论文部分内容阅读
【摘要】随着经济的发展和国家科教兴国战略的实施,校园网络建设已逐步成为学校的基础建设项目,高职高专院校为了提高自己的管理水平,跟上时代的步伐,也都在着手数字化校园的建设。本文谨以重庆工程职业技术学院国家示范建设项目之“公共服务平台”数字化校园建设实践为例,对高职院校数字化校园建设中IP地址的规划与管理问题进行探讨。
【关键词】数字化校园 校园网 IP 规划 管理
【中图分类号】TP393.18 【文献标识码】A 【文章编号】1009-9646(2008)09(b)-0071-02
1 IP地址简介
众所周知,在电话通讯中,电话用户是靠电话号码来识别的。同样,在网络中为了区别不同的计算机,也需要给计算机指定一个号码,这个号码就是“IP地址”。
1.1 IP地址的结构
IP地址是IP协议用来标识网络中主机、路由器和网关等设备的不同接口。IP地址就相当于网络设备接口的身份证。从网络的层次结构考虑,一个IP地址必须指明两点:属于哪个网络,是这个网络中的哪台主机,因此IP地址的结构为“网络号+主机号”,其网络地址和主机地址的位数因网络的规模大小而不同。
1.2 子网与子网掩码
为了提高IP地址的使用效率,将二级结构中的主机号部分进一步划分为子网号和主机号,IP地址的结构便变成了“网络号+子网号+主机号”的三级结构。这样就使得IP地址有了一定的内部层次结构,这种层次结构便于IP地址的分配和管理。
1.3 NAT地址转换
NAT(地址转换)就是把在内部网络中使用的IP地址转换成外部网络中使用的IP地址,把不可路由的IP地址转化成可路由的IP地址,对外部网络隐蔽内部网络的结构。通过NAT,可以节省NIC注册的IP地址。
内部地址是因特网地址分配组织规定的以下三类网络地址(又叫保留地址或私有地址):
10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255
这3个网络的地址不会在英特网上被分配,任何一个局域网都可以使用。使用私有网络地址的主机与互联网上的主机通信时,要通过地址转换技术,将私有地址转换成公有地址。
2 高职院校校园网IP地址的规划
IP地址的规划通常是校园网络设计过程中的一个很重要的环节。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展及网络的管理,也必将直接影响到网络应用的进一步发展。
2.1 IP地址的分配原则
IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时要能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则:
唯一性:一个IP网络中不能有两个主机采用相同的IP地址
简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表项
连续性:连续地址在层次结构网络中易于进行路由表聚类,大大缩减路由表,提高路由算法的效率
可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址聚合所需的连续性
灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。
2.2 IP地址分配方案
校园网IP地址包括从Cernet中心申请公用地址、内部地址及由从ChinaNet申请的少量的公网IP地址。其中由ChinaNet申请的少量的公网IP地址主要作为接入电信公网和部分关键的服务器出口备份,因此IP地址的规划主要针对前两种。
(1)公有IP地址的分配
公有地址也叫实地址( 又叫合法地址),即是从Cernet申请的多个C类IP地址,作为和国际互联网互连的地址,域名xxx.edu.cn就解析在这片地址上。在对校园网实IP地址进行分配时,要本着节约的原则,合理分配,充分利用。
首先确定实IP的使用者。如网络中心的服务器及工作人员用机,校内的科研人员、重点学科和重点实验室等。
IP地址的分配可按单位及区域进行分配。对需要的IP地址多且发展潜力大的单位可为其分配一个独立的C类地址,对那些只需少量地址可按地理位置等,让几个单位共用一个C类地址,为了便于管理,可将一个C类地址子网化,但子网的数量不宜过多,因为子网化是以牺牲部分IP地址为代价的。
(2)私有IP地址的分配
在作网络规划时,应先设计网络的私有部分。原则上所有的内部连接都应使用私有地址空间,(尤其是学生机房、网络教室等主要使用校内资源)然后在需要的地方设计公有子网并设计外部连接。这样,当网内某台主机地址发生了变化时,仅对这台主机重新编址并安装所需的物理子网即可。三类私有IP地址,任何局域网都可使用,具体使用哪一类,看网络规模而定。如果要通过划分子网来管理,用24位的私有地址空间较合适,在进行子网划分时要充分考虑到网络的扩展。若子网化有困难,可以C为单位,分片划分IP。为了便于路由的聚合,在地址的分配上应使用连续的C类地址。使用这部分地址的用户要和国际互联网发生联系,须采用NAT转换技术将内部地址转换成外部地址。
3 IP地址的管理
3.1 IP地址管理的任务及常见的问题
IP地址管理包括对IP地址段的分配使用情况进行管理;对已分配IP地址的基本信息进行管理;详细记录IP地址的封锁/解封锁情况,地址分配及变更的历史记录等,还要保证网络的正常运行。
IP网络运行过程中,最常引起网络故障的原因之一是IP地址冲突问题.。造成IP地址冲突的原因:一是管理员由于工作疏忽分配了重复的IP地址;二是由于使用静态分配IP地址策略,用户在进行客户端配置时,有意或无意地盗用了别人的IP。
3.2 常见IP地址管理策略
(1)由管理员为上网用户分配IP地址,并静态维护IP地址分配表。
(2)动态地址分配策略
动态分配可以节省IP地址,方便用户的接入操作,同时也可减轻网管员管理IP地址的负担(勿需配置客户端)。但由于动态分配IP地址的随机性和不确定性,网络的安全管理将变得困难。
(3)IP和MAC地址绑定
对于静态修改IP地址的问题,现在很多院校都采用静态路由技术加以解决,即在路由器或三層交换机上的ARP表里将合法用户的IP地址和网卡的MAC地址进行绑定.针对静态路由技术,IP盗用者又采取了成对修改IP-MAC地址的方法。针对这种情况,针对这种情况,我们可以使用交换机端口的单地址工作模式,将交换机的端口和本机MAC地址绑定,这样即使成对地盗用IP地址与MAC地址也无法访问网络。
(4)子网与虚拟子网管理。
通过合理的子网及虚拟子网VLAN的划分,使得IP盗用即使发生,也被局限在一个小的范围,便于管理员定位查找。
(5)基于用户认证的管理方案
用户认证是用于解决系统内部的用户管理和用户安全问题的一个手段。基于用户认证的管理方案要求用户必须有一个合法的用户名和密码,用户上网前需提供合法的用户名及相应密码,其对IP地址的管理是通过IP与用户名和密码绑定来实现的这首先杜绝了非法用户进入网络并使用网络资源,其次当网络出现问题时,可以及时查找到相应的用户,并通知该用户解决问题,这大大提高了网络管理和维护的水平。
(6)防火墙与代理服务器管理
使用防火墙与代理服务器相结合,既能解决IP地址紧缺问题,也能较好地解决IP地址盗用问题。通过防火墙提供的NAT技术,使多个内部IP地址共享一个外部IP地址,可以更有效地利用IP地址资源。通过代理服务器访问外部网络,将IP防盗放到应用层来解决,变IP管理为用户身份和口令的管理,由于没有合法的身份,盗用的IP地址只能在子网内使用,IP盗用便没有意义。
(7)集成化的管理方案
随着校园网规模的不断扩大,接入用户的不断增加,单一的管理策略是远远不够的。如何更有效地实现校园网内IP地址的分配与管理,才能符合最新的《互联网IP地址备案管理办法》的要求?
首先,有效的IP地址分配是高效管理的基础。集成化的管理方案即是将IP资源管理与园区网络管理服务相整合,解决校园网管理中遇到的各种问题,提高管理效率。通过该方案开发出适合本校园网的先进的网络管理系统。该系统应集管理、服务、计费于一身,可以对IP地址进行全面管理,变静态数据表维护为动态数据库维护,并对IP地址的使用者实行实名制管理,可以通过IP与用户名的绑定,做到对用户统一管理、统一身份认证。
总之,一个好的、成功的校园网网络应根据本单位的实际情况,制定一个最合理及最有效的IP地址规划和管理方案,以保证校园安全、稳定、有效地运行。
【关键词】数字化校园 校园网 IP 规划 管理
【中图分类号】TP393.18 【文献标识码】A 【文章编号】1009-9646(2008)09(b)-0071-02
1 IP地址简介
众所周知,在电话通讯中,电话用户是靠电话号码来识别的。同样,在网络中为了区别不同的计算机,也需要给计算机指定一个号码,这个号码就是“IP地址”。
1.1 IP地址的结构
IP地址是IP协议用来标识网络中主机、路由器和网关等设备的不同接口。IP地址就相当于网络设备接口的身份证。从网络的层次结构考虑,一个IP地址必须指明两点:属于哪个网络,是这个网络中的哪台主机,因此IP地址的结构为“网络号+主机号”,其网络地址和主机地址的位数因网络的规模大小而不同。
1.2 子网与子网掩码
为了提高IP地址的使用效率,将二级结构中的主机号部分进一步划分为子网号和主机号,IP地址的结构便变成了“网络号+子网号+主机号”的三级结构。这样就使得IP地址有了一定的内部层次结构,这种层次结构便于IP地址的分配和管理。
1.3 NAT地址转换
NAT(地址转换)就是把在内部网络中使用的IP地址转换成外部网络中使用的IP地址,把不可路由的IP地址转化成可路由的IP地址,对外部网络隐蔽内部网络的结构。通过NAT,可以节省NIC注册的IP地址。
内部地址是因特网地址分配组织规定的以下三类网络地址(又叫保留地址或私有地址):
10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255
这3个网络的地址不会在英特网上被分配,任何一个局域网都可以使用。使用私有网络地址的主机与互联网上的主机通信时,要通过地址转换技术,将私有地址转换成公有地址。
2 高职院校校园网IP地址的规划
IP地址的规划通常是校园网络设计过程中的一个很重要的环节。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展及网络的管理,也必将直接影响到网络应用的进一步发展。
2.1 IP地址的分配原则
IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时要能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则:
唯一性:一个IP网络中不能有两个主机采用相同的IP地址
简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表项
连续性:连续地址在层次结构网络中易于进行路由表聚类,大大缩减路由表,提高路由算法的效率
可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址聚合所需的连续性
灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。
2.2 IP地址分配方案
校园网IP地址包括从Cernet中心申请公用地址、内部地址及由从ChinaNet申请的少量的公网IP地址。其中由ChinaNet申请的少量的公网IP地址主要作为接入电信公网和部分关键的服务器出口备份,因此IP地址的规划主要针对前两种。
(1)公有IP地址的分配
公有地址也叫实地址( 又叫合法地址),即是从Cernet申请的多个C类IP地址,作为和国际互联网互连的地址,域名xxx.edu.cn就解析在这片地址上。在对校园网实IP地址进行分配时,要本着节约的原则,合理分配,充分利用。
首先确定实IP的使用者。如网络中心的服务器及工作人员用机,校内的科研人员、重点学科和重点实验室等。
IP地址的分配可按单位及区域进行分配。对需要的IP地址多且发展潜力大的单位可为其分配一个独立的C类地址,对那些只需少量地址可按地理位置等,让几个单位共用一个C类地址,为了便于管理,可将一个C类地址子网化,但子网的数量不宜过多,因为子网化是以牺牲部分IP地址为代价的。
(2)私有IP地址的分配
在作网络规划时,应先设计网络的私有部分。原则上所有的内部连接都应使用私有地址空间,(尤其是学生机房、网络教室等主要使用校内资源)然后在需要的地方设计公有子网并设计外部连接。这样,当网内某台主机地址发生了变化时,仅对这台主机重新编址并安装所需的物理子网即可。三类私有IP地址,任何局域网都可使用,具体使用哪一类,看网络规模而定。如果要通过划分子网来管理,用24位的私有地址空间较合适,在进行子网划分时要充分考虑到网络的扩展。若子网化有困难,可以C为单位,分片划分IP。为了便于路由的聚合,在地址的分配上应使用连续的C类地址。使用这部分地址的用户要和国际互联网发生联系,须采用NAT转换技术将内部地址转换成外部地址。
3 IP地址的管理
3.1 IP地址管理的任务及常见的问题
IP地址管理包括对IP地址段的分配使用情况进行管理;对已分配IP地址的基本信息进行管理;详细记录IP地址的封锁/解封锁情况,地址分配及变更的历史记录等,还要保证网络的正常运行。
IP网络运行过程中,最常引起网络故障的原因之一是IP地址冲突问题.。造成IP地址冲突的原因:一是管理员由于工作疏忽分配了重复的IP地址;二是由于使用静态分配IP地址策略,用户在进行客户端配置时,有意或无意地盗用了别人的IP。
3.2 常见IP地址管理策略
(1)由管理员为上网用户分配IP地址,并静态维护IP地址分配表。
(2)动态地址分配策略
动态分配可以节省IP地址,方便用户的接入操作,同时也可减轻网管员管理IP地址的负担(勿需配置客户端)。但由于动态分配IP地址的随机性和不确定性,网络的安全管理将变得困难。
(3)IP和MAC地址绑定
对于静态修改IP地址的问题,现在很多院校都采用静态路由技术加以解决,即在路由器或三層交换机上的ARP表里将合法用户的IP地址和网卡的MAC地址进行绑定.针对静态路由技术,IP盗用者又采取了成对修改IP-MAC地址的方法。针对这种情况,针对这种情况,我们可以使用交换机端口的单地址工作模式,将交换机的端口和本机MAC地址绑定,这样即使成对地盗用IP地址与MAC地址也无法访问网络。
(4)子网与虚拟子网管理。
通过合理的子网及虚拟子网VLAN的划分,使得IP盗用即使发生,也被局限在一个小的范围,便于管理员定位查找。
(5)基于用户认证的管理方案
用户认证是用于解决系统内部的用户管理和用户安全问题的一个手段。基于用户认证的管理方案要求用户必须有一个合法的用户名和密码,用户上网前需提供合法的用户名及相应密码,其对IP地址的管理是通过IP与用户名和密码绑定来实现的这首先杜绝了非法用户进入网络并使用网络资源,其次当网络出现问题时,可以及时查找到相应的用户,并通知该用户解决问题,这大大提高了网络管理和维护的水平。
(6)防火墙与代理服务器管理
使用防火墙与代理服务器相结合,既能解决IP地址紧缺问题,也能较好地解决IP地址盗用问题。通过防火墙提供的NAT技术,使多个内部IP地址共享一个外部IP地址,可以更有效地利用IP地址资源。通过代理服务器访问外部网络,将IP防盗放到应用层来解决,变IP管理为用户身份和口令的管理,由于没有合法的身份,盗用的IP地址只能在子网内使用,IP盗用便没有意义。
(7)集成化的管理方案
随着校园网规模的不断扩大,接入用户的不断增加,单一的管理策略是远远不够的。如何更有效地实现校园网内IP地址的分配与管理,才能符合最新的《互联网IP地址备案管理办法》的要求?
首先,有效的IP地址分配是高效管理的基础。集成化的管理方案即是将IP资源管理与园区网络管理服务相整合,解决校园网管理中遇到的各种问题,提高管理效率。通过该方案开发出适合本校园网的先进的网络管理系统。该系统应集管理、服务、计费于一身,可以对IP地址进行全面管理,变静态数据表维护为动态数据库维护,并对IP地址的使用者实行实名制管理,可以通过IP与用户名的绑定,做到对用户统一管理、统一身份认证。
总之,一个好的、成功的校园网网络应根据本单位的实际情况,制定一个最合理及最有效的IP地址规划和管理方案,以保证校园安全、稳定、有效地运行。