轻松管理你的IP

　　网络管理员每天必须应付各种各样的IP地址管理问题。如何轻松管理它们呢，其中是有技巧可寻的。

　　自动分配IP

　　现在接入网络的设备数量成几何数目增长,相当一部分的网络仍通过DNS服务和数据表格跟踪来管理IP地址。当网络发生变化时,网络管理员必须手工编辑数据表格中的条目,修改工作站或网络设备的配置，然后再修改DNS服务中相应的配置条目。随着网络的扩展,这种工作将变得越来越难以负担,并极易发生错误。

　　建议采用基于动态主机配置协议DHCP(Dynamic Host Configuration Protocol)的IP地址管理解决方案，实现动态管理IP地址, 从而自动处理大部分由于网络变化引起的与配置IP地址相关的工作。这将有效地减少网络运营费用，同时避免发生像IP地址重复这样的错误。自动分配IP地址将会使像接入或移出网络设备这样的工作变得轻而易举。 

　　高效扩展网络

　　当今各大公司网络的扩展是极其迅猛的,同时对网络IP地址和名字空间的有序性和可靠性也提出了更高的要求。

　　1．支持不同类型的网络平台
　　现在常用的网络平台，有WindowsNT、Linux、Unix、NetWare等，一个企业级的解决方案必须能在所有的平台上支持DNS和DHCP，这样才能在构建网络时完全不必考虑采用不同平台对IP管理所带来的影响。

　　2．允许以渐进的方式安装使用
　　如果没有这个承诺，安装IP地址管理解决方案将要求整个公司的网络在一段时间内同时进行全面的检查和调整，由此带来的长时间的网络瘫痪对相当多的公司来说是难以想象的。

　　3．支持网络将来的扩展
　　在公司不断增长的情况下，能够保持网络框架的完整性是非常重要的。

　　整合网络设施

　　目前，网络发展的一个趋势是将DNS、DHCP等网络服务分散到网络的下层子网中去，新的管理方式必须做到以下几点：

　　1. 对分布的网络服务进行管理
　　在没有一个集中管理模式的情况下，网络管理员必须用telnet通过多重DNS和DHCP来获取远程网络的运行情况。为了提高这一工作的效率，他们需要一个能显示所有分布式网络服务的单一界面，而无需知道它们所在何处。

　　2. 集中管理和本地网络管理相结合
　　对于一个集中网络管理系统，它将在分配、管理整个网络范围内的IP地址和名字空间的同时，授权给本地网络的管理员管理本地网络的日常工作，当然对本地网络管理员进行权限控制以确保只能管理他所负责的网络资源也是非常重要的。 

　　建立应急机制

　　网络控制跟不上网络发展后经常出现的一个问题就是IP地址重复。用手工方式为新计算机和网络设备分配IP地址不但费时而且容易发生错误。

　　在动态分配IP地址的解决方案中为了保证高可用性一般采取将可分配的IP地址放在两个DHCP中分配，当主用DHCP失效时，另一个备份DHCP可以接替主用DHCP继续分配IP地址，当然这种方式要求保留冗余的IP地址给备份的DHCP。另外，网络管理员对网络的控制必须具有高可用性，不管网络管理员在什么地方，他都能够随时对网络进行管理控制。

　　用户权限管理

　　TCP/IP协议的广泛采用导致了IP相关应用程序的极大增长，用户通过分布式网络访问各种网络服务和应用程序。大多数应用程序的权限管理是基于IP地址而不是基于用户的。在动态分配IP地址的网络环境中，或在多个雇员合用一台计算机的情况下，采用基于IP地址的权限管理是不合适的，因为用户和IP地址之间并没有稳定的联系，这使我们陷入两难的境地：或者牺牲效率，采用复杂的多重身份鉴定方式；或者为了保证效率，牺牲安全性。

　　对于某些网络应用，例如浏览Web主页，可能会想设定使用权限但又不想采用复杂的多重身份鉴定。把网络安全程序与对用户透明的动态IP分配方式相结合就可以完成这一任务，通过这一结合，防火墙可以实现基于策略的网络管理，从而可以把网络安全设施集中使用在最需要保护的网络资源上。

　　将远程用户接入IP网络

　　在我们出差时，经常需要采用远程接入服务RAS（Remote Access Services）访问公司的网络。接通后，通过远程拨入用户身份鉴别服务RADIUS(Remote Authentication Dial-In User Service)进行身份鉴别。这种接入方式在IP地址分配方面存在一些问题。通常远程接入服务从DHCP获取动态IP地址，并在身份鉴别后分配给远程用户，但当远程用户退出网络后，这些IP地址却得不到释放，其结果就是可用IP地址的缓慢流失。所以，不断增长的远程接入服务要求新的IP地址管理解决方案能够更好地将远程用户整合到网络当中，以防止IP地址的浪费。

　　执行新的目录服务

　　在支持目录服务的网络中，所有网络设备的配置信息都被存储在一个数据库当中，每个网络设备都有一个虚拟的位置，目录服务模块将数据传输给这一虚拟位置。这样，在理论上可以对网络信息管理实现标准化。

　　大多数网络由来自不同厂商的交换机、路由器和管理工具组成，但网络供应商一般只为全部使用自己提供的软件和硬件的网络设计来实现目录服务功能。所以，为了实现目录服务功能，在采购网络产品方面必须考虑这一因素。

　　IP地址管理将与目录服务相结合是大势所趋，事实上，微软就应用了这种结构，将Active Directory结合到DNS中。为了保护对IP地址管理系统的投资，新购买的系统应包括一个支持LDAP的信息库和一个数据图表，这样就能在将来顺利地将它和目录服务相结合。

　　建立新的管理方式

　　在建立以用户为中心的管理方式方面，IP地址管理解决方案应能够在动态分配IP地址的同时，明确IP地址和用户之间的联系。以此为基础，网络将具有开放的扩展性，可以灵活地选用各种网络设备供应商的产品。