层交换机、路由器等设备上做ACL(访问控制列表),以限制内网机访问Internet的权限。
内网服务器区域由于只对内网用户提供服务,所以不需要公网IP也不需要过NAT,而且因其职能应该部署固定的私有IP。
其中如果由于整体网络规模较大,内网服务器区与客户端区之间隔着路由器,那当使用DHCP服务器时,还要注意DHCP的过程使用了广播包,而路由器隔绝广播,这时需要在路由器上配置DHCP中继代理(在Cisco路由器需要的端口上使用ip-helpaddress即可打开中继代理)。
这样对于客户端来说,得到IP地址的过程和访问本地DHCP没有什么区别,也就是说DHCP中继代理对客户端而言是透明的。
最后的DMZ区域放置着对外提供服务的服务器群组,这部分自然是部署固定的公网IP。
当然,可能由于使用服务器集群等冗余和负载均衡措施,会使IP地址的分配策略稍有不同。
一个典型的企业网络结构中,IP地址资源的分配和部署便大致如此了,细节部分肯定会因实际情况而不同,但是大的方向是不会有什么变化的。
3校园网络IP地址的管理
IP地址管理是成功的逻辑设计的基础。
任何一台在局域网中“活动”的工作站,它都是通过IP地址这个“身份”与其他工作站进行沟通交流的,只要我们能安全妥善地管理好局域网中的所有IP地址,就能确保局域网始终处于高效运行状态之中。
3.1IP地址及其管理
IP地址管理是成功的逻辑设计的基础。
任何一台在局域网中“活动”的工作站,它都是通过IP地址这个“身份”与其他工作站进行沟通交流的,只要我们能安全妥善地管理好局域网中的所有IP地址,就能确保局域网始终处于高效运行状态之中。
学校从组建校园网以来一直采用用户静态IP地址分配。
所有网络用户入网前需要事先从网络中心申请获取静态IP地址。
网络中心收到申请后在用户接入的二层交换机上完成一次用户IP-MAC-接入交换机端口的绑定,使用这种方法来确认最终用户,消除IP地址盗用等情况。
学校统一规划分配IP地址给每个终端机器,并建立IP地址分配登记表,统计每个终端机器网卡的MAC地址,建立IP地址与MAC地址对照表。
在交换机上采用VLAN(VirtualLAN,虚拟局域网)技术解决广播带来的不良影响。
我们学校划分VLAN的方式是基于接口来划分VLAN。
交换机通过接口和客户端相接,只要通过配置命令将交换机的接口分给不同的VLAN,就相当于把这些客户端划分到了不同的广播域。
3.2静态IP地址的绑定技术
MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。
只要你不去更改自己的MAC地址,那么你的MAC地址在世界是惟一的。
无论是局域网,还是广域网中的计算机之间的通信,最终都表现为将数据包从某种形式的链路上的初始节点出发,从一个节点传递到另一个节点,最终传送到目的节点。
数据包在这些节点之间的移动都是由ARP(addressresolutionprotocol:
地址解析协议)负责将IP地址映射到MAC地址上来完成的。
数据包在传送过程中会不断询问相邻节点的MAC地址。
3.2.1基于交换机的IP绑定
交换机、端口、IP地址三者的绑定。
为了防止IP地址被盗用,就通过简单的交换机端口绑定(端口的MAC表使用静态表项),可以在每个交换机端口只连接一台主机的情况下防止修改MAC地址的盗用。
第一种方法:
如果是可网管交换机还可以提供:
交换机、端口、IP地址三者的绑定,一般绑定MAC地址都是在交换机和路由器上配置的。
以华为3100EI系列交换机为例,登录进入交换机,输入管理口令进入系统视图,敲入命令:
[h3c]amuser-bindmac-addrmacip-addripinterface端口号
执行上述命令将每个端口与相应的计算机mac地址、IP地址绑定,保存并退出。
第二种方法:
以华为3100EI交换机为例,登录进入交换机,也可以基于DHCP地址检查功能实现IP地址与MAC地址的绑定。
同样采用上述操作,登录进入交换机,输入管理口令进入系统视图,敲入命令:
[h3c]dhcp-securitystaticipmac
此命令将IP地址与MAC地址绑定。
通过这些设置,可以将局域网中的IP地址和MAC地址绑定,任何人在终端上任意更改IP地址,都不能使其登陆互连网,这样就便于网络管理员更好的维护整个网络的正常、安全的运行。
3.2.2应用ARP绑定IP地址和MAC地址
我们知道,当我们在浏览器里面输入网址时,DNS服务器会自动把它解析为IP地址,浏览器实际上查找的是IP地址而不是网址。
那么IP地址是如何转换为第二层物理地址(即MAC地址)的呢?
在局域网中,这是通过ARP协议来完成的。
ARP(AddressResolutionProtocol)即地址解析协议,ARP协议为IP地址到对应的MAC地址之间提供动态映射。
在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。
我们可以在ARP表里将合法用户的IP地址和网卡的MAC地址进行绑定。
当有人盗用IP地址时,尽管盗用者修改了IP地址,但由于网卡的MAC地址和ARP表中对应的MAC地址不一致,那么也不能访问网络。
以华为3100EI系列交换机为例,登录进入交换机,输入管理口令进入系统视图,敲入命令:
[h3c]arpstaticipmac
执行上述命令,可将相应计算机的IP地址和MAC地址绑定。
例如:
[h3c]arpstatic21.90.21.100-80-1c-90-80-41(将IP地址21.90.21.1和网卡MAC地址00-80-1c-90-80-41绑定);
3.3校园网中IP地址的动态分
DHCP是DynamicHostConfigurationProtocol(动态主机配置协议)缩写,是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:
给内部网络或网络服务供应商自动分配IP地址给用户,给内部网络管理员作为对所有计算机作中央管理的手段。
3.3.1DHCP服务的配置
为了创建一个DHCP服务器,常用的DHCP服务器一般安装在一台Windows2000Server的计算机上。
安装前先为这台计算机指定静态的IP地址、子网掩码及网关地址,然后按下面的这些步骤操作即可:
(1)在“控制面板”上,双击“添加/删除程序”,单击“添加/删除Windows组件”。
(2)在“Windows组件”向导中,依次选择“Windows组件”页、“网络服务”,然后单击“详细资料”。
(3)在“网络服务”对话框中,在“网络服务的子部件”中,选择“动态主机配置协议(DHCP)”复选框,然后单击[确定]按钮。
(4)单击[下一步]按钮,等待一段时间后就会完成安装。
最后是添加各网段作用域,捆绑网关及DNS,一个作用域是一个合法的IP地址范围,用于向特定子网上的客户计算机出租或分配IP地址。
从“管理工具”菜单中打开DHCP,用鼠标右键单击DHCP服务器的名称,再单击“新建作用域”。
然后按照提示依次在“名称”中填写作用域的名称如“219网段”,“说明”中填写相关说明如“服务器段”,在IP地址范围对话框中设置本子网中的IP地址范围:
如起始IP:
219.222.191.3,结束IP:
219.222.191.253,子网掩码(将租给客户机的子网掩码)为255.255.255.0。
接着再添加一个或多个排除地址范围(已经使用的静态IP地址或暂不分配的IP地址范围),设定租约的时间(默认为8天)。
最后添加客户使用的路由器IP地址(即客户机的网关地址)为219.222.191.254,添加“域名称”为“bangong”,“DNS服务器”为“219.222.191.1/202.96.128.143”。
以上是DHCP服务器的基本配置,DHCP服务的作用域的填写就牵涉到了IP地址的子网划分。
3.3.2地址子网划分
现今普遍运用的32位的IPv4地址,采用点分十进制的方式表示,基本结构由4部分数字组成,每一部分数字对应于一个8位二进制数字,四个二进制部分之间用小数点分开。
如某一台主机的IP地址为:
219.222.191.1,换算成二进制数字也可以写成11011011.11011110.10111111.00000001.由两部分构成,网络地址和主机地址。
为了适应各种不同规模的网络需求,IP协议将IP地址分为五类,即A、B、C、D和E类,其中,D类地址为多播地址,主要留给因特网体系结构研究委员会IAB使用,E类地址作为保留地址.我们通常所接触的是A,B,C三类IP地址。
A类、B类、C类IP地址的网络号分别为8位、16位、和24位,其主机号对应为24位、16位、和8位。
如主机号对应24位时其最大主机数分别为2、24、-2。
A类IP地址最前面一位为“0”,即A类第一段取值介于1~126之间(127做为本机测试之用)。
B类IP地址最前面二位为“10”,即B类第一段取值介于128~191之间,C类IP地址最前面三位是“110”,既C类第一段取值介于192~233之间。
前缀长度指示地址的网络部分的比特位数。
例如在172.28.5.0/24中,/24就是前缀长度,它告诉我们前24位是网络地址。
常用的IP地址主要有A、B、C三类,相应的前缀分别为/8、/16、/24。
为了定义地址的网络部分和主机部分,设备另行使用称为子网掩码的一个32位形式。
表示子网掩码使用的点分十进制格式与IPv4地址相同。
在代表网络部分的每个位的位置上置入二进制1,在代表主机部分的每个位的位置上置入二进制0即可创建子网掩码,故A、B、C类地址相应的子网掩码为255.0.0.0、255.255.0.0和255.255.255.0。
在实际使用过程中,我们通常需要对网络进行子网的划分。
例如某栋楼共有3个部门(经贸系、政法系、管理系)内部采用219.222.162.0/24的地址,内部划分了3个VLAN,要求进行子网划分。
因为219.222.162.0是一个C类地址,其默认的子网掩码是255.255.255.0,经过计算就可以确定子网掩码为255.255.255.192。
4个子网的IP地址范围分别为:
219.222.162.1~219.222.162.62
219.222.162.65~219.222.162.126
219.222.162.200.129~219.222.162
219.222.162.193~219.222.162.254
每个子网段的首尾IP去掉,首是网络地址,尾是广播地址,所219.222.182.0,219.222.162.63等首尾IP都去掉了。
可以任选3个网络段做为子网的IP地址,其他网络段可以用来将来的扩展需要。
以上是IP地址子网划分部分,当DHCP服务器配置好,子网也填写好后,如第一段IP地址为219.222.162.1-219.222.162.61,子网掩码为255.255.255.192,网关为219.222.162.62,最后就牵涉到线路的连接和交换机的配置了。
3.3.3交换机及客户端配置支持
假设校园网通过一台二层交换机连接到一台三层交换机,三层交换机连接上DHCP服务器,现做适当配置,实现校园网内部主机的动态IP地址获取。
三层交换机以extreme6808为例,二层交换机以锐捷S2150为例,DHCP服务器的IP地址为10.10.0.251,接在6808的8:
46口,S2150接在6808的1:
2口,我们以经贸系为例,设其VLAN名为jmx,vlan号为1600,IP段为219.222.162.62/26,那么两台交换机的基本配置如下所示
1.三层交换机的基本配置
(1)DHCP部分
enablebootprelay
configurebootprelayadd10.10.0.251
configurevlan"Default"addport8:
46untagged
(2)VLAN设置部分
configurevlan"jmx"tag1600
configurevlan"xzl-K401"IPaddress219.222.162.62255.255.255.192
configurevlan"xzl-K401"addport1:
2tagged
2.二层交换机的基本配置
switch(config)#hostnamejmx
jmx(config)#vlan1600
jmx(config-vlan)#exit
jmx(config)#interfacerangefastEthernet0/1-48
jmx(config-if)#switchportaccessvlan1600
jmx(config-if-range)#exit
jmx(config)#exit
jmx#write
3.客户端基本配置
DHCP服务需要客户端的配合才能工作。
在默认情况下,Windows本身就设置
升级会员 