網(wǎng)絡(luò)管理員每天必須應(yīng)付各種各樣的IP地址管理問題。如何輕松管理它們呢，其中是有技巧可尋的。

　　自動分配IP

　　現(xiàn)在接入網(wǎng)絡(luò)的設(shè)備數(shù)量成幾何數(shù)目增長,相當(dāng)一部分的網(wǎng)絡(luò)仍通過DNS服務(wù)和數(shù)據(jù)表格跟蹤來管理IP地址。當(dāng)網(wǎng)絡(luò)發(fā)生變化時,網(wǎng)絡(luò)管理員必須手工編輯數(shù)據(jù)表格中的條目,修改工作站或網(wǎng)絡(luò)設(shè)備的配置，然后再修改DNS服務(wù)中相應(yīng)的配置條目。隨著網(wǎng)絡(luò)的擴(kuò)展,這種工作將變得越來越難以負(fù)擔(dān),并極易發(fā)生錯誤。

　　建議采用基于動態(tài)主機(jī)配置協(xié)議DHCP(Dynamic Host Configuration Protocol)的IP地址管理解決方案，實(shí)現(xiàn)動態(tài)管理IP地址, 從而自動處理大部分由于網(wǎng)絡(luò)變化引起的與配置IP地址相關(guān)的工作。這將有效地減少網(wǎng)絡(luò)運(yùn)營費(fèi)用，同時避免發(fā)生像IP地址重復(fù)這樣的錯誤。自動分配IP地址將會使像接入或移出網(wǎng)絡(luò)設(shè)備這樣的工作變得輕而易舉。 

　　高效擴(kuò)展網(wǎng)絡(luò)

　　當(dāng)今各大公司網(wǎng)絡(luò)的擴(kuò)展是極其迅猛的,同時對網(wǎng)絡(luò)IP地址和名字空間的有序性和可靠性也提出了更高的要求。

　　1．支持不同類型的網(wǎng)絡(luò)平臺
　　現(xiàn)在常用的網(wǎng)絡(luò)平臺，有WindowsNT、Linux、Unix、NetWare等，一個企業(yè)級的解決方案必須能在所有的平臺上支持DNS和DHCP，這樣才能在構(gòu)建網(wǎng)絡(luò)時完全不必考慮采用不同平臺對IP管理所帶來的影響。

　　2．允許以漸進(jìn)的方式安裝使用
　　如果沒有這個承諾，安裝IP地址管理解決方案將要求整個公司的網(wǎng)絡(luò)在一段時間內(nèi)同時進(jìn)行全面的檢查和調(diào)整，由此帶來的長時間的網(wǎng)絡(luò)癱瘓對相當(dāng)多的公司來說是難以想象的。

　　3．支持網(wǎng)絡(luò)將來的擴(kuò)展
　　在公司不斷增長的情況下，能夠保持網(wǎng)絡(luò)框架的完整性是非常重要的。

　　整合網(wǎng)絡(luò)設(shè)施

　　目前，網(wǎng)絡(luò)發(fā)展的一個趨勢是將DNS、DHCP等網(wǎng)絡(luò)服務(wù)分散到網(wǎng)絡(luò)的下層子網(wǎng)中去，新的管理方式必須做到以下幾點(diǎn)：

　　1. 對分布的網(wǎng)絡(luò)服務(wù)進(jìn)行管理
　　在沒有一個集中管理模式的情況下，網(wǎng)絡(luò)管理員必須用telnet通過多重DNS和DHCP來獲取遠(yuǎn)程網(wǎng)絡(luò)的運(yùn)行情況。為了提高這一工作的效率，他們需要一個能顯示所有分布式網(wǎng)絡(luò)服務(wù)的單一界面，而無需知道它們所在何處。

　　2. 集中管理和本地網(wǎng)絡(luò)管理相結(jié)合
　　對于一個集中網(wǎng)絡(luò)管理系統(tǒng)，它將在分配、管理整個網(wǎng)絡(luò)范圍內(nèi)的IP地址和名字空間的同時，授權(quán)給本地網(wǎng)絡(luò)的管理員管理本地網(wǎng)絡(luò)的日常工作，當(dāng)然對本地網(wǎng)絡(luò)管理員進(jìn)行權(quán)限控制以確保只能管理他所負(fù)責(zé)的網(wǎng)絡(luò)資源也是非常重要的。 

　　建立應(yīng)急機(jī)制

　　網(wǎng)絡(luò)控制跟不上網(wǎng)絡(luò)發(fā)展后經(jīng)常出現(xiàn)的一個問題就是IP地址重復(fù)。用手工方式為新計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備分配IP地址不但費(fèi)時而且容易發(fā)生錯誤。

　　在動態(tài)分配IP地址的解決方案中為了保證高可用性一般采取將可分配的IP地址放在兩個DHCP中分配，當(dāng)主用DHCP失效時，另一個備份DHCP可以接替主用DHCP繼續(xù)分配IP地址，當(dāng)然這種方式要求保留冗余的IP地址給備份的DHCP。另外，網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)的控制必須具有高可用性，不管網(wǎng)絡(luò)管理員在什么地方，他都能夠隨時對網(wǎng)絡(luò)進(jìn)行管理控制。

　　用戶權(quán)限管理

　　TCP/IP協(xié)議的廣泛采用導(dǎo)致了IP相關(guān)應(yīng)用程序的極大增長，用戶通過分布式網(wǎng)絡(luò)訪問各種網(wǎng)絡(luò)服務(wù)和應(yīng)用程序。大多數(shù)應(yīng)用程序的權(quán)限管理是基于IP地址而不是基于用戶的。在動態(tài)分配IP地址的網(wǎng)絡(luò)環(huán)境中，或在多個雇員合用一臺計(jì)算機(jī)的情況下，采用基于IP地址的權(quán)限管理是不合適的，因?yàn)橛脩艉虸P地址之間并沒有穩(wěn)定的聯(lián)系，這使我們陷入兩難的境地：或者犧牲效率，采用復(fù)雜的多重身份鑒定方式；或者為了保證效率，犧牲安全性。

　　對于某些網(wǎng)絡(luò)應(yīng)用，例如瀏覽Web主頁，可能會想設(shè)定使用權(quán)限但又不想采用復(fù)雜的多重身份鑒定。把網(wǎng)絡(luò)安全程序與對用戶透明的動態(tài)IP分配方式相結(jié)合就可以完成這一任務(wù)，通過這一結(jié)合，防火墻可以實(shí)現(xiàn)基于策略的網(wǎng)絡(luò)管理，從而可以把網(wǎng)絡(luò)安全設(shè)施集中使用在最需要保護(hù)的網(wǎng)絡(luò)資源上。

　　將遠(yuǎn)程用戶接入IP網(wǎng)絡(luò)

　　在我們出差時，經(jīng)常需要采用遠(yuǎn)程接入服務(wù)RAS（Remote Access Services）訪問公司的網(wǎng)絡(luò)。接通后，通過遠(yuǎn)程撥入用戶身份鑒別服務(wù)RADIUS(Remote Authentication Dial-In User Service)進(jìn)行身份鑒別。這種接入方式在IP地址分配方面存在一些問題。通常遠(yuǎn)程接入服務(wù)從DHCP獲取動態(tài)IP地址，并在身份鑒別后分配給遠(yuǎn)程用戶，但當(dāng)遠(yuǎn)程用戶退出網(wǎng)絡(luò)后，這些IP地址卻得不到釋放，其結(jié)果就是可用IP地址的緩慢流失。所以，不斷增長的遠(yuǎn)程接入服務(wù)要求新的IP地址管理解決方案能夠更好地將遠(yuǎn)程用戶整合到網(wǎng)絡(luò)當(dāng)中，以防止IP地址的浪費(fèi)。

　　執(zhí)行新的目錄服務(wù)

　　在支持目錄服務(wù)的網(wǎng)絡(luò)中，所有網(wǎng)絡(luò)設(shè)備的配置信息都被存儲在一個數(shù)據(jù)庫當(dāng)中，每個網(wǎng)絡(luò)設(shè)備都有一個虛擬的位置，目錄服務(wù)模塊將數(shù)據(jù)傳輸給這一虛擬位置。這樣，在理論上可以對網(wǎng)絡(luò)信息管理實(shí)現(xiàn)標(biāo)準(zhǔn)化。

　　大多數(shù)網(wǎng)絡(luò)由來自不同廠商的交換機(jī)、路由器和管理工具組成，但網(wǎng)絡(luò)供應(yīng)商一般只為全部使用自己提供的軟件和硬件的網(wǎng)絡(luò)設(shè)計(jì)來實(shí)現(xiàn)目錄服務(wù)功能。所以，為了實(shí)現(xiàn)目錄服務(wù)功能，在采購網(wǎng)絡(luò)產(chǎn)品方面必須考慮這一因素。

　　IP地址管理將與目錄服務(wù)相結(jié)合是大勢所趨，事實(shí)上，微軟就應(yīng)用了這種結(jié)構(gòu)，將Active Directory結(jié)合到DNS中。為了保護(hù)對IP地址管理系統(tǒng)的投資，新購買的系統(tǒng)應(yīng)包括一個支持LDAP的信息庫和一個數(shù)據(jù)圖表，這樣就能在將來順利地將它和目錄服務(wù)相結(jié)合。

　　建立新的管理方式

　　在建立以用戶為中心的管理方式方面，IP地址管理解決方案應(yīng)能夠在動態(tài)分配IP地址的同時，明確IP地址和用戶之間的聯(lián)系。以此為基礎(chǔ)，網(wǎng)絡(luò)將具有開放的擴(kuò)展性，可以靈活地選用各種網(wǎng)絡(luò)設(shè)備供應(yīng)商的產(chǎn)品。