作为网络管理员，每天都要面临大量的工作。如果能够充分挖掘网络管理中的技巧，无疑可以减轻管理员的负担，同时可以让网络应用更加优化。下面就介绍两个与IP设置相关的管理技巧，希望能为广大的管理员提供借鉴。

　　动静结合，灵活分配IP地址

　　在基于TCP/IP的企业网络中，通常采用静态和动态两种地址分配方式。静态分配方式是由管理员为每一台联网的计算机、服务器交换机、防火墙、计费网关等网络设备设定一个固定的IP地址。这种分配方式下，管理员可以掌握每一台设备的IP地址信息，但是随着设备的更新、调换以及用户自己更改IP地址，很容易造成IP地址的混乱和冲突，进而给管理员带来较大的工作量。

　　动态分配方式下，每一台计算机在登录网络后都可以通过DHCP服务器自动地获取IP地址、默认网关及DNS地址信息。这种方式可以节省管理员大量的工作量。但是如果采用全动态的分配方式，对于服务器或是处理特定业务的工作站来讲，一旦原有的地址被争用，将重新获得一个新的地址，这种转变对于客户端来讲是不透明的，往往会造成应用不能正常使用的情况。

　　因此，合理的IP地址分配方式是采取动静结合的方式，其分配原则是以动态分配为主，同时对于需要设定固定IP地址的设备采取静态分配方式。

　　实现的方法是，在进行DHCP作用域设置的时候，在每个子网中预留一定空间的IP地址，这些地址参与动态分配，主要用来进行固定地址的分配。如：在VLAN1的作用域中要排除192.168.1.1到192.168.1.20范围的IP地址以及地址192.168.1.100，可以在DHCP作用域设置的时候进行（如图1）所示的设置。

　　图1在作用域中预留IP地址

　　通过的设置，在VLAN1中可以动态分配给客户机的IP地址空间为除去地址192.168.1.100的从192.168.1.21到192.168.1.253(192.168.1.254作为默认网关地址)地址范围。

　　由于动静结合的IP分配方式不需要管理员对客户机的IP地址信息进行，可以大大减少IP地址冲突的产生，同时需要设定固定IP地址的设备相对较少，不会增加管理员的工作量。

　　在采用DHCP动态分配IP地址的方式下，可以在客户机启用DHCP自动获取IP地址的同时再手工设置一个固定IP地址，这样当网络中的192.168.1.21DHCP服务器不可用时，客户机会自动使用备用的固定IP地址进行网络连接，从而减少DHCP服务器故障对网络应用的不利影响。设置方法是在TCP/IP协议的属性设置中，在“备用配置”选型页选择“用户配置”选项并输入相应的IP地址信息，（如图2）所示。

　　在图2中可以看到备用配置还有一个“自动专有IP地址”的选项，使用该选项，在DHCP服务器不可用时，也可以自动配置计算机的IP地址信息，但是该地址有很大的局限性，只允许计算机与同在一个子网内并且所处状态相同的计算机进行通信，具体的原因在下文中将会详细介绍。因此在具有多个子网的企业网络中，不要使用这种备用配置方式。

　　对于一个没有任何外部网络连接并且只包含一个子网的小办公室网络，如果计算机全部基于Windows2000或WindowsXP系统，我们还可以利用操作系统提供的APIPA(AutomaticPrivateIPAddressing，自动专有IP地址寻址)机制实现IP地址的零。在APIPA方式下，虽然网络中没有DHCP服务器，计算机启动后会自动在169.254.0.1~169.254.255.254的范围内为自己指定一个IP地址，子网掩码为255.255.0.0，不指定默认网关或DNS、WINS服务器的地址。通过IPCONFIG/ALL命令可以查看当前的寻址方式及相关的IP地址信息，（如图3）所示。

　　图3用IPCONFIG/ALL命令查看

　　寻址方式及IP地址信息

　　在计算机的TCP/IP协议的属性设置中，选择“自动获得IP地址”选项就可以自动地启用APIPA方式。对小型的办公网络来讲，APIPA既可以省去设置DHCP服务器的开销，同时不需要对IP地址进行任何。

　　隔离网络设备所在的子网

　　网络管理员为了便于对网络设备进行统一的管理和，通常需要为交换机设定管理IP地址，同时将所有的设备设定在一个指定的VLAN中。通过管理IP地址，管理员可以利用网管软件或是TELNET远程登录对设备进行调试和。

　　要实现位于不同VLAN之间的计算机互相通信，除了IP地址和子网掩码外，在设置IP地址处必须输入相应的默认网关地址，也就是VLAN的接口地址。在网络中每一台交换机都可以认为是专门的计算机，如果在设置交换机的管理IP地址时，设置了默认网关地址，那么网络中的任何一个用户如果知道了交换机的管理IP地址，都可以利用TELNET进行远程连接。

　　有些交换机提供了用户身份认证的机制来用户的登录，但是对于没有提供身份认证机制的交换机而言，这可能会带来一定的安全问题：一些对网络技术比较感兴趣的用户可能会远程登录到交换机中进行设置的实验或是有意无意的更改、删除已有的设置，这些操作可能会造成网络工作不正常或是中断。避免这些安全隐患最好的办法就是对网络设备所在的子网进行隔离。

　　由于将设备VLAN设置为一个单独的VLAN，因此在设置交换机管理IP地址的时候不设置默认网关地址，网络中其他VLAN中的计算机也就不能远程登录到交换机中，这样就可以实现对设备VLAN的隔离。

　　但是管理员需要对设备进行管理和，不可能每次都要物理接触到交换机才能操作。解决这个问题，我们可以采取两种办法：

　　：[本文共有页，当前是第页]<<上一页下一页>>