划分VLAN,每个VLAN分配一个独立的IP子网,一方面独立的子网可以实现对关键服务器和关键用户的有效保护,另一方面,细分的子网可以减少IP地址冲突或者IP地址盗用所带来的影响。

尽量将关键服务器设置一个独立的VLAN和子网,避免IP地址冲突。

重要的领导和重要的部门要设立单独的VLAN。

外来或者流动性比较大的人员,要设置单独的VLAN。

语音(如果有)要设置单独的VLAN。

在不致大量增加管理工作量的情况下,把每个VLAN中的用户尽量小一些。

采用动态地址和静态分配相结合的方法来实现IP地址的有效管理,具体方法为:

所有网络设备,例如:防火墙、路由器、交换机、IDS、等,采用静态IP地址;

所有的服务器和管理维护工作站采用静态IP地址;

重要的子网,如:领导子网内的主机用静态IP地址;

其他普通用户子网,包括外来或者流动人员VLAN,采用DHCP动态分配的IP地址;

语音(IP电话),采用DHCP动态分配IP地址,实现局域网的即插即用;

建立有效的IP地址、MAC地址、用户名、主机名、网络端口、信息点的对应表格。通过表格,可以快速定位所有IP地址对应的主机和人员。

对采用静态分配IP地址的设备或主机,在分配IP地址时,登记如下信息:IP地址、MAC地址、用户名、用户名、主机名、网络端口、信息点编号等。

采用DHCP进行地址分配的,将IP地址和MAC地址绑定(IP电话除外),即特定的MAC地址只能获得指定的IP地址,从而建立:IP地址、MAC地址、用户名、用户名、主机名、网络端口、信息点编号等信息表。

除外来人员或流动人员VLAN外,未经过登记的MAC地址,DHCP服务器将不为其分配IP地址。

建立所有网络设备端口与信息点之间的对应表,即使这些信息点是还没有主机(空的)。
一旦发现IP地址盗用,首先应找到该IP地址的MAC地址,通过定位该MAC地址是从哪个交换机的哪个端口学习来的,可以知道该IP对应的网络设备端口和信息点编号。

利用Cisco交换机提供的一些智能特性,实现跨网段的地址分配,防范DHCP***,对用户MAC、IP、交换机端口进行跟踪等。

通过划分VLAN和IP子网,静态和动态地址分配相结合,并结合DHCP保护和IP地址盗用快速定位等技术,可以有效实现IP地址的管理。实现关键的设备和重要的用户主机不会产生IP地址冲突;

由于采用动态和静态相结合的管理,如果网络中发现IP地址冲突或者IP地址盗用,可以快速定位出该IP地址所在的信息点编号,所连接的网络端口。可以立刻禁止地址冲突。

对于本项目的网络系统,作为内部网络不需要申请有效的IP地址,所以应该在内部网内使用RFC 1597中规定的保留IP地址段。RFC 1597中规定了三段地址,这些地址不允许在因特网上出现。所规定的保留地址如下:
10.0.0.0 ~ 10.255.255.255 1个A类地址
172.16.0.0 ~ 172.31.255.255 16个B类地址
192.168.0.0 ~ 192.168.255.255 256个C类地址

贵公司可以根据目前网络的状况和今后的发展需要,选择符合自己需要的IP地址空间,我们建议选择10.0.0.0/8这个网段作为贵公司办公网普遍的地址段。

下面是我们为某家规模较大的用户单位做的IP地址规划中的部分内容,以供参考。

1、10.0.0.0 ~ 10.0.255.255这个B类地址作为服务器的IP地址。

2、10.1.0.0 ~ 10.200.255.255这200个B类地址用于VLAN的IP地址,其中第二位和相应的VLAN号相匹配。每个B类地址可以有62535个地址,保证了今后网络用户的扩容对IP地址不会造成冲击。

3、10.1.0.0 ~ 10.1.255.255这个B类地址用于网络设备的网管地址,所有网络设备的管理地址都设置在VLAN1内。

4、10.201.0.0 ~ 10.255.255.255这些地址作为预留给广域网连接使用,用到时再详细定义。