1）什么是IP地址,？
　　IP地址即：也可以稱為互聯(lián)網(wǎng)地址或Internet地址。是用來唯一標(biāo)識互聯(lián)網(wǎng)上計算機的邏輯地址,。每臺連網(wǎng)計算機都依靠IP地址來標(biāo)識自己,。就很類似于我們的電話號碼樣的。通過電話號碼來找到相應(yīng)的電話,。全世界的電話號碼都是唯一的,。IP地址也是一樣。

　　2）IP地址的特性：
　　IP地址必須唯一,，每臺連網(wǎng)計算機都依靠IP地址來互相區(qū)分,、相互聯(lián)系，網(wǎng)絡(luò)設(shè)備根據(jù)IP地址幫你找到目的端,。IP地址由統(tǒng)一的組織負(fù)責(zé)分配,，任何個人都不能隨便使用。

　　3）IP地址的表示：4個以小數(shù)點隔開的十進(jìn)制整數(shù)就是一個IP地址,。每部分的十進(jìn)制的整數(shù)實際上由8個二進(jìn)制數(shù)組成,。所以每個數(shù)字最大為255，最小為0,。



　　4）IP的結(jié)構(gòu)和分類：在IP地址的這四部分中,，又可以分成兩部分，一部分是網(wǎng)絡(luò)號Network（用來標(biāo)識網(wǎng)絡(luò)）,，一部分是主機號（標(biāo)識在某個網(wǎng)絡(luò)上的一臺特定的主機）,。大家可能會問，那在這四部分中,，哪部分表示網(wǎng)絡(luò),，哪部分表示主機呢？因此在這,，我們把IP地址分成A,、B、C類,。



　　A類地址,，第一組表示網(wǎng)絡(luò),，后面三組表示主機。
　　B類地址,，第一,，二組表示網(wǎng)絡(luò)，后面兩組表示主機,。
　　C類地址,，第一，二,，三組表示網(wǎng)絡(luò),，最后一組表示主機。



　　5）什么是掩碼：為 了確定IP地址的網(wǎng)絡(luò)號和主機號是如何劃分的,。也就是說在一個IP地址中,，通過掩碼來決定哪部分表示網(wǎng)絡(luò)，那部分表示主機,。大家規(guī)定,，用“1”代表網(wǎng)絡(luò)部 分，用“0”代表主機部分,。也就是說,，計算機通過IP地址和掩碼才能知道自己是在哪個網(wǎng)絡(luò)中。所以掩碼很重要,，必須配置正確,，否則的話，就得出錯誤的網(wǎng)絡(luò) 地址了,。



　　6）什么是默認(rèn)網(wǎng)關(guān)（default gateway ）：它 是與主機連在同一個子網(wǎng)的路由器的IP地址,。如下圖所示，假設(shè)我們在網(wǎng)絡(luò)一,，有個數(shù)據(jù)包要給網(wǎng)絡(luò)二中的機器,這個數(shù)據(jù)包必須先給和我們相連的路由器的那個 端口,。也就是圖中紅圈所示。由它轉(zhuǎn)給網(wǎng)絡(luò)二中的主機,。就很類似于我們寄信，不需要自己親自把信送過去,，只需交給郵遞員就行了,。由郵遞員再進(jìn)行轉(zhuǎn)遞。所以在 配置計算機中必須也要把這個配置正確,。否則的話,，計算機不知道該把數(shù)據(jù)包轉(zhuǎn)到那去?！?br>


　　7）IP地址的獲得：有兩種方式,，一種是靜態(tài)方式，一種是動態(tài)方式。
　　靜態(tài)
　　動態(tài)
　　由網(wǎng)絡(luò)管理者分配
　　目前一般使用DHCP技術(shù)比較多


隨著這些年網(wǎng)絡(luò)的發(fā)展,，越來越多的企業(yè)都組建了內(nèi)部局域網(wǎng),，來實現(xiàn)自動化無紙辦公等高效率、低成本的運營和管理,。很多新成立的中小企業(yè)以及一些以前沒有 組網(wǎng)的老企業(yè),，現(xiàn)在也都紛紛組建企業(yè)局域網(wǎng)，企業(yè)中“無網(wǎng)不利”已經(jīng)成為大勢所趨,。但是這些企業(yè)由于原來并沒有網(wǎng)絡(luò)管理和規(guī)劃的經(jīng)驗,，很多新上任的網(wǎng)管對 IP地址的規(guī)劃管理不夠重視，以至于在以后需要擴展網(wǎng)絡(luò)或增加服務(wù)時造成很多不便,，而且隨著時間的推移,，沒有結(jié)構(gòu)化的編制對日常的維護管理也會逐漸增加難 度。所以,，本文將對IP地址的分配和管理等方面做一個介紹,，讓我們先來看看地址分配的幾個基本規(guī)則。

　　規(guī)則一：體系化編址

體系化其實就是結(jié)構(gòu)化,、組織化,，根據(jù)企業(yè)的具體需求和組織結(jié)構(gòu)為原則對整個網(wǎng)絡(luò)地址進(jìn)行有條理的規(guī)劃。一般這個規(guī)劃的過程是由大局,、整體著眼,，然后逐級 由大到小分割、劃分的,。這其實跟實際的物理地址分配原則是一樣的,，肯定是先劃分省市、再細(xì)分割出縣區(qū),、再細(xì)分出道路,、再來是街巷，最后是門牌,。從網(wǎng)絡(luò)總體 來說,，體系化編制由于相鄰或者具有相同服務(wù)性質(zhì)的主機或辦公群落都在IP地址上也是連續(xù)的，這樣在各個區(qū)塊的邊界路由設(shè)備上便于進(jìn)行有效的路由匯總,，使整 個網(wǎng)絡(luò)的結(jié)構(gòu)清晰,，路由信息明確，也能減小路由器中的路由表,。而每個區(qū)域的地址與其他的區(qū)域地址相對獨立,，也便于獨立的靈活管理。

注：將多條子路由條目匯總成一條都包含其內(nèi)的總路由條目,，這就是路由匯總或叫路由歸納,。路由器在檢查計算路由時是比較消耗資源的,，路由條目越多，路由表越 長,，則這個過程耗時越多,，所以通過路由匯總減少路由表的長度，對提高路由器工作效率是很有幫助的,。能不能進(jìn)行有效的路由匯總,、匯總的效率如何，都跟網(wǎng)絡(luò)結(jié) 構(gòu)中IP地址網(wǎng)段的分布有密切關(guān)系,。IP地址的部署越連續(xù)而有條理,，則路由匯總越容易也越有效，所以我們在部署網(wǎng)絡(luò)時應(yīng)該重視體系化編址,。在子網(wǎng)環(huán)境中,， 當(dāng)網(wǎng)絡(luò)地址是以2的指數(shù)形式的連續(xù)區(qū)塊時，路由歸納是最有效的,。

　　規(guī)則二：可持續(xù)擴展性

其實就是在初期規(guī)劃時為將來的網(wǎng)絡(luò)拓展考慮,，眼光要放得長遠(yuǎn)一些，在將來很可能增大規(guī)模的區(qū)塊中要留出較大的余地,。IP地址最開始是按有類劃分的,，A、 B,、C各類標(biāo)準(zhǔn)網(wǎng)段都只能嚴(yán)格按照規(guī)定使用地址,。但現(xiàn)在發(fā)展到了無類階段，由于可以自由規(guī)劃子網(wǎng)的大小和實際的主機數(shù),，所以使得地址資源分配的更加合理,， 無形中就增大了網(wǎng)絡(luò)的可拓展性。雖然在網(wǎng)絡(luò)初期的一段可能很長的時間里,，未合理考慮余量的IP地址規(guī)劃也能滿足需要,，但是當(dāng)一個局部區(qū)域出現(xiàn)高增長，或者 整體的網(wǎng)絡(luò)規(guī)模不斷增大,，這時不合理的規(guī)劃很可能必須重新部署局部甚至整體的IP地址,，這在一個中、大型網(wǎng)絡(luò)中就絕不是一個輕松的工作了,。

　　在這里讓我們對IP地址,、掩碼、子網(wǎng)等概念做個簡述,，以便于理解無類地址劃分的意義。

IPv4－網(wǎng)際協(xié)議版本4（Internet Protocol Version 4）是現(xiàn)行的IP協(xié)議,。其地址通常用以圓點分隔號的4個十進(jìn)制數(shù)字表示,，每一個數(shù)字對應(yīng)于8個二進(jìn)制的比特串,，稱為一個位組（octets）。如某一臺主 機的IP地址為：128.10.2.1寫成二進(jìn)制則為10000000.00001010.00000010.00000001,。

　　網(wǎng)絡(luò)地址分為5類：

　　1.A類地址：4個8位位組（octets）中第一個octet代表網(wǎng)絡(luò)號,，剩下的3個代表主機位。范圍是0xxxxxxx,，即0到127,。

　　2.B類地址：前2個octets代表網(wǎng)絡(luò)號，剩下的2個代表主機位,。范圍是10xxxxxx,，即128到191。

　　3.C類地址：前3個octets代表網(wǎng)絡(luò)號,，剩下的1個代表主機位,。范圍是110xxxxx，即192到223,。

　　4.D類地址：多播地址,，范圍是224到239。

　　5.E類地址：保留地址,，實驗用,，范圍是240到255。

　　一些特殊的IP地址：

　　1.IP地址127.0.0.1：本地回環(huán)（loopback）測試地址

　　2.廣播地址：255.255.255.255

　　3.IP地址0.0.0.0：代表任何網(wǎng)絡(luò)

　　4.網(wǎng)絡(luò)號全為0：代表本網(wǎng)絡(luò)或本網(wǎng)段

　　5.網(wǎng)絡(luò)號全為1：代表所有的網(wǎng)絡(luò)

　　6.主機位全為0：代表某個網(wǎng)段的任何主機地址

　　7.主機位全為1：代表該網(wǎng)段的所有主機

　　私有IP地址（private IP address）：為了節(jié)約IP地址空間,，并增加了安全性,，保留了一些IP地址段作為私網(wǎng)IP，不會在公網(wǎng)上出現(xiàn),。處于私有IP地址的網(wǎng)絡(luò)稱為內(nèi)網(wǎng)或私網(wǎng),，與外部進(jìn)行通信就必須通過網(wǎng)絡(luò)地址翻譯（NAT）。


　　一些私有地址的范圍：

　　1.A類地址中：10.0.0.0到10.255.255.255.255

　　2.B類地址中：172.16.0.0到172.31.255.255

　　3.C類地址中：192.168.0.0到192.168.255.255

無類IP地址：首先要了解Subnet Masks（子網(wǎng)掩碼）,，它用于辨別IP地址中哪部分為網(wǎng)絡(luò)地址,，哪部分為主機地址，由1和0組成,，長32位,，全為1的位代表網(wǎng)絡(luò)號。不是所有的網(wǎng)絡(luò)都需 要子網(wǎng),，因此就引入1個概念：默認(rèn)子網(wǎng)掩碼（default subnet mask）,。A類IP地址的默認(rèn)子網(wǎng)掩碼為255.0.0.0（由于255相當(dāng)于二進(jìn)制的8位1，所以也縮寫成“/8”,，表示網(wǎng)絡(luò)號占了8位）,；B類的為 255.255.0.0（/16）；C類的為255.255.255.0（/24）,。

　　而無類的IP子網(wǎng)不使用默認(rèn)子網(wǎng)掩碼,，而是可以 自由劃分網(wǎng)絡(luò)位和主機位,，完全打破了A、B,、C這樣的固定類別劃分,。如這樣的地址：192.168.10.32/28，它的掩碼是 255.255.255.240,，最后一位組是11110000,，也就是只剩后4位為主機位，前面28位為網(wǎng)絡(luò)位,，由于192.x.x.x屬于C類地址,， 默認(rèn)24位掩碼，也就說這里多用了4位作為網(wǎng)絡(luò)位,。使用這樣子網(wǎng)掩碼可以得到“2的x次方-2（x代表多占的掩碼位,，這里是4）”＝14個子網(wǎng)，這里減掉 的2個為全0和全1的網(wǎng)段,，每個子網(wǎng)包含“2的y次方-2（y代表主機位,，這里也是4）”＝14臺主機，這里減掉的2個是主機位全0和全1的地址,。這樣本 來的一個C類子網(wǎng)被劃分成了14個可用小子網(wǎng)（在某些情況下,，初始的全0網(wǎng)段也是可用的，在Cisco路由器中使用IP SUBNET-ZERO命令之后,你就能使用全0網(wǎng)段,，這樣可以得到15個可用子網(wǎng)）,。可以看到,，當(dāng)需要的每個子網(wǎng)中主機數(shù)比較少時,，可以用這種辦法節(jié)約 IP資源，得到更多的子網(wǎng),。在實際使用中,，如你給一個點對點的連接中兩端的設(shè)備分配IP地址，如果你嚴(yán)格按照有類別的子網(wǎng)劃分去分配地址,，那么你只能分一 個C類子網(wǎng)給它,，一個C類網(wǎng)包含254（即2的8次方－2）個可用地址，而你只使用2個,，那么將浪費252個可用地址,。這時如果使用/30的掩碼，則一個 子網(wǎng)只包含2（即2的2次方－2）個有效地址,，這樣劃分出來的其他子網(wǎng)地址還可利用,。


　　超網(wǎng)（supernetting） ：超網(wǎng)是與子網(wǎng)類似的概念（也可以說是相對的概念），IP地址根據(jù)子網(wǎng)掩碼被分為獨立的網(wǎng)絡(luò)地址和主機地址。但是,，與子網(wǎng)把大網(wǎng)絡(luò)分成若干小網(wǎng)絡(luò)相反,，它 是把一些小網(wǎng)絡(luò)組合成一個大網(wǎng)絡(luò)——超網(wǎng)?？梢哉f超網(wǎng)是一個地址聚合的概念，它和路由匯總有緊密的關(guān)系,。關(guān)于路由匯總和超網(wǎng)的計算方法這里簡略說明一下,。 如，一路由器的路由表中有如下幾個條目：

　　目的IP地址　　　　　　掩碼　　　下一跳（或網(wǎng)關(guān)）

　　192.168.0.0     255.255.255.0   10.1.1.2

　　192.168.1.0     255.255.255.0   10.1.1.2

　　192.168.2.0     255.255.255.0   10.1.1.4

其中前兩條下一跳地址相同,，可以想象這兩個子網(wǎng)是掛在一個路由器下面的,，那么這兩條路由可以匯總為：目的IP地址192.168.0.0，掩碼 255.255.254.0,，下一跳10.1.1.2這樣的一條路由,。為什么不能寫成 192.168.0.0  255.255.0.0  10.1.1.2呢？因為這樣的匯總不精確,，它包含了那個路由器下實際上并不存在的一些子網(wǎng) （192.168.2.0～192.168.255.0）,，其中最明顯的就是路由表中192.168.2.0這個子網(wǎng)就是在10.1.1.4下面，那么路 由就會出錯了,。那么路由匯總中的掩碼是怎么算的呢,？

　　我們都知道IPv4的地址是由4段8位的二進(jìn)制數(shù)組成，一部分是網(wǎng)絡(luò)位,，一部分是 主機位,。其對應(yīng)的子網(wǎng)掩碼網(wǎng)絡(luò)位部分就是全1的二進(jìn)制數(shù)，而主機位就是全0的二進(jìn)制數(shù),。每個信息包在過路由器時會檢查其目的IP,，和路由表中路由條目的子 網(wǎng)掩碼做“與”運算，并與路由條目中目的IP進(jìn)行比對,，相同的就按照這條路由規(guī)則轉(zhuǎn)發(fā),，不相同的就再檢查比對下一條?？梢钥闯鑫覀冏龅膮R總路由的操作,，就 是將多條路由條目中目的IP相同的網(wǎng)絡(luò)位提取出來寫成一條。如上面路由表中的第一條：目的IP為192.168.0.0,；第二條：目的IP為 192.168.1.0,。我們只提取了前面的兩段192.168，而后面的第三段網(wǎng)絡(luò)位中還是有相同的部分的,。192.168.0.0中第三段寫成二進(jìn)制 數(shù)為00000000（8位0）,，182.168.1.0中第三段寫成二進(jìn)制數(shù)為00000001（7位0，1位1）,，那么它們的前7位是相同的,，在對應(yīng) 的子網(wǎng)掩碼位置上就應(yīng)該是11111110（7位1,，1位0），合成十進(jìn)制為254,。所以這條匯總路由應(yīng)該寫成：目的IP為192.168.0.0,，子網(wǎng) 掩碼255.255.254.0，下一跳10.1.1.2,。這樣,，這條匯總路由只包含192.168.0.0和192.168.1.0兩個子網(wǎng)，是一條精 確的匯總路由,。這時發(fā)送到192.168.2.0網(wǎng)段的信息包,，其第三段網(wǎng)絡(luò)位寫成二進(jìn)制為00000010（前6位0），就不包含在這條精確的匯總路由 內(nèi)了,。

　　規(guī)則三：按需分配公網(wǎng)IP

　　相對于私有IP而言,，公網(wǎng)IP是不能由自己 完全做主要求的，而是ISP等機構(gòu)統(tǒng)一分配和租用的,。這就造成了公網(wǎng)IP要稀缺的多,，所以對公網(wǎng)IP必須按實際需求來分配。如：對外提供服務(wù)的服務(wù)器群組 區(qū)域,，不僅要夠用,，還得預(yù)留出余量；而員工部門等僅需要瀏覽Internet等基本需求的區(qū)域,，可以通過NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）來多個節(jié)點共享一個或幾個 公網(wǎng)IP,；最后，那些只對內(nèi)部提供服務(wù),，或只限于內(nèi)部通訊的主機自然不用分配公網(wǎng)IP了,。公網(wǎng)IP具體的分配，必須根據(jù)實際的需求,，進(jìn)行合理的規(guī)劃,。

注：NAT（Network Address Translation）是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。內(nèi)部網(wǎng)絡(luò)用戶連接互聯(lián)網(wǎng)時,，NAT將用戶的內(nèi)部私有IP地 址轉(zhuǎn)換成一個外部公網(wǎng)IP地址,；反之，數(shù)據(jù)從外部返回時,，NAT反向?qū)⒛繕?biāo)地址替換成初始的內(nèi)部用戶的地址,。其中的過程基于地址端口的一張記錄表，使返回 的地址端口信息和發(fā)出的信息能對照起來?，F(xiàn)在市面上的寬帶路由共享設(shè)備就是基于這個技術(shù)來使局域網(wǎng)多臺PC共享一個公網(wǎng)IP的,。并且由于NAT隱藏了內(nèi)部 IP地址，所以構(gòu)成了一個天然的防火墻，使得外網(wǎng)用戶無法直接看到內(nèi)網(wǎng)主機,。正是由于這個原因,，使得一些主機上的對外服務(wù)不能被外網(wǎng)用戶直接訪問到，由此 出現(xiàn)了端口映射的概念,。這時必須通過端口映射將其內(nèi)網(wǎng)主機對外服務(wù)端口映射到公網(wǎng)IP上,，這樣外網(wǎng)用戶再訪問你的公網(wǎng)IP服務(wù)端口時，路由器才會自動將訪 問轉(zhuǎn)移到映射的主機上,。

　　另外,，由于現(xiàn)在的IPv4網(wǎng)絡(luò)正在向IPv6過渡，將來很可能出現(xiàn)一段很長的IPv4和IPv6共存的時期,，所以現(xiàn)在構(gòu)建網(wǎng)絡(luò)時應(yīng)盡量考慮到對IPv6的兼容性，選擇能支持IPv6的設(shè)備和系統(tǒng),，以降低升級過渡時的成本,。

　　靜態(tài)和動態(tài)分配地址的選擇

　　在何種環(huán)境下使用靜態(tài)或動態(tài)分配IP，這個問題需要從這兩類分配機制的優(yōu)缺點談起,。

第一,，動態(tài)分配地址由于地址是由DHCP服務(wù)器分配的，便于集中化統(tǒng)一管理,，并且每一個新接入的主機都能夠通過非常簡單的操作就可以正確獲得IP地址,、 子網(wǎng)掩碼、缺省網(wǎng)關(guān),、DNS等參數(shù),，在管理的工作量上比靜態(tài)地址要減少很多，而且越大的網(wǎng)絡(luò)越明顯,。而靜態(tài)分配就正好相反,，需要先指定好那些主機要用到那 些IP，絕對不能重復(fù)了,，然后再去客戶主機上挨個設(shè)置必要的網(wǎng)絡(luò)參數(shù),，并且當(dāng)主機區(qū)域遷移時，還要記錄釋放IP,，并重分配新的區(qū)域IP和配置網(wǎng)絡(luò)參數(shù),。這 需要一張詳細(xì)記錄IP地址資源使用情況的表格，并且要根據(jù)變動實時更新,，否則很容易出現(xiàn)IP沖突等問題,，可以想見這在一個大規(guī)模的網(wǎng)絡(luò)中工作量是多么可 怕。但是在一些特定的區(qū)塊,，如服務(wù)器群區(qū)域,，每臺服務(wù)器都有一個固定的IP地址這在絕大多數(shù)情況下都是必須的。當(dāng)然，也可以使用DHCP的地址綁定功能或 者動態(tài)域名系統(tǒng)來實現(xiàn)類似的效果,。

　　第二,，動態(tài)分配IP，可以做到按需分配地址,，當(dāng)一個IP地址不被主機使用時,，能釋放出來供別的新接 入主機使用，這樣可以在一定程度上高效利用好IP資源,。DHCP的地址池只要能滿足同時使用的IP峰值即可,。靜態(tài)分配必須考慮更大的使用余量，很多臨時不 接入網(wǎng)絡(luò)的主機并不會釋放掉IP,，而且由于是臨時性的斷開和接入,，手動去釋放和添加IP等參數(shù)明顯是受累不討好的工作，所以這時必須考慮使用更大的IP地 址段,，確保有足夠的IP資源,。

　　第三，動態(tài)分配要求網(wǎng)絡(luò)中必須有一臺或幾臺穩(wěn)定且高效的DHCP服務(wù)器,，因為當(dāng)IP管理和分配集中的同 時,，故障點也相應(yīng)集中起來了，只要網(wǎng)絡(luò)中的DHCP服務(wù)器出現(xiàn)故障,，整個網(wǎng)絡(luò)都有可能癱瘓,，所以在很多網(wǎng)絡(luò)中DHCP服務(wù)器不止一臺，而是另有一臺或一組 熱備份的DHCP服務(wù)器,，在平時還可以分擔(dān)地址分配的工作量,。另外，客戶機在與DHCP服務(wù)器通信時,，如：地址申請,、續(xù)約和釋放等，都會產(chǎn)生一定的網(wǎng)絡(luò)流 量,，雖然不大,，但是還是要考慮到的。而靜態(tài)分配就沒有上面的這兩個缺點,，而且靜態(tài)地址還有一個最吸引人的優(yōu)點,，就是比動態(tài)分配更加容易定位故障點。在大多 數(shù)情況下,，企業(yè)網(wǎng)管在使用靜態(tài)地址分配時,，都會有一張IP地址資源使用表，所有的主機和特定IP都會一一對應(yīng)起來,，出現(xiàn)了故障或者對某些主機進(jìn)行控制管理 時都比動態(tài)地址分配的要簡單的多了,。

　　注：做DHCP服務(wù)器冗余時要注意,，為了防止多臺DHCP服務(wù)器為不同的客戶機分配同一個IP地 址，應(yīng)該將該子網(wǎng)的IP段分割成幾個部分,，然后分別分配到各個DHCP服務(wù)器的作用域中,，多臺DHCP服務(wù)器的地址池不能有重疊。另外,，還得保證即使只有 單臺DHCP工作時,，所提供的IP地址也足夠網(wǎng)絡(luò)中客戶機的需要。也就是說每個分割開的地址池都要比實際需求的地址量要大,，這樣才能保證最大的冗余性,。

到底何種情況使用動態(tài)分配,，何種使用靜態(tài)呢？肯定要按實際的網(wǎng)絡(luò)結(jié)構(gòu)和需求來考慮,，其中最重要的一個決定因素應(yīng)該是網(wǎng)絡(luò)規(guī)模的大小,，這是直接決定網(wǎng)管員 工作量的因素,。所以簡單的說,，大型企業(yè)和遠(yuǎn)程訪問的網(wǎng)絡(luò)適合動態(tài)地址分配,，而小企業(yè)網(wǎng)絡(luò)和那些對外提供服務(wù)的主機適合用靜態(tài)地址分配。

　　看了前面的敘述,，讀者可能覺得很枯燥，下面我們舉個簡單的例子來說明企業(yè)中大致哪些區(qū)域需要部署哪些IP資源,，這樣會容易理解一些,。



示意圖中以職能共劃分為3個區(qū)域：對外公共服務(wù)器群組、內(nèi)部服務(wù)器群組和內(nèi)網(wǎng)客戶端區(qū)域,。這個示意圖雖然簡單,，但是代表了大多數(shù)企業(yè)的網(wǎng)絡(luò)基本構(gòu)架。其 中內(nèi)網(wǎng)客戶端區(qū)域部署私有IP地址,，然后根據(jù)其數(shù)量和組織規(guī)模等因素來選擇網(wǎng)段,，并決定是否使用DHCP動態(tài)IP分配。其中,，需要訪問Internet的 客戶端可以通過NAT技術(shù)實現(xiàn),，一般在企業(yè)防火墻后面另配置一個NAT設(shè)備（可能是代理服務(wù)器或路由器等），在其上配置一個NAT池放置適當(dāng)?shù)墓W(wǎng)IP以 供內(nèi)網(wǎng)機訪問Internet的需要,。還可在其上或其連接的下層3層交換機,、路由器等設(shè)備上做ACL（訪問控制列表），以限制內(nèi)網(wǎng)機訪問Internet 的權(quán)限,。內(nèi)網(wǎng)服務(wù)器區(qū)域由于只對內(nèi)網(wǎng)用戶提供服務(wù),，所以不需要公網(wǎng)IP也不需要過NAT，而且因其職能應(yīng)該部署固定的私有IP,。其中如果由于整體網(wǎng)絡(luò)規(guī)模 較大,，內(nèi)網(wǎng)服務(wù)器區(qū)與客戶端區(qū)之間隔著路由器,，那當(dāng)使用DHCP服務(wù)器時，還要注意DHCP的過程使用了廣播包,，而路由器隔絕廣播,，這時需要在路由器上配 置DHCP中繼代理（在Cisco路由器需要的端口上使用ip-help address <DHCP服務(wù)器IP>即可打開中繼代理）。這樣對于客戶端來說,，得到IP地址的過程和訪問本地DHCP沒有什么區(qū)別,，也就是說DHCP中繼 代理對客戶端而言是透明的。最后的DMZ區(qū)域放置著對外提供服務(wù)的服務(wù)器群組,，這部分自然是部署固定的公網(wǎng)IP,。當(dāng)然，可能由于使用服務(wù)器集群等冗余和負(fù) 載均衡措施,，會使IP地址的分配策略稍有不同,。一個典型的企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)中，IP地址資源的分配和部署便大致如此了,，細(xì)節(jié)部分肯定會因?qū)嶋H情況而不同,，但是 大的方向是不會有什么變化的。

　　總結(jié)：初期的IP地址規(guī)劃和分配在整個網(wǎng)絡(luò)的維護和擴展的難易度中,，占了舉足輕重的地位,，會直接影響到后期維護、升級,、運作的效率,。所以請各位網(wǎng)管和網(wǎng)絡(luò)規(guī)劃人員千萬不能等閑視之。


　　解決IP地址沖突的完美方法

　　使用的方法是采用DHCP方式為用戶分配IP,，然后限定這些用戶只能使用動態(tài)IP的方式,，如果改成靜態(tài)IP的方式則不能連接上網(wǎng)絡(luò)；也就是使用了DHCP SNOOPING功能,。

　　例子：
　　version 12.1
　　no service pad
　　service timestamps debug uptime
　　service timestamps log uptime
　　no service password-encryption
　　service compress-config
　　!
　　hostname C4-2_4506
　　!
　　enable password xxxxxxx!
　　clock timezone GMT 8
　　ip subnet-zero


　　no ip domain-lookup
　　!
　　ip dhcp snooping vlan 180-181 // 對哪些VLAN 進(jìn)行限制
　　ip dhcp snooping
　　ip arp inspection vlan 180-181
　　ip arp inspection validate src-mac dst-mac ip

　　errdisable recovery cause udld
　　errdisable recovery cause bpduguard
　　errdisable recovery cause security-violation
　　errdisable recovery cause channel-misconfig
　　errdisable recovery cause pagp-flap
　　errdisable recovery cause dtp-flap
　　errdisable recovery cause link-flap
　　errdisable recovery cause l2ptguard
　　errdisable recovery cause psecure-violation
　　errdisable recovery cause gbic-invalid
　　errdisable recovery cause dhcp-rate-limit
　　errdisable recovery cause unicast-flood
　　errdisable recovery cause vmps
　　errdisable recovery cause arp-inspection
　　errdisable recovery interval 30
　　spanning-tree extend system-id
　　!
　　!

　　interface GigabitEthernet2/1 // 對該端口接入的用戶進(jìn)行限制,，可以下聯(lián)交換機
　　ip arp inspection limit rate 100
　　arp timeout 2
　　ip dhcp snooping limit rate 100
　　!


　　interface GigabitEthernet2/2
　　ip arp inspection limit rate 100
　　arp timeout 2
　　ip dhcp snooping limit rate 100
　　!
　　interface GigabitEthernet2/3
　　ip arp inspection limit rate 100
　　arp timeout 2
　　ip dhcp snooping limit rate 100
　　!
　　interface GigabitEthernet2/4
　　ip arp inspection limit rate 100
　　arp timeout 2
　　ip dhcp snooping limit rate 100

　　注：DHCP Snooping

　　DAI，Dynamic ARP Inspection

　　IP Source Guard

　　DHCP Interface Tracker (Option 82)

　　設(shè)備局限很大,，3550——4000系列之間能用,，用來防止基于內(nèi)部的2層攻擊，同一VLAN防止私自建立DHCP SERVER,。