校园网IP地址管理的研究.docVIP

校园网IP地址管理的研究 　　摘 要：基于校园网中安全问题的复杂性，加强IP地址管理是使校园网安全、高效运转的重要保障。本文深入地探讨了校园网IP地址管理中的一些核心问题、基本原则和注意事项，并对实践中突出存在的IP地址盗用现象进行了分析，提出了有效的管理办法。 　　关键词：IP地址 MAC地址 DHCP VLAN IP盗用 　　中图分类号：TP393.18 文献标识码：A 文章编号：1673-8454（2008）11-0032-03 　　 　　TCP/IP协议的网络层使用的地址标识符称为IP地址，用于解决互联网络中主机、路由器及其他设备的全局唯一的标识问题。[1] 在校园网使用中，也必须给每台入网的机器配置唯一合法的IP地址，才能保障内部与内部，内部与外部之间的正常通讯。随着接入Internet机器数量的迅猛增加，IP地址已成为极其重要的紧俏资源。一般来说，目前任何一个学校申请到的外部IP地址是极其有限的，因而校园网LAN内部大都采用内部私有地址，通过NAT转换与Internet进行通信。为了合理地分配和有效地利用好这一内外IP地址，保证用户电脑正常使用网络资源和保护用户权益不受侵犯，加强IP地址管理已成为网络管理的重要内容。特别是针对高等院校这样一个人员众多、知识结构复杂、上网目的各异、部门林立、物理位置广阔分散的单位，IP地址管理更应引起网络管理部门的高度重视，否则可能引起大面积的停网甚至全网瘫痪。根据我们多年的实践，在IP地址管理中主要应注意以下几个方面的问题。 　　 　　一、合理的VLAN划分是关键 　　 　　VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段，从而实现虚拟工作组的技术。VLAN技术允许网管员将一个物理的LAN逻辑地划分成不同VLAN，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无需放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性；同时VLAN技术在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网，限制了以太网的广播范围,并能够形成虚拟工作组，动态管理网络。当然由于VLAN之间必须通过路由才能访问，因此某一VLAN中的用户将无法盗用其他VLAN中的IP地址。 　　VLAN在交换机上的实现方法可以大致划分为4类，但在实践中根据端口划分是目前定义VLAN的最广泛的方法，IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。这种划分方法的优点是定义VLAN成员时非常简单。[2] 针对一个具体的校园网络，如何划分VLAN，划分多少VLAN，应兼顾设备性能、使用者、地理分布、方便维护、重要性几个大的因素。一般地讲，关键的设备如路由器、防火墙、服务器应与其他VLAN分开；管理VLAN应与一般VLAN分开；教工宿舍不应整体划分在一个大的VLAN内，而应按宿舍楼划分成不同的VLAN，学生宿舍亦如此；教学区一般应按楼宇划分VLAN，机房应按不同的房号划分VLAN，管理机关也应按照部门重要性的不同划分VLAN，而不应笼统地在一个VLAN中，如招生就业部门、教务管理部门、图书馆应与其他VLAN分开等。 　　VLAN划分是IP地址管理中最初的一环，也是最关键的一环，它将直接影响到网络运行的质量。VLAN划分的好坏将直接影响网络的使用效果和维护成本，既不能过粗也不能过细，网管部门应根据实际情况加以划分并在实践中适当调整。 　　 　　二、确定IP地址的分配策略 　　 　　IP地址是用来唯一标识Internet上计算机的逻辑地址，每台联网计算机都依靠IP地址来互相区分、相互联系，因此IP地址必须唯一。IP地址由统一的组织负责分配，任何个人都不能随便使用。即使采用私有地址的LAN，IP地址也必须由网络管理部门统一规划分配，否则就会引起冲突和混乱。 　　IP地址的分配有两种方式，一种是静态方式，一种是动态方式，还可以根据需要将两种方式结合使用，即混合分配方式。 　　静态分配IP地址是指给每一台计算机都分配一个固定的IP地址，优点是便于管理，出现问题时易于定位。静态分配IP地址的弱点是合法用户分配的地址可能被非法盗用，不仅对网络的正常使用造成影响，同时也容易给合法用户造成损失和潜在的安全隐患。 　　动态分配IP地址是指仅当用户计算机需要连入网络工作时，系统