本文主要介绍了网管日常工作中所遇到的与IP地址相关的问题，给出了相应的解决方法。通过对实例进一步的分析，阐述了良好的IP规划对网络信息安全的重要性。并讨论了构造一个安全的网络系统所必需的整体管理策略与全局安全意识。
　　笔者所在单位的网络自建立起，先后经历了两次升级改造。为了节约成本，老交换机没有被淘汰，这样三代网络设备就共存于网络之中。这三类交换机分别是较早的3com和新旧两个型号思科的交换机。三类交换机分布在四栋办公楼中。其中3com和新思科的设备各占一栋办公楼，旧思科的设备占两栋办公楼。3com和旧思科交换机均经光纤线路连入主办公楼（既新思科设备所在楼）交换机中。

新网络显IP地址问题

　　由于多种原因，IP地址分配的情况十分复杂。A楼主要是动态分配。B楼中则既有动态分配的，也有静态分配的，还有小部分是通过无线路由器进行动态分配。A、B两楼动态分配都是通过新思科交换机完成的。C、D两楼则是静态分配中还架设了一台DHCP服务器进行动态分配。从技术角度讲，C、D两楼完全可以改为动态分配。但因为业务需要，这两栋楼的交换机必须24小时运转，小部分客户端必须用静态IP地址，因此没有办法更改成动态分配。

IP地址问题经验总结

　　自新思科交换机接入网络进行动态分配后，问题层出不穷。经过半年左右的时间，总结出跟IP地址相关的几类问题及相关解决办法：

　　1．现象：不能自动获得IP地址。
　　问题：客户端为XP系统，没有开启DHCP功能。
　　解决办法：点击打开-》设置-》控制面板-》管理工具-》服务-》DHCP Client悬项，由停止状态改为启动状态。

　　2．现象：虽然有IP地址，但除该客户端自身外ping不到其他客户端。
　　问题：客户端设置的静态IP地址与其他客户端自动获得的IP地址相冲突。
　　解决办法：改为自动获得IP地址。

　　3．现象：客户端已经开启DHCP功能，交换机工作正常，无法自动获得IP地址。
　　问题：Hub端口有问题。
　　解决办法：更换Hub或Hub端口。

　　4．现象：客户端系统和Hub工作正常，无法自动获得IP地址。交换机除该端口，状态均正常。
　　问题：新交换机是思科3560型号的交换机，该客户端是从交换机端口直接进入到客户端桌面处。频繁系统重启或水晶头接触不良使得交换机自动关闭该端口。
　　解决办法：重启交换机。

　　5．现象：客户端、交换机、Hub均正常工作，无法自动获得IP地址。
　　问题：Hub或交换机型号有一方较早，连接线需要直通线。
　　解决办法：将双绞线一头按EIA/TIA568A线序更改。

　　6．现象：可以自动获得IP地址，但不能上网，该网段内其他客户端均能正常上网。
　　问题：局域网内有无线路由器，无线路由器自动分配的IP地址不是该网段内地址。
　　解决办法：暂时关闭无线路由器，等客户端重新获得IP地址后再打开。
　　7．现象：可以自动获得IP地址，不能上网。更改为其他IP地址后均能上网。该网段内没有无线路由器。
　　问题：其他网段的无线路由器分配的IP地址与该客户端相同。
　　解决办法：登陆主交换机，查找流出该IP地址的楼层交换机。通过询问楼层交换机连接的部门，找到无线路由器并更改其分配IP地址的范围。

　　8．现象：大部分客户端都是刚开机不能自动获得IP地址，过半个小时左右才可以自动获得IP地址，但网速极慢。Ping网络出口时通时断，延迟很大。
　　问题：网络中的arp病毒建立了假网关，让被其欺骗的客户端向假网关发数据，而不是通过正常途径上网。
　　解决办法：及时打补丁或使用Antiarp专杀工具。

　　9．现象：可以自动获得IP地址，只能通过访问IP地址上网。ping网络出口正常，但无法ping到DNS服务器。
　　问题：DNS服务器上安装的防火墙软件对感染病毒的客户端做出了隔离。
　　解决办法：拔掉客户端网线，系统在安全模式下杀毒。确定客户端系统已经清除病毒后，再插上网线。

　　10．现象：可以自动获得IP地址，不能上网。更改为其他IP地址或网段后均能上网。
　　问题：交换机的租约期已过。
　　解决办法：延长交换机租约期或重新启动客户端系统获得IP地址。

　　11．现象：内网不能正常访问做了外网与内网IP地址映射的服务器。
　　问题：内网DNS服务器没有增加该服务器解析条目。
　　解决办法：内网DNS服务器增加相应解析。

　　12．现象：外网不能访问做了外网与内网IP地址映射的服务器。
　　问题：网络服务商私自挪用IP地址。
　　解决办法：令网络服务商重新做IP地址映射。
如何做好IP地址规划？

　　由于诸多原因造成单位网络环境异常复杂。楼层交换机为每个房间只提供一个端口。有的房间内有多达10个人办公。网内多种型号交换机并存。部分老设备虽然自身技术条件具备，但由于业务需求，不能停机更改配置。还有部分静态用户自行架设DHCP服务器。因此不管采用主交换机进行IP过滤、绑定或是认证，还是使用服务器完成这些功能，势必都会成为限制网速的瓶颈；并且不能满足客户端便捷，便于网管管理的需求。

　　对于许多中小型企业来说，都存在类似的问题。由于没有专业的硬件设备负责监管工作，仍然依靠人工手动操作。如何才能使网管人员从大量重复的事务性工作中解脱出来，做好IP地址规划是重中之重。在网管无法掌握客户端配备的情况下，可以按照不同部门划分网段。

　　交换机中每个网段动态分配地址为2-199的主机ID。打印机等需要静态IP地址的设备分配200-254的主机ID。具体分配情况由各部门负责人掌握。无线路由器尽量不启用DHCP功能。有效利用防火墙数据进行分析，定期让病毒、木马较多的部门进行自查工作。