IP地址是電腦網(wǎng)絡(luò)互通的基礎(chǔ)，在實(shí)際工作中，網(wǎng)絡(luò)管理員、安全員的大量日常工作與IP地址有關(guān)。

    因此要能有效管理地址，才能預(yù)防ARP攻擊或針對(duì)有問(wèn)題的電腦加以管制，對(duì)IP地址的管理工作也越來(lái)越重要，IP地址管理的好壞直接影響著企業(yè)員工的工作效率及企業(yè)的信息安全。

    因此，如何安全、高效地管理好IP地址，是一個(gè)企業(yè)必須解決的問(wèn)題。

    一、IP地址分配的方法、方式和結(jié)果

    長(zhǎng)期以來(lái)，關(guān)于IP地址分配的詞匯很多，讓網(wǎng)絡(luò)管理人員感到麻煩，概念上相互交叉，極易混淆。其中常見(jiàn)的六個(gè)詞匯是：動(dòng)態(tài)IP、靜態(tài)IP、手設(shè)IP、DHCP分配、固定IP、非固定IP等靜態(tài)IP地址是長(zhǎng)期分配給一臺(tái)計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備使用的IP地址。一般來(lái)說(shuō)，采用專(zhuān)線(xiàn)上網(wǎng)的計(jì)算機(jī)才擁有固定的Internet IP地址。

    動(dòng)態(tài)IP地址是通過(guò)Modem、ISDN、ADSL、有線(xiàn)寬頻、小區(qū)寬頻等方式上網(wǎng)的計(jì)算機(jī)，每次上網(wǎng)所分配到的IP地址都不相同，這就是動(dòng)態(tài)IP地址

    正確的應(yīng)該是：

    手工設(shè)置→靜態(tài)IP→固定IP

    DHCP分配→動(dòng)態(tài)IP→動(dòng)態(tài)IP

    靜態(tài)IP優(yōu)點(diǎn)：實(shí)現(xiàn)了固定IP地址，出現(xiàn)問(wèn)題容易追查到是那臺(tái)電腦，可以講IP和MAC綁定，然后做雙向綁 定，徹底解決ARP攻擊問(wèn)題。

    動(dòng)態(tài)IP優(yōu)點(diǎn)：IP地址集中管理，減少維護(hù)工作量，可以滿(mǎn)足移動(dòng)辦公，網(wǎng)管可以集中精力關(guān)注安全事件。

    二、企業(yè)網(wǎng)絡(luò)規(guī)模決定IP地址分配方式

    如果網(wǎng)絡(luò)不是很復(fù)雜，電腦數(shù)量不是太多，網(wǎng)管能夠投入大量的時(shí)間和精力用于交換機(jī)端口的管理，則有管好的可能性。另外，還可以放棄對(duì)接入層交換機(jī)的管理，把IP/MAC綁定到核心交換機(jī)上以減少維護(hù)的工作量，不過(guò)，這種方式有可能達(dá)不到安全準(zhǔn)入的要求，因?yàn)榻尤雽拥姆欠ń尤胍灿锌赡軙?huì)影響整個(gè)網(wǎng)絡(luò)的安全。

    因此中小型企業(yè)最好使用靜態(tài)IP方式，交換機(jī)端口上綁定MAC實(shí)現(xiàn)雙向綁定，實(shí)現(xiàn)了對(duì)電腦的準(zhǔn)入控制。

    如果網(wǎng)絡(luò)過(guò)于復(fù)雜，而且數(shù)量很多，這時(shí)候在交換機(jī)端口上綁定IP/MAC是一件非常繁瑣的事情，很難堅(jiān)持到底。隨著筆記本電腦的增多，移動(dòng)辦公的需求越來(lái) 越旺盛，無(wú)法想象把多臺(tái)筆記本電腦的MAC地址綁定到多臺(tái)交換機(jī)的多個(gè)端口的情況，公共辦公區(qū)的網(wǎng)口如何管理也是一個(gè)較大的問(wèn)題，客人的電腦、淘汰的電腦 的清理也是一項(xiàng)比較繁瑣的工作。

    因此大中型企業(yè)最好使用DHCP方式，利用利用DHCP服務(wù)器的增強(qiáng)功能，動(dòng)態(tài)分配給網(wǎng)絡(luò)用戶(hù)指定的IP地址，進(jìn)而做到用戶(hù)、IP和MAC的綁定，實(shí)現(xiàn)企業(yè)網(wǎng)中接入的安全，保證了企業(yè)網(wǎng)的安全運(yùn)行。
(責(zé)任編輯：VEVB)