局域网的一大特点就是拥有一定数量的终端用户。例如一所重点中学,学校局域网的终端用户有600多个,为了区分各类不同用户,我们采用的是终端固定IP设置的方法。和其他许多学校的网管一样,我们也一直被终端用户私改IP地址造成的网络冲突问题困扰着。咨询相关网络公司,他们也提供了不少解决方案,但大多价格不菲。没有办法,只好绞尽脑汁自己想办法了。
同样,局域网内ip地址“不够用”也在网络规划与维护中是一个常见的问题。今天这篇文章就为大家解决这两个问题:所以采用了基于防火墙的IP地址与MAC地址绑定+基于交换机的MAC地址与端口绑定的二级管理方法,双管齐下,较好地解决了这个问题。
一、基于防火墙的IP地址与MAC地址绑定
1. 做好整个局域网终端用户计算机的命名,指定IP地址根据用户的类别统一命名计算机,并给定IP地址。这样一看机器名,就知道是哪个部门哪台机器,便于管理。比如高一年级语文组1号机器,我们就将其命名为“gaoyiyuwen01”。同时,统一规划分配IP地址给每台终端机器,并建立IP地址分配登记表(见附表)。
2. 统计每个终端机器网卡的MAC地址,建立IP地址与MAC地址对应表我们知道,在MS-DOS方式下键入命令“Winipcfg”就可以获得本机IP地址和MAC地址(Windows 98系统下)。我们可以将此方法公布一下,然后要求相关用户将本机MAC地址抄录上报到网管中心,再进行登记汇总。也可在设定机器名和IP地址时一并统计好。网络管理员也可以利用Nbtstat命令来远程获得指定机器的MAC地址。在MS-DOS方式下键入命令“Nbtstat -a 远程计算机名”,即可获得指定机器的IP地址和MAC地址。
3. 将IP地址与MAC地址绑定这要根据局域网接入互联网的方式不同而采用不同的办法。如果是采用代理服务器接入互联网,那就使用命令:ARP -s IP地址 MAC地址例:ARP -s 192.168.1.4 00-EO-4C-6C-08-75这样,就将静态IP地址192.168.1.4与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了,即使别人盗用您的IP地址192.168.1.
4,也无法通过代理服务器上网。如果是通过路由器直接接入互联网,最好通过硬件防火墙来实现IP与MAC地址的绑定。一般的硬件防火墙都具有这个功能,具体操作也非常简单。到这里似乎可以大功告成了,但事情并不像我们想象的那么简单。花了相当多的精力构筑起来的防线不到一个月就又冲突依旧了。原来,有的终端用户通过修改注册表、下载专用小工具等方法,没费多少力气就更改了本机的MAC地址,甚至于将本机的MAC地址和IP地址改得和主服务器一模一样,搞得局域网内又鸡犬不宁了。
二、基于交换机的MAC地址与端口绑定
为了进一步解决这个问题,笔者又想到了基于交换机的MAC地址与端口绑定。这样一来,终端用户如果擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现,自然也就不会对局域网造成干扰了。如果是在一个小型的局域网里可能完全不必要考虑IP地址不够的情况,但是在超过“255台”电脑的大型局域网里,就必须要考虑电脑IP地址不够用该如何解决了。很多时候企业局域网络出现私网地址192.168.1.x-255不够用了,去掉一个广播地址及一个网络地址后就可能不够用。(0是网络地址不可用, 255是广播地址,除去这2个,可用的就是254个地址)。那么如何解决呢?首先,我们来了解一下IP地址:“X.X.X.X”x代表0到255之间的任意一个自然数,但是,在局域网里面,这里的数字设置是有规则的,一般是由子网掩码来划分。比如255.255.255.0。说明最后面一个X可以从0到255之间随意改变。当网关是192.168.1.1时,我们可以设置成192.168.1.1–192.168.1.254。当在一个局域网内,ip地址超过了数量怎么办,这个通常发生在C类的ip地址局域网中较多,可以有三种方法来解决这个问题。
一、改子网掩码因此当子网掩码设置成255.255.255.0时,路由器下面的局域网最多只能"254台"电脑分配相对独立的IP地址。要想增加局域网IP,那么可以修改下子网掩码就可以了,比如子网掩码从255.255.255.0修改成255.255.0.0,那么我们局域网里面的电脑IP就相当于可以设置254乘以254台电脑,有64516个IP地址。而IP的第三个X也可以从0到255之间任意一个数字变192.168.X.X。 如果还要更多,那么可以设置成255.0.0.0,局域网就可以拥有254254254台电脑。不过这样设置的话相当于这些所有电脑都处于一个局域网里面,而且可以相互访问,容易引起“网络风暴”。
二、增加路由器的方法也可以通过路由器后面再接路由器来分成多个网段,不过这种方法不太超大型网络。如果原来的网段为192.168.1.1。那么可以新增网段,192.168.X.1 。操作步骤:新增加一个路由器即可!分配一个IP地址给新增的路由器静态IP绑定下,然后如果想省事可以启用DHCP,如果不想省事就自己设置IP地址。路由器的网关一定要改!
一般默认的都是192.168.0.1 或 192.168.1.1 ,你新增网段的网关应该是192.168.X.1切记!如果你新设置IP地址设置为192.168.2.1的话。新路由器的IP地址池可以为 192.168.2.2~~~192.168.2.254之间。连接方法: 之前的路由器LAN口和现在路由器的WAN口相连接。然后你新的路由器就可以上网了。可以再接一个交换机插在新路由器的LAN口。
三、划分VLAN 最好的方法是通过设置虚拟局域网“VLAN”,将局域网里面的电脑分成多个虚拟的局域网,可以减少网络风暴,而且可以提高交换机跟路由器的工作效率。有的交换机自带有VLAN接口,那么只要将网线按需要分别接到相应的网段。通过子网划分!你可以将IP地址设置成192.168.0.0/23那么可以划分192.168.0.x和192.168.1.x二个网段,增加了IP的数量,当然也可以续继续划分多个网段。网段一:192.168.0.x,192.168.0.1——192.168.0.254 ,子网掩码255.255.254.0。网段二:192.168.1.x ,192.1681.1——192.168.1.254,255.255.254.0。这样192.168.0.x和192.168.1.x就可以互通,而不需要其他设备。
END
为了更好地帮助大家学习并了解网络工程师,等相关内容,我特意将所有资料进行了系统整理,这里也免费分享大家。为大家整理的网工必备资料,包括:
华为认证思维导图(超细);
华为认证必备知识文档(pdf);
网工必备知识文档合集;
网工必备工具包;
网工必备实验包;
网工必备视频面试包。
……
资料有点多 我就不全列出来了,先写到这,需要资料或者是有任何问题,都可以欢留言、私信交流讨论~