IP地址是電腦網(wǎng)絡互通的基礎，在實際工作中，網(wǎng)絡管理員、安全員的大量日常工作與IP地址有關。

　　因此要能有效管理地址，才能預防ARP攻擊或針對有問題的電腦加以管制，對IP地址的管理工作也越來越重要，IP地址管理的好壞直接影響著企業(yè)員工的工作效率及企業(yè)的信息安全。

　　如何安全、高效地管理好IP地址，是一個企業(yè)必須解決的問題。

　　一、IP地址分配的方法、方式和結果

　　長期以來，關于IP地址分配的詞匯很多，讓網(wǎng)絡管理人員感到麻煩，概念上相互交叉，極易混淆。其中常見的六個詞匯是：動態(tài)IP、靜態(tài)IP、手設IP、DHCP分配、固定IP、非固定IP等靜態(tài)IP地址是長期分配給一臺計算機或網(wǎng)絡設備使用的IP地址。一般來說，采用專線上網(wǎng)的計算機才擁有固定的Internet IP地址。

　　動態(tài)IP地址是通過Modem、ISDN、ADSL、有線寬頻、小區(qū)寬頻等方式上網(wǎng)的計算機，每次上網(wǎng)所分配到的IP地址都不相同，這就是動態(tài)IP地址

　　正確的應該是：

　　手工設置→靜態(tài)IP→固定IP

　　DHCP分配→動態(tài)IP→動態(tài)IP

　　靜態(tài)IP優(yōu)點：實現(xiàn)了固定IP地址，出現(xiàn)問題容易追查到是那臺電腦，可以講IP和MAC綁定，然后做雙向綁 定，徹底解決ARP攻擊問題。

　　動態(tài)IP優(yōu)點：IP地址集中管理，減少維護工作量，可以滿足移動辦公，網(wǎng)管可以集中精力關注安全事件。

　　二、企業(yè)網(wǎng)絡規(guī)模決定IP地址分配方式

　　如果網(wǎng)絡不是很復雜，電腦數(shù)量不是太多，網(wǎng)管能夠投入大量的時間和精力用于交換機端口的管理，則有管好的可能性。另外，還可以放棄對接入層交換機的管理，把IP/MAC綁定到核心交換機上以減少維護的工作量，不過，這種方式有可能達不到安全準入的要求，因為接入層的非法接入也有可能會影響整個網(wǎng)絡的安全。

　　因此中小型企業(yè)最好使用靜態(tài)IP方式，交換機端口上綁定MAC實現(xiàn)雙向綁定，實現(xiàn)了對電腦的準入控制。

　　如果網(wǎng)絡過于復雜，而且數(shù)量很多，這時候在交換機端口上綁定IP/MAC是一件非常繁瑣的事情，很難堅持到底。隨著筆記本電腦的增多，移動辦公的需求越來越旺盛，無法想象把多臺筆記本電腦的MAC地址綁定到多臺交換機的多個端口的情況，公共辦公區(qū)的網(wǎng)口如何管理也是一個較大的問題，客人的電腦、淘汰的電腦的清理也是一項比較繁瑣的工作。

　　因此大中型企業(yè)最好使用DHCP方式，利用利用DHCP服務器的增強功能，動態(tài)分配給網(wǎng)絡用戶指定的IP地址，進而做到用戶、IP和MAC的綁定，實現(xiàn)企業(yè)網(wǎng)中接入的安全，保證了企業(yè)網(wǎng)的安全運行。

　　三、網(wǎng)絡管理員管理須知

　　1. 中小型網(wǎng)絡采用固定IP地址

　　必須要求用戶在計算機中手動鍵入IP地址相關數(shù)據(jù)，這樣每臺機器的IP都必須是事先指定，沒有事先指定的IP，則無法上網(wǎng)，外來的用戶或是計算機不能輕易地通過企業(yè)網(wǎng)絡上網(wǎng)。計算機采用固定IP地址是最嚴密的配置方式。

　　2. 防止未允許的計算機上網(wǎng)

　　很多路由器都提供IP/MAC綁定功能，提供封鎖不在對應表列中MAC地址功能，達到網(wǎng)管未配置的MAC地址完全無法上網(wǎng)的作用。有些用戶會自行帶入中毒的計算機，甚至其它樓層用戶通過無線網(wǎng)絡進入公司網(wǎng)絡，可通過防止未允許的計算機上網(wǎng)來解決。

　　3. DHCP服務器發(fā)放固定IP

　　對于大中型企業(yè)較好的方式是通過DHCP發(fā)放IP地址，但同時限定計算機能取得的IP地址，以便進行管理。路由器配置的IP/MAC綁定功能，即可以根據(jù)網(wǎng)管的配置，認明計算機的MAC地址發(fā)放特定的IP，這樣就可針對IP進行管理。