劃分VLAN,每個VLAN配置設定一個獨立的IP子網,一方面獨立的子網可以實作對關鍵伺服器和關鍵使用者的有效保護,另一方面,細分的子網可以減少IP位址沖突或者IP位址盜用所帶來的影響。
盡量将關鍵伺服器設定一個獨立的VLAN和子網,避免IP位址沖突。
重要的上司和重要的部門要設立單獨的VLAN。
外來或者流動性比較大的人員,要設定單獨的VLAN。
語音(如果有)要設定單獨的VLAN。
在不緻大量增加管理工作量的情況下,把每個VLAN中的使用者盡量小一些。
采用動态位址和靜态配置設定相結合的方法來實作IP位址的有效管理,具體方法為:
所有網絡裝置,例如:防火牆、路由器、交換機、IDS、等,采用靜态IP位址;
所有的伺服器和管理維護工作站采用靜态IP位址;
重要的子網,如:上司子網内的主機用靜态IP位址;
其他普通使用者子網,包括外來或者流動人員VLAN,采用DHCP動态配置設定的IP位址;
語音(IP電話),采用DHCP動态配置設定IP位址,實作區域網路的即插即用;
建立有效的IP位址、MAC位址、使用者名、主機名、網絡端口、資訊點的對應表格。通過表格,可以快速定位所有IP位址對應的主機和人員。
對采用靜态配置設定IP位址的裝置或主機,在配置設定IP位址時,登記如下資訊:IP位址、MAC位址、使用者名、使用者名、主機名、網絡端口、資訊點編号等。
采用DHCP進行位址配置設定的,将IP位址和MAC位址綁定(IP電話除外),即特定的MAC位址隻能獲得指定的IP位址,進而建立:IP位址、MAC位址、使用者名、使用者名、主機名、網絡端口、資訊點編号等資訊表。
除外來人員或流動人員VLAN外,未經過登記的MAC位址,DHCP伺服器将不為其配置設定IP位址。
建立所有網絡裝置端口與資訊點之間的對應表,即使這些資訊點是還沒有主機(空的)。
一旦發現IP位址盜用,首先應找到該IP位址的MAC位址,通過定位該MAC位址是從哪個交換機的哪個端口學習來的,可以知道該IP對應的網絡裝置端口和資訊點編号。
利用Cisco交換機提供的一些智能特性,實作跨網段的位址配置設定,防範DHCP攻擊,對使用者MAC、IP、交換機端口進行跟蹤等。
通過劃分VLAN和IP子網,靜态和動态位址配置設定相結合,并結合DHCP保護和IP位址盜用快速定位等技術,可以有效實作IP位址的管理。實作關鍵的裝置和重要的使用者主機不會産生IP位址沖突;
由于采用動态和靜态相結合的管理,如果網絡中發現IP位址沖突或者IP位址盜用,可以快速定位出該IP位址所在的資訊點編号,所連接配接的網絡端口。可以立刻禁止位址沖突。
對于本項目的網絡系統,作為内部網絡不需要申請有效的IP位址,是以應該在内部網内使用RFC 1597中規定的保留IP位址段。RFC 1597中規定了三段位址,這些位址不允許在網際網路上出現。所規定的保留位址如下:
10.0.0.0 ~ 10.255.255.255 1個A類位址
172.16.0.0 ~ 172.31.255.255 16個B類位址
192.168.0.0 ~ 192.168.255.255 256個C類位址
貴公司可以根據目前網絡的狀況和今後的發展需要,選擇符合自己需要的IP位址空間,我們建議選擇10.0.0.0/8這個網段作為貴公司辦公網普遍的位址段。
下面是我們為某家規模較大的使用者機關做的IP位址規劃中的部分内容,以供參考。
1、10.0.0.0 ~ 10.0.255.255這個B類位址作為伺服器的IP位址。
![我的職業生涯(四)[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)