企业LAN的IP规划与VLAN子网划分.pdf

企业 LAN 的IP 规划与 VLAN 子网划分 最近单位的局域网出现 ip 地址冲突，之后变无法上网，路由器是华为 R2621 ，核心交换机 是 S3526，在win2000/xp 下使用命令 ipconfig /renew 出现An error occurred whilere newing interface unable to contact you dhcp server request has time out 的情况，或 98 下用 WINIPCFG 命令，更新出现 DHCP 无法更新的错误或长时间无响应。各位大虾能告诉我是什么情况， 和解决方案吗？ 简要分析：ipconfig 命令用在服务器版操作系统下，用这个 ipconfig /renew （更新）是为全 部适配器重新分配 IP 地址，而之前应先用 ipconfig /release （释放）命令释放DHCP 分配的 IP 。从这行出错的英文信息，显然主机没法与DHCP 服务器通信。出现上述问题，小酷初 步的分析有两种可能： 1．局域网内是否还有其他的 DHCP 服务器，由于多个 DHCP Server 存在而产生的 IP 地址 冲突，如果有，应关掉它。 2 ．由于DHCP 服务器是向客户机提供网络访问的关键资源，它们可能成为 DoS 攻击的主要 目标。如果一台DHCP 服务器遭受攻击并且不能再处理 DHCP 请求，DHCP 客户机将无法 获得租约，这些客户机将丢失它们现有的 IP 租约并且将无法访问网络资源。 DoS 攻击不仅会耗尽可用的 IP 地址池，还可能导致恶意用户在其管理的计算机网络适配 器上配置所有的 DHCP IP 地址，致使 DHCP 服务器在其提供的地址范围检测到 IP 地址冲突， 因此而拒绝继续分配DHCP 租约。这是来自微软网站披露的一种新的 DoS 攻击方法。 DHCP 的优点是客户端网络配置简单，没有管理员干预。但是，因为IP 地址是动态分配 的，网管员无法对IP 进行管理，无法有效控制客户端。使用 DHCP 虽然能得到一时的方便， 但是网管可能会有无尽的烦恼在后头，而认为使用了 DHCP 就能解决 IP 冲突是非常错误的。 针对 DHCP 服务的 DoS 攻击常有发生，使客户机陷入无休止的等待。作为网管应对企业局 域网的 IP 作出规划，有效控制网络。 采用静态 IP 地址分配，网管就可以对各部门进行合理的 IP 地址规划。我们如果进一步建 立起 IP 地址和 MAC 地址的信息档案，就可以始终对局域网用户执行严格管理。如：把每 个用户的 IP 地址、MAC 地址、上联交换机的端口、物理位置和用户身份等信息记录下来， 当发现 IP 冲突时就可以按数据库进行追寻。 我们从网友提到的网络设备可以看出，该企业对网络的投入比较到位。有路由器，三层 交换机，还应有二层快速以态网交换机。所以说网友的网络硬件基础非常好，应做出完善的 网络规划。如：静态分配IP，VLAN 划分，三层交换。本文将将以华为产品为方案，围绕 IP 规划、三层交换、VLAN 展开。 产品： •Quidway R2620 系列模块化路由器 Quidway R2621 （见图1）是华为 3Com 公司面向企业级网络的接入产品，，支持广泛的 互连协议、网络协议、应用协议、网络安全、语音、服务质量。支持哑终端，支持 SNA/DLSw、 VoIP 特性等，提供备份方案及 QoS 特性；硬件模块化结构，集成的快速以太网接口和同步 串口，丰富的可选模块，既适合于在中小型企业网中担当核心路由器，也可以在大企业分支 机构中担当接入路由器。 R2621 的硬件配置如下： 处理器：MPC8240 200MHz 闪存：8MB 内存：32MB 固定接口：1 个配置口；1 个 AUX 口；2 个 10/100M 以太网口；2 个同步串口 插槽：2 （最多可配2 个模块。包括：LAN 接口模块；WAN 接口模块；语音模块；POS 接 入模块；数据加密模块） •Quidway S3526 快速智能三层交换机 Quidway S3526E （见图2 ）三层交换机有 12.8Gbps 的总线带宽，包转发能力为 6.55Mpps， 能在所有端口提供三层线速交换能力，最大提供 32 个子网路由接口，能处理四到七层的业 务流，所有端口都具有单独的数据包过滤。支持 802.1x 和 Web Portal 认证，可以通过灵活 的MAC 、IP、VLAN 、PORT 任意组合绑定，有效的防止非法用户访