筆者所在單位的網(wǎng)絡(luò)自建立起，先后經(jīng)歷了兩次升級(jí)改造。為了節(jié)約成本，老交換機(jī)沒有被淘汰，這樣三代網(wǎng)絡(luò)設(shè)備就共存于網(wǎng)絡(luò)之中。這三類交換機(jī)分別是較早的H3C和新舊兩個(gè)型號(hào)思科的交換機(jī)。三類交換機(jī)分布在四棟辦公樓中。其中H3C和新思科的設(shè)備各占一棟辦公樓，舊思科的設(shè)備占兩棟辦公樓。H3C和舊思科交換機(jī)均經(jīng)光纖線路連入主辦公樓(既新思科設(shè)備所在樓)交換機(jī)中。

以下是簡單示意圖：

新網(wǎng)絡(luò)顯IP地址問題

由于多種原因，IP地址分配的情況十分復(fù)雜。A樓主要是動(dòng)態(tài)分配。B樓中則既有動(dòng)態(tài)分配的，也有靜態(tài)分配的，還有小部分是通過無線路由器進(jìn)行動(dòng)態(tài)分配。A、B兩樓動(dòng)態(tài)分配都是通過新思科交換機(jī)完成的。C、D兩樓則是靜態(tài)分配中還架設(shè)了一臺(tái)DHCP服務(wù)器進(jìn)行動(dòng)態(tài)分配。從技術(shù)角度講，C、D兩樓完全可以改為動(dòng)態(tài)分配。但因?yàn)闃I(yè)務(wù)需要，這兩棟樓的交換機(jī)必須24小時(shí)運(yùn)轉(zhuǎn)，小部分客戶端必須用靜態(tài)IP地址，因此沒有辦法更改成動(dòng)態(tài)分配。#p#

IP地址問題經(jīng)驗(yàn)總結(jié)

自新思科交換機(jī)接入網(wǎng)絡(luò)進(jìn)行動(dòng)態(tài)分配后，問題層出不窮。經(jīng)過半年左右的時(shí)間，總結(jié)出跟IP地址相關(guān)的幾類問題及相關(guān)解決辦法：

1.現(xiàn)象：不能自動(dòng)獲得IP地址。

問題：客戶端為XP系統(tǒng)，沒有開啟DHCP功能。

解決辦法：點(diǎn)擊打開-》設(shè)置-》控制面板-》管理工具-》服務(wù)-》DHCP Client懸項(xiàng)，由停止?fàn)顟B(tài)改為啟動(dòng)狀態(tài)。

2.現(xiàn)象：雖然有IP地址，但除該客戶端自身外ping不到其他客戶端。

問題：客戶端設(shè)置的靜態(tài)IP地址與其他客戶端自動(dòng)獲得的IP地址相沖突。

解決辦法：改為自動(dòng)獲得IP地址。

3.現(xiàn)象：客戶端已經(jīng)開啟DHCP功能，交換機(jī)工作正常，無法自動(dòng)獲得IP地址。

問題：Hub端口有問題。

解決辦法：更換Hub或Hub端口。

4.現(xiàn)象：客戶端系統(tǒng)和Hub工作正常，無法自動(dòng)獲得IP地址。交換機(jī)除該端口，狀態(tài)均正常。

問題：新交換機(jī)是思科3560型號(hào)的交換機(jī)，該客戶端是從交換機(jī)端口直接進(jìn)入到客戶端桌面處。頻繁系統(tǒng)重啟或水晶頭接觸不良使得交換機(jī)自動(dòng)關(guān)閉該端口。

解決辦法：重啟交換機(jī)。

5.現(xiàn)象：客戶端、交換機(jī)、Hub均正常工作，無法自動(dòng)獲得IP地址。

問題：Hub或交換機(jī)型號(hào)有一方較早，連接線需要直通線。

解決辦法：將雙絞線一頭按EIA/TIA568A線序更改。

6.現(xiàn)象：可以自動(dòng)獲得IP地址，但不能上網(wǎng)，該網(wǎng)段內(nèi)其他客戶端均能正常上網(wǎng)。

問題：局域網(wǎng)內(nèi)有無線路由器，無線路由器自動(dòng)分配的IP地址不是該網(wǎng)段內(nèi)地址。

解決辦法：暫時(shí)關(guān)閉無線路由器，等客戶端重新獲得IP地址后再打開。#p#

7.現(xiàn)象：可以自動(dòng)獲得IP地址，不能上網(wǎng)。更改為其他IP地址后均能上網(wǎng)。該網(wǎng)段內(nèi)沒有無線路由器。

問題：其他網(wǎng)段的無線路由器分配的IP地址與該客戶端相同。

解決辦法：登陸主交換機(jī)，查找流出該IP地址的樓層交換機(jī)。通過詢問樓層交換機(jī)連接的部門，找到無線路由器并更改其分配IP地址的范圍。

8.現(xiàn)象：大部分客戶端都是剛開機(jī)不能自動(dòng)獲得IP地址，過半個(gè)小時(shí)左右才可以自動(dòng)獲得IP地址，但網(wǎng)速極慢。Ping網(wǎng)絡(luò)出口時(shí)通時(shí)斷，延遲很大。

問題：網(wǎng)絡(luò)中的arp病毒建立了假網(wǎng)關(guān)，讓被其欺騙的客戶端向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常途徑上網(wǎng)。

解決辦法：及時(shí)打補(bǔ)丁或使用Antiarp專殺工具。

9.現(xiàn)象：可以自動(dòng)獲得IP地址，只能通過訪問IP地址上網(wǎng)。ping網(wǎng)絡(luò)出口正常，但無法ping到DNS服務(wù)器。

問題：DNS服務(wù)器上安裝的防火墻軟件對感染病毒的客戶端做出了隔離。

解決辦法：拔掉客戶端網(wǎng)線，系統(tǒng)在安全模式下殺毒。確定客戶端系統(tǒng)已經(jīng)清除病毒后，再插上網(wǎng)線。

10.現(xiàn)象：可以自動(dòng)獲得IP地址，不能上網(wǎng)。更改為其他IP地址或網(wǎng)段后均能上網(wǎng)。

問題：交換機(jī)的租約期已過。

解決辦法：延長交換機(jī)租約期或重新啟動(dòng)客戶端系統(tǒng)獲得IP地址。

11.現(xiàn)象：內(nèi)網(wǎng)不能正常訪問做了外網(wǎng)與內(nèi)網(wǎng)IP地址映射的服務(wù)器。

問題：內(nèi)網(wǎng)DNS服務(wù)器沒有增加該服務(wù)器解析條目。

解決辦法：內(nèi)網(wǎng)DNS服務(wù)器增加相應(yīng)解析。

12.現(xiàn)象：外網(wǎng)不能訪問做了外網(wǎng)與內(nèi)網(wǎng)IP地址映射的服務(wù)器。

問題：網(wǎng)絡(luò)服務(wù)商私自挪用IP地址。

解決辦法：令網(wǎng)絡(luò)服務(wù)商重新做IP地址映射。

如何做好IP地址規(guī)劃?

由于諸多原因造成單位網(wǎng)絡(luò)環(huán)境異常復(fù)雜。樓層交換機(jī)為每個(gè)房間只提供一個(gè)端口。有的房間內(nèi)有多達(dá)10個(gè)人辦公。網(wǎng)內(nèi)多種型號(hào)交換機(jī)并存。部分老設(shè)備雖然自身技術(shù)條件具備，但由于業(yè)務(wù)需求，不能停機(jī)更改配置。還有部分靜態(tài)用戶自行架設(shè)DHCP服務(wù)器。因此不管采用主交換機(jī)進(jìn)行IP過濾、綁定或是認(rèn)證，還是使用服務(wù)器完成這些功能，勢必都會(huì)成為限制網(wǎng)速的瓶頸;并且不能滿足客戶端便捷，便于網(wǎng)管管理的需求。

對于許多中小型企業(yè)來說，都存在類似的問題。由于沒有專業(yè)的硬件設(shè)備負(fù)責(zé)監(jiān)管工作，仍然依靠人工手動(dòng)操作。如何才能使網(wǎng)管人員從大量重復(fù)的事務(wù)性工作中解脫出來，做好IP地址規(guī)劃是重中之重。在網(wǎng)管無法掌握客戶端配備的情況下，可以按照不同部門劃分網(wǎng)段。

交換機(jī)中每個(gè)網(wǎng)段動(dòng)態(tài)分配地址為2-199的主機(jī)ID。打印機(jī)等需要靜態(tài)IP地址的設(shè)備分配200-254的主機(jī)ID。具體分配情況由各部門負(fù)責(zé)人掌握。無線路由器盡量不啟用DHCP功能。有效利用防火墻數(shù)據(jù)進(jìn)行分析，定期讓病毒、木馬較多的部門進(jìn)行自查工作。

【編輯推薦】

1. 網(wǎng)絡(luò)管理：局域網(wǎng)盜用IP地址的安全問題
2. 安全管理網(wǎng)絡(luò)從IP地址著手