高效安全管理IP网络管理员须知随着电脑的普及，企业内部运行在网络上的应用系统越来越多，电脑网络越来越庞大，IP地址是电脑网络互通的基础，在实际工作中，网络管理员、安全员的大量日常工作与IP地址有关。因此要能有效管理地址，才能预防ARP攻击或针对有问题的电脑加以管制，对IP地址的管理工作也越来越重要，IP地址管理的好坏直接影响着企业员工的工作效率及企业的信息安全。因此，如何安全、高效地管理好IP地址，是一个企业必须解决的问题。一、IP地址分配的方法、方式和结果长期以来，关于IP地址分配的词汇很多，让网络管理人员感到麻烦，概念上相互交叉，极易混淆。其中常见的六个词汇是：动态IP、静态IP、手设IP、DHCP分配、固定IP、非固定IP等静态IP地址是长期分配给一台计算机或网络设备使用的IP地址。一般来说，采用专线上网的计算机才拥有固定的InternetIP地址。动态IP地址是通过Modem、ISDN、HYPERLINK"http://product.it168.com/list/b/0459_1.shtml"\o"ADSL"\t"_blank"ADSL、有线宽频、小区宽频等方式上网的计算机，每次上网所分配到的IP地址都不相同，这就是动态IP地址正确的应该是：手工设置→静态IP→固定IPDHCP分配→动态IP→动态IP静态IP优点：实现了固定IP地址，出现问题容易追查到是那台电脑，可以讲IP和MAC绑定，然后做双向绑定，彻底解决ARP攻击问题。动态IP优点：IP地址集中管理，减少维护工作量，可以满足移动办公，网管可以集中精力关注安全事件。二、企业网络规模决定IP地址分配方式如果网络不是很复杂，电脑数量不是太多，网管能够投入大量的时间和精力用于HYPERLINK"http://product.it168.com/list/b/0412_1.shtml"\o"交换机"\t"_blank"交换机端口的管理，则有管好的可能性。另外，还可以放弃对接入层HYPERLINK"http://product.pcpop.com/Exchange/10734_1.html"\o"交换机"\t"_blank"交换机的管理，把IP/MAC绑定到核心交换机上以减少维护的工作量，不过，这种方式有可能达不到安全准入的要求，因为接入层的非法接入也有可能会影响整个网络的安全。因此中小型企业最好使用静态IP方式，交换机端口上绑定MAC实现双向绑定，实现了对电脑的准入控制。如果网络过于复杂，而且数量很多，这时候在交换机端口上绑定IP/MAC是一件非常繁琐的事情，很难坚持到底。随着HYPERLINK"http://product.it168.com/list/b/0301_1.shtml"\o"笔记本"\t"_blank"笔记本电脑的增多，移动办公的需求越来越旺盛，无法想象把多台HYPERLINK"http://product.pcpop.com/NB/10734_1.html"\o"笔记本"\t"_blank"笔记本电脑的MAC地址绑定到多台交换机的多个端口的情况，公共办公区的网口如何管理也是一个较大的问题，客人的电脑、淘汰的电脑的清理也是一项比较繁琐的工作。因此大中型企业最好使用DHCP方式，利用利用DHCPHYPERLINK"http://product.it168.com/list/b/0402_1.shtml"\o"服务器"\t"_blank"服务器的增强功能，动态分配给网络用户指定的IP地址，进而做到用户、IP和MAC的绑定，实现企业网中接入的安全，保证了企业网的安全运行。三、网络管理员管理须知1.中小型网络采用固定IP地址必须要求用户在计算机中手动键入IP地址相关数据，这样每台机器的IP都必须是事先指定，没有事先指定的IP，则无法上网，外来的用户或是计算机不能轻易地通过企业网络上网。计算机采用固定IP地址是最严密的配置方式。2.防止未允许的计算机上网很多HYPERLINK"http://product.it168.com/list/b/0409_1.shtml"\o"路由器"\t"_blank"路由器都提供IP/MAC绑定功能，提供封锁不在对应表列中MAC地址功能，达到网管未配置的MAC地址完全无法上网的作用。有些用户会自行带入中毒的计算机，甚至其它楼层用户通过无线网络进入公司网络，可通过防止未允许的计算机上网来解决。3.DHCPHYPERLINK"http://product.pcpop.com/Server/10734_1.html"\o"服务器"\t"_blank"服务器发放固定IP对于大中型企业较好的方式是通过DHCP发放IP地址，但同时限定计算机能取