■

通常单位网络出于安全考虑以及公安部门的相关要求，需要实行实名上网，上网日志需要保存时间不少于60天；同时会遇到随时有新的设备要接入网络或者有终端设备要移动到其他场所办公的情况。固然通过静态分配IP以及在防火墙上进行IP和MAC地址绑定，然后将MAC地址与用户一一对应可以实现。但是面对有上百台接入终端（甚至达到300到500数量级）规模的网络这样去做日常调整的工作量大，显然是不可接受的。我们可以考虑采用动态IP地址分配技术（DHCP）、跨VLAN动态IP分配技术、实名认证技术来实现。

图1是一个典型网络的简要连接示意图。我们以此为例来讨论如何实现。在图1中五幢建筑物通过光纤连接至三层核心交换设备，三层核心交换设备通过防火墙接入Internet。面对几百台数量级的网络，为了隔离冲突域，需要划分VLAN。通常的做法是每幢楼宇划分为一个VLAN。如果某一幢建筑内由于接入终端数过多，又会适当的多划几个VLAN。同时为每一个VLAN分配不同的网段号。本例VLAN划分如图1所示。

图1 VLAN划分

在信息中心的10.0.0.X网段里设置专门的DHCP服务器，分配DHCP服务器的IP为10.0.0.2。启动DHCP服务，为每一个网段新建作用域，分配地址池、网络配置参数等。由于篇幅的限制，DHCP技术在此笔者就不多作介绍，不是太熟悉的读者朋友可以参考相关的DHCP教程。可能有的读者朋友要问：DHCP动态IP地址分配是不能跨网段工作的。的确是这样。如果给每一个VLAN安装专门的DHCP服务器也是不现实的。这就要通过跨VLAN动态IP分配技术来实现。

跨VLAN动态IP分配具体操作步骤会因不同的三层核心交换设备而有所不同，但大体操作思想相同。操作步骤：

第1步 在三层核心交换设备上，为每一个VLAN分配网段，同时为每一个VLAN接口配置IP地址（一般分配首地址或者尾地址，依据个人习惯而定，没有特别的规定）；

第2步 在每一个VLAN下指定DHCP服务器地址（这样设备就知道转发DHCP服务器地址来的广播包，实现DHCP中继 ）。

通过在网络防火墙设备上配置实名认证，实现用户实名上网。具体操作会因不同的防火墙而配置方法有所不同。一人一账号，并根据权限的不同分配不同的接入权限。具体操作不太熟悉的读者朋友可以参考一下自己所使用的防火墙设备的使用说明或教程。

这样我们实现了用户实名上网；避免网络管理员一台一台手动为几百台接入终端分配IP地址，日后也无需重新手动设置IP地址；避免了用户将终端从一幢楼移动到别一幢楼时需要重新手动分配IP地址，重新绑定IP与MAC地址；避免用户有新的接入设备要接入网络时需要人为手动去分配，手动IP与MAC地址绑定。

可能有的读者朋友不免要问我们为什么不直接利用防火墙提供的DHCP服务来提供动态IP地址分配呢？还可以节省一台专门的服务器？理论上是可行的。根据笔者的经验，但面对有几百台数量级的网络，防火墙要处理基本的上网数据，还要运行安全策略，计算压力并不小，防火墙的运行效率将直接影响到用户上网体验（简单来说就是网络快慢）。所以笔者建议采用专用一台服务器来做DHCP服务（其实一台运行稳定一定的PC机就能承担）。

通过上述分析，IP地址科学规划，能极大的减轻日常网络管理的常规工作量，提升网络管理的效率。笔者在此只是抛砖引玉，借此引起广大网络管理者的共鸣，通自已的科学规划，提升网络管理效率，能从繁忙低效的工作中解脱出来。