一家企业要组建网络,除个别服务器需要固定IP外全网启动DHCP,并使用认证上网方式。|具体要求如-
IP地址规划之分配篇
在IP地址规划时,我们已经知道IP地址包括公网和专用(私有)两种类型,公网IP地址又称为可全局路由的IP地址,是在Internet中使用的IP地址,目前对企业来说主要是ISP提供的一个或几个C类地址;而专用(私有)IP地址则包括A、B和C类三种,另外就是Microsoft Windows的APIPA预留的(169.254.0.0 -- 169.254.255.255)网段地址;下面就和大家谈谈这些IP地址的在企业局域网的分配方式。
一、可全局路由(公网)的IP地址的分配方式
毫无疑问,Internet网络中的每一台计算机都需要一个IP地址,然而,在目前IP地址资源非常紧缺的情况下,想从Internet接入商那里获取足够的IP地址简直是不可能的。假如每个企业用户只能获得1-10个公网IP地址,即使是拥有几百台计算机的局域网,因此应该考虑如何合理利用有限的IP地址了。
1、静态分配IP地址
也就是给每台计算机分配一个固定的公网IP地址。如果网络中每台计算机都采用静态的分配方案,那么很可能是IP地址不够用。所以一般只在下面两种情况下才采用这种方案:
IP地址数量大于网络中的计算机数量。
网络中存在特殊的计算机,如作为路由器的计算机、服务器等等。
2、动态分配IP地址
如果网络中有很多台计算机,且又不是所有的计算机都同时使用,那么不妨采用动态分配IP地址的方式。
什么是动态分配IP地址呢?打个比方说,公司一共有10台计算机,而须要使用计算机的却有15个人,显然每人一台计算机是不可能的。那么我们就考虑,如果他们不在同一时间使用,可不可以采取这种策略:把所有的计算机集中起来管理,等到有人提出使用请求的时候,分配其中的任意一台计算机给他,而他用完之后就把使用权收回,这样既可以保证所有的人都有机会使用计算机,又不会造成计算机的“浪费”。
IP地址的动态分配原理和上面所举的例子一样,只要同时打开的计算机数量少于或等于可供分配的IP地址,那么,每台计算机就会自动获取一个IP地址,并实现与Internet的连接。当然,如果打开的计算机数量太多,那么,后面的计算机就无法获得IP地址。但是动态分配IP地址也不是随时适用的,当网络内的计算机的数量达到上百台之多时,几个动态IP地址显然不够用,那怎么办呢?这就要采用下面的方法来解决。
3、采用NAT(Network Address Translation,网络地址转换)方式
既然不接入Internet的网络可以任意使用专用IP地址,那么能不能有这样一个方案,即在网络内部使用专用IP地址,连接到Internet的时候使用公网IP地址,同时在公网地址与私有地址之间有一个对应的转换关系呢?正是基于这种想法,产生了NAT(网络地址转换)。
它可以将专用IP地址(如10.x.x.x)转换为一个可全局路由的IPv4地址。也就是说,对于一个局域网而言,无论其中有多少台计算机,只需要有一个可全局路由的IP地址即可。这种方式既节约了IP地址,又能同时满足多个用户的上网需求,它就是组网的首选了。
NAT有3种类型,即静态NAT(Static NAT)、NAT池(pooled NAT)和端口NAT(PAT)。 如下图1、图2和图3所示。其中,静态NAT设置起来最为简单,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。
图1
而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络中。PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
图2
图3
根据不同的需要,各种NAT方案都会有利有弊。下面以使用NAT池为例来做进一步说明。
使用NAT池,可以从未注册的地址空间中提供被外部访问的服务,也可以从内部网络访问外部网络,而不需要重新配置内部网络中的每台机器的IP地址。
采用NAT池意味着可以在内部网中定义很多的内部用户,通过动态分配的办法,共享很少的几个外部IP地址。而静态NAT则只能形成一一对应的固定映射方式。应引起注意的是,NAT池中动态分配的外部IP地址全部被占用后,后续的NAT的IP地址转换申请将会失败。但是,目前许多带有NAT功能的路由器有超时配置功能,可以根据连接的时间来进行调配以缓解IP地址缺少所造成的问题。
除了路由器、ADSL或电缆调制解调器网关等硬件设备外,Windows XP/2000/Me/98系统中的“Internet连接共享”也可以实现NAT,还能广泛地适用于各种类型的Internet接入方式。
4、代理服务器分配
NAT地址转换方式虽然好,但也有其自身的缺陷。简单地说,就是只能简单地进行IP地址转换,而无法实现文件缓存,从而降低了Internet访问流量,无法实现快速的Internet访问。
代理服务器与NAT的工作原理不太一样,它并不只是简单地做地址转换,而是代理网络内的计算机访问Internet,并把访问的结果返回给当初提出该请求的用户,同时,把访问的结果保存在缓存中。当网络用户发出下一Internet请求时,服务器将首先检查缓存中是否保存有该页面的内容,如果有,立即从缓存中调出并返还给请求者;如果没有,则向Internet发送请求,并再次将访问结果保存起来,以备其他用户访问之需。
除此之外,代理服务器还具有部分网络防火墙的功能:可以对外隐藏网络内的计算机,提高网络安全性;可以限制某些计算机对Internet的访问;在带宽较窄的情况下限制Internet流量;可以禁止对某些网站的访问等。
如此看来,代理服务器要比单纯的NAT更适合大中型网络的Internet共享接入。不过,采用代理服务器的缺点也是有的,那就是还需要额外添置一台服务器,另外,代理服务器的设置也比较复杂。但考虑到单位内部的具体应用情况,使用代理服务器是最恰当不过的了。
二、专用(私有)IP地址的分配方式
可全局路由的IP地址的分配方案算是确定了,它既解决了IP地址不足的问题,同时又提升了Internet访问速度。接下来,就应该着手处理专用IP地址的分配了。
首先,要考虑选用哪一段专用IP地址。小型企业可以选择“192.168.0.0”地址段,大中型企业则可以选择“172.16.0.0”或”10.0.0.0”地址段。
如果我们根据网络中计算机的数量来决定需采用的IP地址,这个方案肯定是行不通的。因为这样做会受到将来网络状况变化的限制,假如不久后企业决定又要购进一批计算机,整个网络就可能因为选取的IP地址不合适而导致重新设计。
其实网络的划分并不是很复杂,只要考虑到在可预见的将来的网络情况就可以了,同时要注重它的通用性及其稳定性。
其次,就是IP地址的分配方式了。假如企业的服务器操作系统采用的是Windows NT/2000/2003 Server系统, 客户器采用Windows 98/me/2000/XP系统;Windows为TCP/IP客户端提供了3种配置IP地址的方法,用于满足Windows用户对网络的不同需求。具体采用哪种IP地址分配方式,可由网络管理员根据网络规模和网络应用等具体情况而定。
1、手工分配
手工设置IP地址也是经常使用的一种分配方式。在以手工方式进行设置时,需要为网络中的每一台计算机分别设置4项IP地址信息(IP地址、子网掩码、默认网关和DNS服务器地址)。所以,在通常情况下,被用于设置网络服务器、计算机数量较少的小型网络(比如几台到十几台的小型网络),或者用于分配数量较少公用IP地址。
手工设置的IP地址为静态IP地址,在没有重新配置之前,计算机将一直拥有该IP地址。因此,既可以据此访问网络内的某台计算机,也可以据此判断计算机是否已经开机并接入网络。不过,默认网关和DNS地址必须是计算机所在的网段中的IP地址,而不能填写其他网段中的IP地址。
在Windows 98/me/2000/XP系统下,手工设置一台计算机的IP地址。具体的配置方法如下,在完成网卡驱动程序的安装之后,重新启动计算机进入系统,用鼠标右键单击桌面上的“网上邻居”图标,选择属性,这时可以发现在其中已经自动安装好了TCP/IP协议,选择并单击它下面的“属性”按钮,这时会弹出TCP/IP属性的对话框,在“IP地址”选项卡里,把“自动获取IP地址”改为“指定IP地址”,这时原本灰色的不能填写的IP地址和子网掩码就可以由自己来指定了。
2、DHCP分配
为了使TCP/IP协议更加易于管理,微软和几家厂商共同建立了一个Internet标准----动态主机配置协议(Dynamic Host configuration Protocol,DHCP),由它提供自动的TCP/IP配置。DHCP服务器为其客户端提供IP地址、子网掩码和默认网关地址等各种配置。
网络中的计算机可以通过DHCP服务器自动获取IP地址信息。DHCP服务器维护着一个容纳有许多IP地址的地址池,并根据计算机的请求而出租。DHCP是Windows默认采用的地址分配方式。
默认情况下,Windows 98/me/2000/XP系统都使用DHCP来进行IP地址的分配,所以,如果仍然选择DHCP来分配和管理IP地址,网管工作将会减轻很多,而且可以很方便地配置客户机。我们所要做的就是维护好一台DHCP服务器即可。
3、自动专用IP寻址
自动专用IP寻址(APIPA,Automatic Private IP Addressing)可以为没有DHCP服务器的单网段网络提供自动配置TCP/IP协议的功能。默认情况下,运行Windows 98/Me/2000/XP的计算机首先尝试与网络中的DHCP服务器进行联系,以便从DHCP服务器上获得自己的IP地址等信息,并对TCP/IP协议进行配置。如果无法建立与DHCP服务器的连接,则计算机改为使用APIPA自动寻址方式,并自动配置TCP/IP协议。
使用APIPA时,Windows将在169.254.0.1--169.254.255.254的范围内自动获得一个IP地址,子网掩码为255.255.0.0,并以此配置建立网络连接,直到找到DHCP服务器为止。
因为APIPA范围内指定的IP地址是由网络编号机构(IANA)所保留的,这个范围内的任何IP地址都不用于Internet。因此,APIPA仅用于不连接到Internet的单网段的网络,如小型公司、家庭、办公室等。
值得注意的是,APIPA分配的IP地址只适用于一个子网的网络。如果网络需要与其他的私有网通讯,或者需接入Internet时,就不能使用APIPA这种分配方式了
把你的需求写得清楚些吧!!
比如:你的外网固定地址是多少?
你们公司多机器,需不需要划分vlan并且各vlan的ip范围。
你这些都不说清楚,别人只要做什么吗?
百度IH一下吧!
你路由器下边接几层的交换机?
telnet
步骤一:配置VLAN1 的IP 地址
Router>en //进入特权模式
Router#vlan database //进入vlan 配置模式
Router(vlan)#vlan 2 name vlan2 //创建vlan2 并命名vlan2
Router(vlan)#exit //退出vlan配置模式
Router#conf t //进入全局配置模式
Router(config)#int vlan 2 //进入vlan 1 接口
Router(config-if)#ip address 192.168.0.230 255.255.255.0 //为vlan 2 接口上设置管理ip
Router(config-if)#exit //退回到全局配置模式
步骤二:配置telnet 密码
Router(config)#line vty 0 4 //进入telnet 密码配置模式
Router(config-line)#login //启用需输入密码才能telnet 成功
Router(config-line)#password rscstar //将telnet 密码设置为rscstar
Router(config-line)#exit //回到全局配置模式
Router(config)#enable secret 0 rscstar //配置进入特权模式的密码为rscstar
大型企业组网方案
需要3台设备:
流控大师(几千元到万元不等)
企业级路由器(几千元)
1U服务器(几千到 几十万不等 ,根据需求来。)
上述设备购买质量好一点的,别舍不得花钱,如果质量不好达不到想要的效果。准备好这两台设备之后,做一步一步的实现策略。
接入电信企业光纤(只有企业光纤才会有固定的IP地址(至少2个固定IP,一个用于内网上网行为 ,一个用于外网VPN上网行为。))推荐千兆以上!(下行速度差不多1G/S,上行速度300-500M/S)。并在路由器上配置好网络。能够正常 用设备上网后,设置2个IP为192.168.XXX.254、192.168.XXX.253为例,将这2个IP分配给流控大师并绑定流控大师的MAC地址。分别为WAN口1和WAN口2.WAN口1用作内网上网,WAN口2用于外网VPN连接。同时设定内网IP固定交叉式,让WAN口1和WAN口2的内网互通。
第一条:192.168.XXX.XXX其中XXX为学号/工号后2位,那么首先应该查询到该学员/员工所 使用设备的MAC地址。分别在路由器与流控大师设备上录入,并将IP地址提前分并绑定该员工/学员的设备MAC地址。才能实现与学号后两位吻合,否则不管你什么方法,路由器和流控大师都不会知道学员/员工的学号/工号是多少,那不扯淡嘛。。。
第二条:全网启动DHCP是不可能,你启动DHCP由路由器自动分发IP地址,那你还要指定192.168.XXX.XXX,XXX代表学员/员工的/学号/工号后两位,你要求就冲突了。(比如您今天12点亲自去天安门广场接一个人,同时今天12点要亲自去日本东京开个董事会,就冲突了)。采用认证方式上网,上网帐号为员工工号/学员学号,密码默认统一 123456让学员/员工自行修改。这里就需要提前将员工工号/学员学号录入到流控大师,流控大师内有一个上网行为栏目,在上网行为栏目处开启拨号上网,或者认证上网即可实现,然后将员工工号/学员学号依次录入进去(流控大师可以批量添加,前提是员工工号/学员学号有规律可循,比如123456自增式)。
第三条:登录流控大师后台,进行上网行为限制和管理,终端网络限制设置2048M,即可实现终端限速上下行2M/S。
第四条 :流控大师后台VPN管理处添加VPN帐号和密码并分配内网IP固定,并且进行相应端口映射以及设置WAN2为VPN所使用的WAN口。即可用任何已联网设备使用VPN协议登入内网,并访问内网所有资源(一般内网资源放在内网服务器上的,那么你得再分配一个内网IP给服务器固定,并且上网行为不限制速度。)
第五条:设置拨号白名单,所有部署完后,需要设置白名单的有路由器IP,路由器IP为流控大师的网关IP,所以需要放行白名单,服务器也需要加入白名单,另外你可根据需要,添加多个VPN帐号并分配IP,然后根据需求设定哪些内网IP白名单,不需要认证即可上网。
总结:其实内网部署很简单,只要规则弄明白了,都是傻瓜式操作,并无什么技术可言,曾经70年代所谓的大佬已经不存在了。
这套方案适用于所有大小型网吧、网咖、政府机关、大型企业、集团、学校等主体。能够容纳千人同时在线上网。并且能够做出一系列的行为管控。如果动手能力强一点,还可以在每台终端做统一的系统镜像,随时随地可以查看到终端在干什么,虽然流控大师可以监控到,但无法看到屏幕。
声明:此方案为本人原创,绝无雷同!仅在百度知道回答,未经授权,谢绝转载和刊登!