企業局域網IP地址合理分配原則

   IP地址是絡互通的基礎，在實際工作中，網絡管理員、安全員的大量日常工作與IP地址有關。

    因此要能有效管理地址，才能預防ARP攻擊或針對有問題的電腦加以管制，對IP地址的管理工作也越來越重要，IP地址管理的好壞直接影響著企業員工的工作效率及企業的信息安全。

    因此，如何安全、高效地管理好IP地址，是一個企業必須解決的問題。

    一、IP地址分配的方法、方式和結果

    長期以來，關於IP地址分配的詞匯很多，讓網絡管理人員感到麻煩，概念上相互交叉，極易混淆。其中常見的六個詞匯是：動態IP、靜態IP、手設IP、DHCP分配、固定IP、非固定IP等靜態IP地址是長期分配給一台計算機或網絡設備使用的IP地址。一般來說，采用專線上網的計算機才擁有固定的Internet IP地址。

    動態IP地址是通過Modem、ISDN、ADSL、有線寬頻、小區寬頻等方式上網的計算機，每次上網所分配到的IP地址都不相同，這就是動態IP地址

    正確的應該是：

    手工設置→靜態IP→固定IP

    DHCP分配→動態IP→動態IP

    靜態IP優點：實現了固定IP地址，出現問題容易追查到是那台電腦，可以講IP和MAC綁定，然後做雙向綁 定，徹底解決ARP攻擊問題。

    動態IP優點：IP地址集中管理，減少維護工作量，可以滿足移動辦公，網管可以集中精力關注安全事件。

    二、企業網絡規模決定IP地址分配方式

    如果網絡不是很復雜，電腦數量不是太多，網管能夠投入大量的時間和精力用於交換機端口的管理，則有管好的可能性。另外，還可以放棄對接入層交換機的管理，把IP/MAC綁定到核心交換機上以減少維護的工作量，不過，這種方式有可能達不到安全准入的要求，因為接入層的非法接入也有可能會影響整個網絡的安全。

    因此中小型企業最好使用靜態IP方式，交換機端口上綁定MAC實現雙向綁定，實現了對電腦的准入控制。

    如果網絡過於復雜，而且數量很多，這時候在交換機端口上綁定IP/MAC是一件非常繁瑣的事情，很難堅持到底。隨著筆記本電腦的增多，移動辦公的需求越來 越旺盛，無法想象把多台筆記本電腦的MAC地址綁定到多台交換機的多個端口的情況，公共辦公區的網口如何管理也是一個較大的問題，客人的電腦、淘汰的電腦 的清理也是一項比較繁瑣的工作。

    因此大中型企業最好使用DHCP方式，利用利用DHCP服務器的增強功能，動態分配給網絡用戶指定的IP地址，進而做到用戶、IP和MAC的綁定，實現企業網中接入的安全，保證了企業網的安全運行。