企业网如何合理正确地分配和高效管理IP地址?
IP地址是电脑网络互通的基础,在实际工作中,网络管理员、安全员的大量平常工作与IP地址有关。
喜欢看黑客电影的朋友都知道,只要获得对方电脑的IP地址,分分钟就可以入侵放毒,虽然看着酷炫非常,但细思极恐啊,从侧面也反应出IP地址的重要性,虽然现实不似电影那般玄乎,但平时的一个“IP地址冲突”就把你整得够戗了。
因此要能有效管理地址,才能预防ARP攻击或针对有问题的电脑加以管制,对IP地址的管理工作也愈来愈重要,IP地址管理的好坏直接影响着企业员工的工作效力及企业的信息安全。
作为电脑网络互通的基础,在实际用网中,IP地址管理的好坏直接或间接影响着员工的工作效力及企业的信息安全,由于有效的管理IP地址,不但可以预防ARP攻击还可以针对有问题的电脑加以管制!管理好IP地址是企业网络安全高效的关键!
如何安全、高效地管理好IP地址,是一个企业一定要解决的问题。
对企业局域网来讲,一个公道的IP地址分配是网络安全和网络管理的基础,IP地址管理的好坏直接影响着企业员工的工作效力及企业的信息安全。
局域网的IP地址分配,需要斟酌到以下方面:
1.服务器的IP地址段和办公电脑的IP地址段要辨别开。
2.手机、pad等移动装备需要自动获得IP。
3.无线由于安全性比较低,一般需要用VLAN进行隔离。
4.每一个网段的客户机数量不宜过量,有线250之内,无线150之内比较公道。否则会引发网络风暴。
一、IP地址分配的方法、方式和结果
长时间以来,关于IP地址分配的辞汇很多,让网络管理人员感到麻烦,概念上相互交叉,极易混淆。其中常见的六个辞汇是:动态IP、静态IP、手设IP、DHCP分配、固定IP、非固定IP等静态IP地址是长时间分配给一台计算机或网络装备使用的IP地址。一般来讲,采取专线上网的计算机才具有固定的InternetIP地址。
二、企业网络范围决定IP地址分配方式
网络中主机的IP地址是通过两种方式来取得:一是手工输入(也称静态分配)另外一种是通过DHCP服务器来分配IP地址的(动态分配)。
一般来讲,IP地址分配的方式由企业网络范围决定。
对网络不复杂,电脑数量不多的中小型企业可以使用静态IP方式,这时候候在交换机端口上绑定IP/MAC是一件非常繁琐的事情,很难坚持到底。把IP/MAC绑定到核心交换机上以减少保护的工作量,不过,这类方式有可能达不到安全准入的要求,由于接入层的非法接入也有可能会影响全部网络的安全。
网管能够投入大量的时间和精力用于交换机端口的管理,则有管好的可能性。另外,还可以放弃对接入层交换机的管理,把IP/MAC绑定到核心交换机上以减少保护的工作量,不过,这类方式有可能达不到安全准入的要求,由于接入层的非法接入也有可能会影响全部网络的安全。
因此中小型企业最好使用静态IP方式,交换机端口上绑定MAC实现双向绑定,实现了对电脑的准入控制。
如果网络过于复杂,员工范围大电脑数目多,随着笔记本电脑的增多,移动办公的需求愈来愈旺盛,如果还在交换机端口绑定IP/MAC,则是一件非常不明智的举措,特别是随着笔记本办公的增多,移动办公的需求愈来愈旺盛,多台笔记本电脑的MAC地址绑定到多台交换机的多个端口,容易出现网络问题,没法想象把多台笔记本电脑的MAC地址绑定到多台交换机的多个端口的情况,公共办公区的网口如何管理也是一个较大的问题,客人的电脑、淘汰的电脑的清算也是一项比较繁琐的工作。
因此大中型企业最好使用DHCP方式,利用DHCP服务器的增强功能,动态分配给网络用户指定的IP地址,进而做到用户、IP和MAC的绑定,实现企业网中接入的安全,保证了企业网的安全运行。
三、中小型服务器和办公电脑网络采取固定IP地址
一定要要求用户在计算机中手动键入IP地址相干数据,这样每台机器的IP都一定要是事前指定,没有事前指定的IP,则没法上网,外来的用户或是计算机不能轻易地通过企业网络上网。计算机采取固定IP地址是最周密的配置方式。
服务器和办公电脑采取固定IP的方式,且服务器段的IP范围要和办公电脑辨别开。比如:服务器段用192.168.1.1192.168.1.100,100254作为办公电脑的IP范围。采取固定IP的方式,配合IP地址绑定。可以免IP地址冲突和IP盗用,杜绝ARP欺骗,从而有效的提高网络安全性和稳定性。网络范围较大时,服务器网段也能够单唯一个VLAN。
四、避免未允许的计算机上网,无线单唯一个VLAN
无线接入不需要物理接线,所以安全性比较低。在安全技术人员眼前,无线密码可以说是形同虚设。所以无线一定要采取单独的VLAN,且无线客户机不允许访问到企业内网。否则你的内网是毫无安全性可言的。
很多路由器都提供IP/MAC绑定功能,提供封闭不在对应表列中MAC地址功能,到达网管未配置的MAC地址完全没法上网的作用。有些用户会自行带入中毒的计算机,乃至其它楼层用户通过无线网络进入公司网络,可通过避免未允许的计算机上网来解决。
五、DHCP服务器发放固定IP
对大中型企业较好的方式是通过DHCP发放IP地址,但同时限定计算性能获得的IP地址,以便进行管理。路由器配置的IP/MAC绑定功能,便可以根据网管的配置,认明计算机的MAC地址发放特定的IP,这样便可针对IP进行管理。
DHCP服务虽然有它的方便的地方,但是在互联网快速发展的时期,它的不足也是不可疏忽的,性能及运行数据不可见,管理员对每一个子网的IP分配情况不知情,进而没法根据需求灵活制IP地址分配策略。IP地址管理,是任何一个网络的基础核心系统,所以对IP地址管理这一重要功能,目前有很多的软件是可以实现的ip地址的管理。
六、不经常使用的IP地址要进行回收
员工离职后,IP地址也需要进行回收,分给新来的员工。否则你的IP地址资源会愈来愈少。根据最后上线日期,把长时间不用的IP取消绑定,便可进行回收,需要用的时候再重新绑定便可。