厦门大学校园网地址管理细则
第一条为加强校园网管理,充分发挥校园网作用,为全校师生员工提供稳定、可靠、安全的网络使用环境,保证校园网成为学校教学、科研、管理工作可靠的公共服务平台,根据《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理规定》和《中国教育和科研计算机网安全管理协议》等有关法律、法规,特制定本管理细则。
第二条本细则适用于接入厦门大学校园网的各院、部处等单位网络用户以及嘉庚学院所有网络用户。
第三条信息与网络中心是校园网络的日常管理机构,负责校园网地址的管理和分配,对用户申请使用地址进行审批,并负责提供相关的服务。
第四条我校校园网内实行静态地址分配方式,所有与校园网联接的设备均分配真实的、唯一的地址。
第五条用户申请流程
1.用户登陆学校主页()—>机构设置—>直属单位—>信息与网络中心—>服务专区—>申请流程,下载“单位用户使用申请表”文件。
2.填写所有相关内容,打印“单位用户入网申请表”由单位财务“一支笔”或项目负责人签字同意并加盖单位公章,将“单位用户基本信息表”和“用户地址申请表”两张表格的电子文档发送邮件至至信息与网络中心用户服务部邮箱。
3.各单位管理员携带相关申请资料至信息与网络中心服务部,经值班人员审查合格后予以开户。
第六条校园网用户在其网上活动中应该遵守网络礼仪和道德规范,不得使用网络从事攻击性、危害公共安全、损害公众利益、侵害他人正当权益、窃取或泄露他人秘密等违法国家相关法律、法规的活动,也不得查阅、复制或在网上发布、传播含有上述内容的信息。
第七条校园网用户未经允许不得向其他用户提供有偿服务,未经批准不得架设服务器对外提供各种服务、不得架设代理服务器。
第八条校园网用户禁止私自启动动态分配地址()服务;禁止盗用他人地址,对不遵守协定、扰乱网络资源的正常分配和使用者,一经发现,中止其网络服务至天。未经批准私设代理,发生网络信息安全事故的,将按照《中华人民共和国计算机信息网络国际互联网管理暂行规定》处理,并追究主管负责人和当事人的责任。
第九条用户如有以下行为将被停止账户使用,情节恶劣的移送学校相关部门处理。
. 盗用他人或者帐号密码而造成他人损失的;
.拒缴欠费;
. 恶意黑客行为;
. 其他破坏性行为。
第十条用户不得在校园网上从事任何有悖相关法律法规的活动,一经发现,将视情节轻重,根据情况给予有关责任人以下处理:、警告并勒令改正;
、取消联网资格至天;
、完全终止其相应网络服务;
、移交校保卫处处理。
第十一条校园网用户有权利对网络中所发现或发生的违反有关法律、法规和规章制度的人或事予以制止或向学校反映、举报。校园网用户有义务协助有关部门或管理人员对上述人或事进行调查、取证、处理,有义务向调查人员如实提供所需证据。
第十二条此前我校相关规定与本细则不一致的,按本细则执行。本细则中未尽事宜,按国家或学校相关规定执行。
第十三条本细则自发布之日起施行。
IP地址规划 IP地址规划的重要性: IP地址的合理规划是网络设计的重要环节,大型计算机网络必须对IP地址进行统一规划并得到有效实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。 IP地址规划总体要求 IP地址空间的分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性、灵活性和层次性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还有考虑到网络地址的可管理性。 长江师范学院校园网的IP地址规划将遵循以下总体要求来分配: 唯一性:一个IP网络中不能有两个主机采用相同的IP地址; 可管理性:地址分配应简单且易于管理,以降低网络扩展的复杂性,简化路由表; 连续性:连续地址在层次结构网络中易于进行路径叠合,缩减路由表,提高路由计算的效率;IP地址的分配必须采用VLSM技术,保证IP地址的利用率;采用CIDR技术,可减小路由器路由表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小。 IP地址分配尽量分配连续的IP地址空间;相同的业务和功能尽量分配连续的IP地址空间,有利于路由聚合以及安全控制; 可扩展性:地址分配在每一层次上都要留有一定余量,以便在网络扩展时能保证地址叠合所需的连续性;IP地址分配处理要考虑到连续外,又要能做到具有可扩充性,并为将来的网络扩展预留一定的地址空间;充分利用无类别域间路由(CIDR)技术和变长子网掩码(VLSM)技术,合理高效地利用IP地址,同时,对所有各种主机、服务器和网络设备,必须分配足够的地址,划分独立的网段,以便能够实现严格的安全策略控制。灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间;层次性:IP地址的划分采用层次化的方法,和层次化的网络设计相应,在地址划分上我们也采用层次化的分配思想,从网络中心机房开始规划,再规划北苑、南苑、家属区,使地址具有层次性,能够逐层向上汇聚。 实意性
**大学校园网IP地址管理细则 第一条为加强校园网管理,充分发挥校园网作用,为全校师生员工提供稳定、可靠、安全的网络使用环境,保证校园网成为学校教学、科研、管理工作可靠的公共服务平台,根据《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理规定》和《中国教育和科研计算机网安全管理协议》等有关法律、法规,特制定本管理细则。 第二条本细则适用于接入**大学校园网的各院、部处等单位网络用户以及嘉庚学院所有网络用户。 第三条信息与网络中心是校园网络的日常管理机构,负责校园网IP地址的管理和分配,对用户申请使用IP地址进行审批,并负责提供相关的服务。 第四条我校校园网内实行静态IP地址分配方式,所有与校园网联接的设备均分配真实的、唯一的IP地址。 第五条用户IP申请流程 1.用户登陆学校主页(******)—>机构设置—>直属单位—>信息与网络中心—>服务专区—>IP申请流程,下载“单位用户IP使用申请表”文件。
2.填写所有相关内容,打印“单位用户入网申请表”由单位财务“一支笔”或项目负责人签字同意并加盖单位公章,将“单位用户基本信息表”和“用户IP地址申请表”两张表格的电子文档发送邮件至至信息与网络中心用户服务部邮箱:(******)。 3.各单位管理员携带相关申请资料至信息与网络中心服务部,经值班人员审查合格后予以开户。 第六条校园网用户在其网上活动中应该遵守网络礼仪和道德规范,不得使用网络从事攻击性、危害公共安全、损害公众利益、侵害他人正当权益、窃取或泄露他人秘密等违法国家相关法律、法规的活动,也不得查阅、复制或在网上发布、传播含有上述内容的信息。 第七条校园网用户未经允许不得向其他用户提供有偿服务,未经批准不得架设服务器对外提供各种服务、不得架设代理服务器。 第八条校园网用户禁止私自启动动态分配IP地址(DHCP)服务;禁止盗用他人IP地址,对不遵守协定、扰乱网络资源的正常分配和使用者,一经发现,中止其网络服务7至90 天。未经批准私设代理,发生网络信息安全事故的,将按照《中华人民共和国计算机信息网络国际互联网管理暂行规定》处理,并追究主管负责人和当事人的责任。 第九条用户如有以下行为将被停止账户使用,情节恶劣的移送学校相关部门处理。 1. 盗用他人IP或者帐号密码而造成他人损失的; 2.拒缴欠费;
中国科学技术大学网络教育学院毕业实习报告 实习题目:简析校园网中IP地址分配策略 学生姓名:刘卫文 专业:计算机及应用 层次:大专 学号: WZ080914029020 实习起止时间:2010年10月1日至2010年11月30日指导教师:石磊 实习单位:长沙南方职业学院 完成交稿时间: 2010年11月30日
简析校园网中IP地址分配策略 1、毕业论文目的、意义 1)培养学生综合运用所学的基础理论与专业知识,在指导教师指导下,利用学会理论知识和实践积累的经验分析并解决问题。 2)初步具备搜集、整理、筛选信息资料的能力,初步掌握科学研究的基本方法,了解论文的写作技巧与规范化要求。 3)通过该论文的撰写,能够针对校园网的特点提出一套有效的解决IP地址方案,并对实施过程中存在的一些细节问题有一定的思索。具体如下: 1)提出选题《简析校园网IP地址分配策略》的初步设想。 2)搜集、整理与有关的理论和实践资料,构思论文框架,编写论文提纲。 3)对《简析校园网IP地址分配策略》具体完成,IP地址重要性分析,IP地址分配方式比较,然后结合一个校园网建设地址规划提出一套合理实现方案,最后总结一下该方案特点。 2、毕业论文内容 1)IP地址重要性析 2)IP地址的作用 3)IP地址的分配方式比较 4)DHCP服务的配置 5)Packet Tracer 模拟器的使用 6)IP子网划分思路 7)根据子网数计算子网掩码 8)根据主机数计算子网掩码 9)总结 3、毕业设计方式 实现平台: Microsoft Windows Server 2003 Packet Tracer+5.0模拟器 4、毕业设计计划安排: 1)2010.9.25——2010.10.8,提出选题的初步设想和确定选题。 2)2010.10.9——2010.10.20,阅读相关书籍、文章,做读书笔记,搜集、整理与论文有关的资料;根据指导教师下达的毕业论文任务书要求,确定选题素材,分析、筛选已有的文献资料,构思论文框架,编写论文提纲,向指导教师提交开题报告。 3)2010.10.21——2010.11.20,撰写论文初稿,送交指导教师。 4)2010.11.21——2010.11.30,修改论文,论文定稿,上交指导教师。 5、毕业论文主要成果以及收获 通过本课题的学习,熟练掌握校园网中IP地址的规划、DHCP服务的配置、实现校园网中IP地址的动态获取;本课题设计过程中的主要成果及收获:能够通过合理方式规划校园网络中IP地址及动态分配;合理规划校园网络子网的计算。○1利用子网数来计算;○2利用主机数来计算;如何计算每个子网的IP地址范围;在Windows server 2003中配置DHCP 服务;通过Packet Tracer+5.0模拟器,模拟真实交换机为校园网中的计算机动态分配IP 地址;
实验三: IP地址规划与设置实验 一、实验目标: 在CISCO仿真软件Packet tracer环境下,对一个具有30台PC的网络进行IP地址规划。要求自动分配内部每台PC的IP地址。将网络划分为两个子网,并且不允许Internet上的用户直接访问内部网络。 二、实验内容: 画出网络结构图,标注各设备的IP地址及子网划分。将各配置参数制成表格形式,并根据实际情况填写。将各运行结果截图,并更名保存。 三、实验步骤: 1、网络结构图 由实验内容可画出网络结构图如图1所示。 图1 网络结构图
按照要求将PC1—PC15设置在同一个子网段,子网地址是:192.168.21.0;将PC16—PC30设置在同一个子网段,子网地址是:192.168.22.0. 2、规划IP地址 依据实验要求将30台PC机的IP地址划分如下表1所示: 表1 30台PC及机的IP地址划分情况 3、路由器配置 路由器Router0配置结果如图2所示。
图2 路由器配置 3、配置PC机 PC1的配置如图3所示。
PC15的配置如图4所示。 PC16的配置如图5所示。
PC30的配置如图6所示。 图6 PC30的配置 由于PC2—PC14,PC17—PC29的配置同PC1、PC16的配置同理,且配置截图量过多, 在此就不再一一叙述。
4.测试连通性 对30台PC机进行连通性测试,经测试pc1—pc30均能连通。由于测试结果的截图基本一样且图片量过多,所以在此以PC1及PC16为代表示例(如图7、8所示),其余不再一一赘述。 图7 PC1的连通性测试结果 图8 PC16的连通性测试结果
学校校园网络IP地址的管理及IP、MAC、端口的绑定 摘要:文章以龙岩市农业学校局域网为实例研究对象,介绍了IP地址的管理及IP地址的绑定技术。 关键词:IP地址;MAC地址;ARP协议;端口;绑定 1 IP地址相关知识介绍 IP地址也可以称为互联网地址或Internet地址,是用来唯一标识互联网上计算机的逻辑地址。每台连网计算机都依靠IP地址来标识自己,IP地址必须唯一。IP地址的表示: 4个以小数点隔开的十进制整数就是一个IP地址。每部分的十进制的整数实际上由8个二进制数组成。IP的结构和分类:在IP地址的这四部分中,又可以分成两部分,一部分是网络号Network(用来标识不同的网络),一部分是主机号(标识用于特定网络区域内的某台主机)。IP地址的网络部分是由IANA(Internet地址分配机构)统一分配的,而主机位IP地址是由得到网络地址的机构或组织自行分配。我们把IP地址分成A、B、C、D、E类:A类地址,第一组表示网络,后面三组表示主机。B类地址,第一,二组表示网络,后面两组表示主机。C类地址,第一,二,三组表示网络,最后一组表示主机。为了确定IP地址的网络号和主机号如何划分,使用到了掩码。也就是说在一个IP地址中,通过掩码来决定哪部分表示网络,哪部分表示主机。大家规定,用“1”代表网络部分,用“0”代表主机部分。也就是说,计算机通过IP地址和掩码才能知道自己是在哪个网络中。IP地址的获得:有两种方式,一种是静态方式,一种是动态方式。 2 IP地址及其管理 IP地址管理是成功的逻辑设计的基础。任何一台在局域网中“活动”的工作站,它都是通过IP地址这个“身份”与其他工作站进行沟通交流的,只要我们能安全妥善地管理好局域网中的所有IP地址,就能确保局域网始终处于高效运行状态之中。学校从组建校园网以来一直采用用户静态IP地址分配。所有网络用户入网前需要事先从网络中心申请获取静态IP地址。网络中心收到申请后在用户接入的二层交换机上完成一次用户IP-MAC-接入交换机端口的绑定,使用这种方法来确认最终用户,消除IP地址盗用等情况。学校统一规划分配IP地址给每个终端机器,并建立IP地址分配登记表,统计每个终端机器网卡的MAC 地址,建立IP地址与MAC地址对照表。在交换机上采用VLAN(Virtual LAN,虚拟局域网)技术解决广播带来的不良影响。我们学校划分VLAN的方式是基于接口来划分VLAN。交换机通过接口和客户端相接,只要通过配置命令将交换机的接口分给不同的VLAN,就相当于把这些客户端划分到了不同的广播域。将接口划分到VLAN的方式以华为3100 EI系列交换机为例,登录进入交换机,输入管理口令进入系统视图,敲入命令: [H3C]VLAN 1 [H3C-VLAN1]quit [H3C]VLAN 2 to 4 //创建VLAN [H3C]VLAN 2 [H3C-VLAN2]port Ethernet1/0/9 to Ethernet1/0/16 //添加9到16口到VLAN2 执行上述命令,可在3100 EI交换机创建4个VLAN,并将相应的端口划分到对应的VLAN中。 3 IP地址的绑定技术 3.1基于交换机的IP地址、MAC地址、端口的绑定 ①MAC地址及MAC地址的作用。MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。MAC地址在计算机里都是以二进制表示的,MAC 地址通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:00-11-D8-29-09-78
4.3I P地址规划 IP地址规划的重要性: IP地址的合理规划是网络设计的重要环节,大型计算机网络必须对IP地址进行统一规划并得到有效实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。 4.3.1 IP地址规划总体要求 IP地址空间的分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性、灵活性和层次性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还有考虑到网络地址的可管理性。 XX网的IP地址规划将遵循以下总体要求来分配: 1.唯一性:一个IP网络中不能有两个主机采用相同的IP地址; 2.可管理性:地址分配应简单且易于管理,以降低网络扩展的复杂性,简 化路由表; 3.连续性:连续地址在层次结构网络中易于进行路径叠合,缩减路由表, 提高路由计算的效率;IP地址的分配必须采用VLSM技术,保证IP地址的 利用率;采用CIDR技术,可减小路由器路由表的大小,加快路由器路由 的收敛速度,也可以减小网络中广播的路由信息的大小。 IP地址分配尽量分配连续的IP地址空间;相同的业务和功能尽量分配连 续的IP地址空间,有利于路由聚合以及安全控制; 4.可扩展性:地址分配在每一层次上都要留有一定余量,以便在网络扩展 时能保证地址叠合所需的连续性;IP地址分配处理要考虑到连续外,又 要能做到具有可扩充性,并为将来的网络扩展预留一定的地址空间;充 分利用无类别域间路由(CIDR)技术和变长子网掩码(VLSM)技术, 合理高效地利用IP地址,同时,对所有各种主机、服务器和网络设备, 必须分配足够的地址,划分独立的网段,以便能够实现严格的安全策略
大学校园网的IP地址规划 学生姓名:指导老师: 摘要校园网是一个典型的计算机局域网,IP地址规划是校园网建设得一个重要组成部分,良好的IP地址规划能够有效的网络冲突、病毒的扩散速度,减少不必要的管理和维护工作,提高工作效率。IP地址规划往往涉及部门需求、IP地址分配、VLAN划分、VLAN路由、地址转换等多方面的内容。为满足当前学校校园网的实际功能需求,根据某大学校园网的组建原理、技术特点及大学校区的具体需求设计了一个校园网,设计的主要内容包括:校园网需求分析、IP地址的分类结构,IP地址编址,IP地址分配。根据要求在Cisco Tracket Packer仿真软件中完成了IP地址的相关配置。经测试,结果正确,实现了设计目标。 关键词校园网;IP地址规划;IP地址分配 1 引言 众所周知,在电话通讯中,电话用户是靠电话号码来识别的。同样,在网络中为了区别不同的计算机,也学要给计算机指定一个号码,这个号码就是“IP地址”。同时,在网络信息时代的今天,面向新的需求和挑战,为了学校的科研、教学、管理技术水平,为研究开发和培养高层次人才建立现代化平台,Intranet/Internet技术的高速多媒体校园网已经越来越普及。 整个高速多媒体校园网建设的原则是"经济高效、领先实惠",既要领先一步,具有发展余地,又要比较实惠。校园网是集计算机技术、网络技术、多媒体技术于一体的系统,能够最大限度地调动学生对教学内容的参与性以及积极性。 校园网的建设主要是建立以校园网络为基础的行政、教学及师生之间交互式管理系统,逐步建立学校信息管理网络,实现办公自动化;为开展网上远程教学、多媒体交互式立体教学模式的探索提供高速、稳定的支持平台;逐步建立计算机辅助教学、计算机
校园网IP地址分配 摘要:I P地址规划是校园网建设的一个重要部分,良好的IP地址规划能够有效地控制网络冲突、病毒的扩散速度,减少不必要的管理和维护工作,提高工作效率。IP地址规划往往涉及部门需求、用户数量、VLAN划分、地址分配、VLAN路由、地址转换等多个方面,提出了把校园网IP地址规划方案分为公网IP地址划分和私有IP地址划分两部进行规划设计的方案。 引言 1 IP地址的概述 2 VLAN简介 3 校园网的IP地址分配与VLAN的规划 4 IP地址分配的实例 5 VLAN的配置实例 6 结论: 经过在毕业实习中的学习和实践,使我对理论知识有了更系统更全面的掌握,对计算机网络知识有了更进一步的认识,特别是在实际网络设备的操作方面有很大的提高。对于网络建设中IP地址的分配和VLAN规划有着进一步的认识,让我了解到理论联系实际的重要性。 通过对校园网的IP地址的分配和VLAN规划,使我深刻的认识到。在计算机网络建设中,一定要依据地址分配和VLAN划分原理来进行网络规划,还需要认真研究实际情况,考虑网络设备性能、网络规模、网络运行、管理、安全等诸方面因素,形成一套合理、适当的地址分配和VLAN 规划方案,这将会大大提高网络的整体性能,给网络管理带来许多方便。 参考文献 校园网IP地址规划方案 1)校园网IP地址分配总则 IP地址规划根据所分配的公网IP地址和内部私网IP地址分配,地址可分为三大块,一块是Cernet分配多个C类公网IP地址,作为和国际互联网互连的地址,域名https://www.doczj.com/doc/ba15765110.html,就解析在这片地址上,主要供网络中心和图书馆电脑部、部分实验室专用;校园网的普通用户,使用内部地址192.168.xxx.xxx,,不能和国际互联网直接发生联系,不能避开代理和计费系统;学校同时还可以申请一块ChinaNet的公网IP地址,作为接入电信公网和部分关键的服务器出口备份,关键服务器拥有两个公网IP,分别跨接在Cernet和ChinaNet上。 2)校园网内部私网IP地址的分配 内部地址的分配原则是按建筑物进行的,视用户的数量,1/4、1/2、整个C的划分。对于相对固定不变的教学区采用静态分配IP地址,为防止地址盗用,采用IP地址与MAC地址绑定,对于流动性大、用户人数多、用户增长快的学生区采用动态分配IP地址,采用By Port 的Vlan,小范围地限制地址盗用问题。 对上网用户的管理,是基于用户名、密码的代理认证WEB认证过程进行,校园网内的网络资源不需认证就可访问,但访问校外的资源就必须经过认证, 用户开机时,从DHCP服务器获得校园IP地址,并可以直接访问校园网和教育网
IP地址规划方案文档修订记录
一、 ******网络结构概况 ******网络系统是一个高带宽、高速率的内部信息传输网以及高速的互联网接入系统。它可为大厦物业管理和用户提供数据运载服务及信息服务,同时也为将来的智能化中心系统构架优良的系统平台。高速的内部网络,可以为用户提供各种各样的信息服务。 网络设备分布情况如下: ● 124台Quidway3100 10/100M 接入层交换机; ● 29台Quidway EWP-WA1208E-DG 无线网关; ● 5台Quidway7506R 10/100/1000M 高性能汇聚层交换机; ● 2台Cisco6509E 10/100/1000M 高性能核心层交换机; ● 1台CiscoPIX535网络安全设备; ● 1台Cisco3825网络接入路由器。 网络拓扑图如下: 二、 IP 地址规划基本原则 1. 简单性:地址分配应清晰明了易于实施,降低网络扩展的复杂性,简化路由表的条目。 ******网络拓扑图 A座20台 B 座20台 C 座44台 E 座20台 D 座20台
2. 连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由 算法的效率。 3. 可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合 所需的连续性。 4. 灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。 5. 安全性:保证内部地址的不泄漏,外联业务的对外的地址与内部地址的网段不同。 三、IP地址总设计思想 1. 根据国际互联网RFC1918地址使用标准,中国******网络将采用标准的私有IP地址。 a) (16个B类地址,含220 = 1,048,576个地址)作为终端用户地址范围。 b) 16 = 65,536个地址)作为网络设备互联和网络设备标识地址范围。 2. 互联网地址规划 a) 广域网地址使用ISP(因特网服务提供商)所分配范围内地址,合理利用掩码长度 满足充分和必要的IP地址分配。 四、IP地址总体规划 1. ******终端用户IP地址范围划分
校园网网络设计中IP地址的规划与管理 作者:林冬梅徐效美日期 2006-10-24 21:17:40 一、IP地址简介 1.1 IP地址的结构 IP地址是IP协议用来标识网络中主机、路由器和网关等设备的不同接口。IP地址就相当于网络设备接口的身份证。从网络的层次结构考虑,一个IP地址必须指明两点:属于哪个网络,是这个网络中的哪台主机,因此IP地址的结构为“网络号+主机号”,其网络地址和主机地址的位数因网络的规模大小而不同。 1.2 IP地址的类别 目前正在使用的IP协议版本是1981年9月制定的IPv4。IPv4规定IP地址用32位二进制数表示。为了便于读写,采用点分十进制数表示法,即211.161.48.151的形式。 1.3 子网与子网掩码 为了提高IP地址的使用效率,人们将二级结构中的主机号部分进一步划分为子网号和主机号,IP地址的结构便变成了“网络号+子网号+主机号”的三级结构。这样就使得IP地址有了一定的内部层次结构,这种层次结构便于IP地址的分配和管理。 同—网络中的不同子网用子网掩码来划分,子网掩码(mask)是将IP地址中对应网络标识码的各位取l,对应主机标识码的各位取0而得到的。如果两台主机的IP地址和子网掩码的“与”的结果相同,则这两台主机是在同一个子网中。在没有划分子网时,A、B、C三类网络其默认的子网掩码分别为255.0.0.0,255.255.0.0,255.255.255.0。在作IP地址规划时往往需要设置子网,如果将一个网络的主机号部分拿出n位用做子网地址,可以将原来的网络划分为2n个子网,这些子网的大小都是相同的。采用可变长子网掩码(VLSM)分配机制,可将网络划分成不同大小的子网,为单位节省大量的IP地址空间。 1.4 NAT地址转换 NAT(地址转换)就是把在内部网络中使用的IP地址转换成外部网络中使用的IP地址,把不可路由的IP地址转化成可路由的IP地址,对外部网络隐蔽内部网络的结构。通过NAT,可以节省NIC注册的IP地址。 内部地址是因特网地址分配组织规定的以下三类网络地址(又叫保留地址或私有地址):10.0.0.0-10.255.255.255 172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255 这3个网络的地址不会在英特网上被分配,任何一个局域网都可以使用。使用私有网络地址的主机与互联网上的主机通信时,要通过地址转换技术,将私有地址转换成公有地址。NAT应用有三种方式:静态NAT(static NAT)、动态NAT(pooled NAT)和PAT(端口复用NAT)。静态NAT是采用固定分配的方法映射内部网络的和外部网络的IP地址。动态NAT则是采用动态分配的方法映射内部网络的和外部网络的IP地址。PAT则是把多个内部网络IP地址映射到外部网络的同一个IP地址的不同端口上。 二、校园网IP地址的规划 IP地址的规划常常是校园网络设计过程中的一个很重要的环节。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展及网络的管理,也必将直接影响到网络应用的进一步发展。 2.1 IP地址的分配原则 IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时要能满足路由协议的要求,以便于网络中的路由聚类,减少路
班级:09网本姓名:学号: 规划校园网的IP地址 某大学具有8个学院位于3个校区,从某ISP申请到的地址块为59.193.144.0/20。试规划该校园网的公用IP地址和专用网的IP地址。 设某大学具有8个学院位于同一城市的3个校园中,其中大学与一学院、二学院在一个园区(校区1),另外四个学院俩俩位于一个园区(园区2、园区3) 。 大学向因特网发布信息并为全校提供有关信息化服务,每个学院也自行向因特网发布学院信息并负责学院自己的信息服务,设每个学院提供都有超过1500台PC。 大学已从中国教育科研网CERNET有关机构申请了IPv4地址块59.193.144.0/20。 校园网络规划 采用三层结构为该大学设计校园网:选用万兆以太网作为连接大学3个校区的高速主干,校园网主干采用因特网的公网地址;选用千兆以太网作为各个校区的主干,形成大学校园网的汇聚层;选用百兆到桌面作为基本的接入形式。 校园网有两个出口,一个是Internet,一个是Cernet。运用路由RG-NBR3000分别连接两个出口。校园网的主干采用的事锐捷的RG-S8606交换机,各个校区的核心交换机相连,采用万兆以太网技术,使其连成一个环状。各校区连接的链路租用电信公司的光纤。
各校区各楼的汇聚交换机连接到该校区的核心交换机,采用的是千兆以太网技术的连接方式,这样一方面能够和上层的核心很好的兼容,另一方面也能够保证校园网络的链路带宽。楼宇的汇聚交换机选用的是RG-S5758系列的能使用千兆以太网模块的交换机。 确定了各栋楼的汇聚交换机之后,就到了楼层的接入了。按照每栋楼的信息点的不同设置相应的FD,FD所连接的交换机还是选用锐捷的交换机,型号是RG-S1824的二层交换机。 为了确保校园网络内部的安全,我们需要进行VLAN的划分,我们采用按部门于按楼层划分相结合的方式划分VLAN。对于领导老师办公所在的楼以及教学楼,我们采用按部门的划分方式;对于宿舍楼,我们采用按楼层划分的方式。 网络管理的管理协议运用SNMP协议,使用的网管软件,因为我们选取的设备都是锐捷的,所以我们所用的管理软件也是锐捷的,型号是RG-SNC(智能网络指挥官),该网管软件不仅实现了管理界面化,还内嵌了WLAN的管理组件,可以实现有线和无线管理一体化,当学校有需求要搭建无线网络时,就无需在引进新的管理软件了。 网络的核心拓扑结构:
IP地址规划方案
文档修订记录
一、******网络结构概况 ******网络系统是一个高带宽、高速率的内部信息传输网以及高速的互联网接入系统。它可为大厦物业管理和用户提供数据运载服务及信息服务,同时也为将来的智能化中心系统构架优良的系统平台。高速的内部网络,可以为用户提供各种各样的信息服务。 网络设备分布情况如下: ●124台Quidway310010/100M 接入层交换机;●29台Quidway EWP-WA1208E-DG 无线网关; ●5台Quidway7506R 10/100/1000M 高性能汇聚层交换机;●2台Cisco6509E 10/100/1000M 高性能核心层交换机;●1台CiscoPIX535网络安全设备;● 1台Cisco3825网络接入路由器。 网络拓扑图如下: ******网络拓扑图 A座20台 B 座20台 C 座44台 E 座20台 D 座20台
二、IP地址规划基本原则 1.简单性:地址分配应清晰明了易于实施,降低网络扩展的复杂性, 简化路由表的条目。 2.连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减 路由表,提高路由算法的效率。 3.可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展 时能保证地址叠合所需的连续性。 4.灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充 分利用地址空间。 5.安全性:保证内部地址的不泄漏,外联业务的对外的地址与内部地 址的网段不同。 三、IP地址总设计思想 1.根据国际互联网RFC1918地址使用标准,中国******网络将采用标 准的私有IP地址。 a)172.16.0.0~172.31.255.255(16个B类地址,含220= 1,048,576个地址)作为终端用户地址范围。 b)192.168.0.0~192.168.255.255(1个B类地址,216=65,536 个地址)作为网络设备互联和网络设备标识地址范围。 2.互联网地址规划 a)广域网地址使用ISP(因特网服务提供商)所分配范围内地址, 合理利用掩码长度满足充分和必要的IP地址分配。
4.3IP 地址规划 IP 地址规划的重要性: IP 地址的合理规划是网络设计的重要环节,大型计算机网络必须对IP 地址进行统一规划并得到有效实施。IP 地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。 4.3.1 IP 地址规划总体要求 IP 地址空间的分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性、灵活性和层次性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还有考虑到网络地址的可管理性。 XX 网的IP 地址规划将遵循以下总体要求来分配: 1. 唯一性:一个IP网络中不能有两个主机采用相同的IP地址; 2. 可管理性:地址分配应简单且易于管理,以降低网络扩展的复杂性,简化路由 表; 3. 连续性:连续地址在层次结构网络中易于进行路径叠合,缩减路由表, 提高路由计算的效率;IP地址的分配必须采用VLSM技术,保证IP地址的利用 率;采用CIDR技术,可减小路由器路由表的大小,加快路由器路由的收敛速 度,也可以减小网络中广播的路由信息的大小。 IP地址分配尽量分配连续的IP地址空间;相同的业务和功能尽量分配连续的IP 地址空间,有利于路由聚合以及安全控制; 4. 可扩展性:地址分配在每一层次上都要留有一定余量,以便在网络扩展时能保证 地址叠合所需的连续性;IP地址分配处理要考虑到连续外,又要能做到具有可扩充性,并为将来的网络扩展预留一定的地址空间;充分利用无类别域间路由 (CIDR)技术和变长子网掩码(VLSM )技术,合理高效地利用IP地址,同 时,对所有各种主机、服务器和网络设备,必须分配足够的地址,划分独立的网 段,以便能够实现严格的安全策略
校园网IP地址管理暂行规定 第一章总则 第一条 IP地址是校园网的重要信息资源,为了进一步规范成都农业科技职业学院校园网所属IP地址的分配、使用和管理,保障校园网的正常运行和健康发展,根据国家颁布的《互联网信息服务管理办法》(国务院令第292号)及教育部关于加强高等学院校园网络信息安全管理工作的文件精神,结合学院实际,制定本规定。 第二条本规定适用于我院所有接入校园网的用户。 第二章管理机构及职责 第三条学院按照“统一管理,分级负责”和“谁管理,谁使用,谁负责”的原则,实行IP地址分配使用逐级责任制,对校园网IP地址进行规范管理。 第四条成都农业科技职业学院电教网络中心(以下简称“电教网络中心”)负责对校园网IP地址进行统一管理,其具体职责是: 1、制定校园网IP资源的规划; 2、负责用户申请IP地址的审批; 3、承担IP地址的日常维护与管理(如IP地址和网卡地址的绑定,自动分配IP地址的管理,网络故障的检测与排除等); 4、实施对IP地址的监管,组织开展联网单位IP地址使用与管理情况的检查; 5、制定并组织实施校园网IP地址管理的有关制度及技术规范; 6、为校园网用户提供相关的技术咨询与指导; 7、协助上级单位及学院有关部门开展网络信息安全的检查及违规事件的调查处理。
第五条学院各二级单位应按照“分工明确,职责明晰;责任到人,管理到位”的要求,进一步明确本单位校园网IP地址管理工作的分管负责人和直接责任人,制定具体的管理制度和措施,切实加强本单位校园网IP地址的管理,经常进行检查,有效预防和消除隐患。 第三章 IP地址的申请 第六条具备联网条件、愿意接受本规定全部条款的校内单位和个人,均可按相关规定向电教网络中心申请校园网IP地址,成为校园网的接入用户。 第七条根据网络应用范围、目的与形式的不同,我院IP地址的使用形式分为两类,即一般用户固定IP地址和特殊情况下经批准使用的动态IP地址。 第八条实行IP地址登记制度。 用户申请使用IP地址的办理程序是:(1)用户登陆“成都农业科技职业学院电教网络中心网站(https://www.doczj.com/doc/ba15765110.html,/wgzx/)”,下载《成都农业科技职业学院校园网络用户入网申请表》(一式两份),并按要求填写用户信息、明确具体用途;(2)用户所在单位负责人签署意见并加盖单位公章;(3)财务部门核实交费情况并加盖单位公章;(4)电教网络中心审核通过后,即按用户的需求分配相应的IP地址并及时开通。 用户申请使用IP地址用作建立网站的,应填写《校园网网站建设申请审批表》经用户所在单位负责人签署意见并加盖公章,交学院电教网络中心报学院校园网建设与安全管理领导小组审批通过后,由电教网络中心分配相应的IP地址并及时开通。 用户在办理校园网IP地址申请手续时,需签署《成都农业科技职业学院校园网用户责任书》。 第四章用户的权限与责任 第九条使用固定IP地址上网的用户,对其所属的IP地址享有专用权并按有关规定承担相关的费用。用户不得擅自挪用、转让校园网IP地址。
配置每台路由器和交换机的主机名, 区域一 配置vtp协议,单笔路由。不用NAT,全部使用静态路由 配置三个VLAN 规划IP地址(必须使用变长子网掩码) 将router3加入VLAN3中 在防火墙1中过滤外网进入区域一的ICMP流量 在防火墙1上做静态路由 要求,全网每一个主机能够访问本区域任何一个设备或终端外网能够访问服务器。 区域二 配置vtp协议,单笔路由。配置三个VLAN ,NAT,端口映射路由器就是pc2 将PC2加入到VLAN3中 规划IP地址(必须使用变长子网掩码) 防火墙1上配置NAT,使内网主机可以访问外网 打开PC2的Telnet服务 设置密码为Cisco 防火墙2上添加到PC2的静态Telnet映射 外网能够访问服务器 区域三 配置三个VLAN 配置vtp协议,单笔路由。配置三个VLAN ,NAT,端口映射规划IP地址(必须使用变长子网掩码) 防火墙3上过滤外网通往VLAN3的所有流量 过滤源地址PC3,目标地址是邮件服务器4的所有流量 全网能访问server1的web服务。 外网能够访问服务器 区域四 配置四个VLAN 配置vtp协议,单笔路由。配置三个VLAN ,NAT,端口映射将PC4加入到VLAN4中 规划IP地址(必须使用变长子网掩码) 防火墙4上配置NAT,使内网主机可以访问外网 打开PC4的Telnet服务 过滤外网通往PC4的Telnet流量 外网能够访问服务器 区域五 配置路由协议OSPF选择其中一个 配置帧中继互联使它们互通 使网络内的主机之间能够互通
注意使用ip ospf network broadcast 来修改网络类型
计算机网络规划与设计 6.2 IP地址 6.2.1 IP地址的类型 1.什么是IP地址? 2.IP地址的分类 下面是常用A、B、C三类地址的总结表: 表6-2 网络类别、网络地址和主机编号字段的取值围 表6-3归纳了A、B、C三类网络IP地址W段的取值围、网络个数及主机个数。 表6-3 A、B、C三类网络的特性参数取值围
3.IP地址中网络地址的使用规则 无论在Internet上还是在局域网上,分配网络地址(即网络ID)时,常用的A、B和C 三类网络的取值围如表6-4所示,配置和使用IP地址时,应遵循以下规则: ①网络地址必须惟一。 ②网络地址不能以127开头。因为127保留给诊断用的回送函数使用。 ③网络地址中的各位不能全为“0”,0表示本地主机,不能传送。 ④网络地址的各位不能全为“1” 即,十进制的255),全为1时,仅在本网络上进 行广播,各路由器均不转发。 表6-4 A、B、C网络地址和主机地址的取值围
4.IP地址中-主机地址的使用规则 ①在网络地址相同时,即在同一网络中,主机地址(编号)必须惟一。即I P地址中主机编号相对于网络编号来说必须惟一。例如:在202.112.144这个C类网络中,只能有一台主机的编号为“8”。 ②IP地址中主机编号的各位不能全为0,主机号全0表示该网的IP地址,例如,202.112.144.0。 ③IP地址中主机编号的各位不能全为“1”,主机号全1的地址是本网的广播地址,因此,255不能用做主机的编号。例如:202.112.144.255或128.1.255.255。 ④127.0.0.1代表本地主机的IP地址,用于测试;因此,该地址不能分配给网络上的任何计算机使用。 5.IP地址的表示规则 ①在主机或路由器中存放的IP地址都是32 bit的二进制代码。为了提高可读性,在写 出给人看的IP地址时,往往每隔8 bit插入一个空格。但这样还是不方便。于是我们常常将32 bit的IP地址中的每8 bit用其等效的十进制数字表示,并且在这些数字之间加上一个点。这就叫做点分十进制记法(dotted decimal notation)。下图7-8表示了这种方法,这是一个B类IP地址。
厦门大学校园网地址管理细则 第一条为加强校园网管理,充分发挥校园网作用,为全校师生员工提供稳定、可靠、安全的网络使用环境,保证校园网成为学校教学、科研、管理工作可靠的公共服务平台,根据《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理规定》和《中国教育和科研计算机网安全管理协议》等有关法律、法规,特制定本管理细则。 第二条本细则适用于接入厦门大学校园网的各院、部处等单位网络用户以及嘉庚学院所有网络用户。 第三条信息与网络中心是校园网络的日常管理机构,负责校园网地址的管理和分配,对用户申请使用地址进行审批,并负责提供相关的服务。 第四条我校校园网内实行静态地址分配方式,所有与校园网联接的设备均分配真实的、唯一的地址。 第五条用户申请流程 1.用户登陆学校主页()—>机构设置—>直属单位—>信息与网络中心—>服务专区—>申请流程,下载“单位用户使用申请表”文件。
2.填写所有相关内容,打印“单位用户入网申请表”由单位财务“一支笔”或项目负责人签字同意并加盖单位公章,将“单位用户基本信息表”和“用户地址申请表”两张表格的电子文档发送邮件至至信息与网络中心用户服务部邮箱。 3.各单位管理员携带相关申请资料至信息与网络中心服务部,经值班人员审查合格后予以开户。 第六条校园网用户在其网上活动中应该遵守网络礼仪和道德规范,不得使用网络从事攻击性、危害公共安全、损害公众利益、侵害他人正当权益、窃取或泄露他人秘密等违法国家相关法律、法规的活动,也不得查阅、复制或在网上发布、传播含有上述内容的信息。 第七条校园网用户未经允许不得向其他用户提供有偿服务,未经批准不得架设服务器对外提供各种服务、不得架设代理服务器。 第八条校园网用户禁止私自启动动态分配地址()服务;禁止盗用他人地址,对不遵守协定、扰乱网络资源的正常分配和使用者,一经发现,中止其网络服务至天。未经批准私设代理,发生网络信息安全事故的,将按照《中华人民共和国计算机信息网络国际互联网管理暂行规定》处理,并追究主管负责人和当事人的责任。 第九条用户如有以下行为将被停止账户使用,情节恶劣的移送学校相关部门处理。 . 盗用他人或者帐号密码而造成他人损失的; .拒缴欠费; . 恶意黑客行为;
2007年第11期福建电脑 基于SNMP解决校园网IP地址管理问题 林泽东,刘伟科,范晓宁 (山东科技大学现代教育中心山东青岛266510) 【摘要】:针对校园网中大量IP地址冲突、地址盗用、ARP欺骗攻击等问题,通过对比几种现有的方法,提出了利用SNMP技术构建了一个IP地址资源的自动分配、绑定和管理系统的解决方案。该方案经济实用并且已经在实际的环境中得到很好的检验和应用。 【关键词】:SNMP;ARP绑定;ARP欺骗;地址盗用;地址冲突 随着校园网规模的不断扩大,校园网用户数量的逐步激增。这一趋势给校园网的管理与维护带来了很多的压力。校园网管理问题中IP地址资源的管理问题是基本问题,也一直是网络管理工作中让管理员比较头痛的问题,而最近比较猖狂的ARP欺骗攻击使这一问题变得越发严重。因此,如何更加合理的分配IP地址资源、避免IP地址的冲突与盗用和预防ARP欺骗攻击成为一个急需待解决的问题。 1.常用的IP地址资源管理办法 1.1采用人工静态绑定技术 人工的静态绑定技术主要是在路由器或交换机上人为设置静态ARP表项来防止IP地址冲突问题。这种方法对于小型的网络还是比较方便的,但对于大型的网络,收集、维护合法的IP-MAC信息对于网络管理员是件麻烦事、容易出错而且效率不高。所以这种方法不灵活,效率不高。 1.2采用DHCP技术 DHCP可以使网络上的客户机动态地获得配置信息,具有自动分配可用网络地址等功能。DHCP分配的地址可以保证网络中没有冲突的地址出现,但由于此协议的局限性也使得它在应用的时候出现很多问题:首先、DHCP服务器不能查出网络上非DHCP客户机已经使用的IP地址。如果网络中有用户使用了静态的IP配置,那么他可能与DHCP服务器分配信息相冲突;其次、是网络中的DHCP服务器之间是不通信的。使得冒充的DHCP服务器这一问题无法解决。 最新的DHCPsnooping和ARPinspection技术虽然解决了上述问题,但是对网络设备的IOS要求比较高,这不利于保护用户投资。 1.3采用802.1x协议认证 802.1x协议是一种基于端口的网络访问控制协议。802.1x认证体系结构包括请求者、认证者和认证服务器。认证过程中,请求者发起认证请求,认证者负责对请求者进行认证,它通常是支持802.1x协议的网络设备(例如交换机和AP),认证服务器负责提供认证服务。只有认证通过后请求者所连接的端口才开放,网络资源对请求者可见,否则不可见。目前,802.1x的优势和安全性很大程度上依赖于私有拨号客户端。如果一旦客户端被破解或者被伪造,则很多功能将形同虚设。这种认证同样要求用户接入设备都必须支持802.1x协议。 2.本方案的技术原理 目前大多数的校园网都是按照核心层、汇聚层、接入层三层结构来设计的,而在汇聚层设备上通常都维护着在线用户的ARP(IP-MAC)信息。本方案就是一个自动维护数据库与汇聚层设备上合法用户IP-MAC信息库的过程。程序周期性地读取汇聚层设备上在线用户的ARP信息,通过把这些信息与合法用户信息库中的记录进行对比来判断用户合法性。如果两者中的IP和MAC只有一个不同则认为是非法用户,否则认为是合法用户。对于合法用户的信息可以更新或添加到数据库中,而对于非法用户可以通过向其发送ARP欺骗包阻止其使用网络。其工作原理如图1所示。3.本方案的功能模块组成 本方案主要包括参数配置、数 据采集、数据处理及Web自助四个 模块。 3.1参数配置模块 这个模块主要的功能是设置系 统运行所需的参数。参数主要包括 汇聚层设备读、写共同体名,连接数 据库的帐户和密码,合法信息库中 IP-MAC记录的超期周期,在线用户 ARP信息采集周期等。 3.2数据采集模块 这个模块主要的功能是根据参数配置模块设置的采集周期等信息,利用SNMP协议,通过对汇聚层设备上的ipNetToMedi-aTable表进行读取,得到当前设备上在线用户的ARP数据信息。 3.3数据处理模块 这个模块是整个系统的核心。它主要对采集到的数据与合法信息库的数据进行分析比较,判断ARP信息是否合法,并根据分析结果采取一些处理动作。此模块主要包括合法性分析、分析结果处理和合法信息库维护。 (1)合法性分析 合法性分析根据被分析数据中的IP-MAC和合法信息库中IP-MAC的比较关系的不同来判断被分析IP-MAC的合法性。其可能的情况有很多中如表1。 表1:对比结果表 (2)分析结果处理 合法信息库中每条记录主要包括三个字段:IP、MAC、时间戳。记录中IP和MAC分别是一个合法用户对应的IP地址和MAC地址。时间戳记录的是这条IP-MAC信息被使用的最近时间,是决定记录是否有效的关键,也是数据表的关键字段。 合法性分析产生了四种情况,对于第一种情况的处理只是用系统的当前时间戳更新此IP-MAC记录的时间戳字段。对于第四种情况,说明是有新的用户使用了新的IP地址,要将此新的IP-MAC添加到合法信息库中并更新时间戳。然后通过对ipNetToMediaTable进行写操作将IP-MAC绑定到汇聚层设备上,这样既可以防止非法用户使用此IP地址又可以有效防止一些ARP欺骗。而对于不合法情况,则通过向非法用户发送伪造的欺骗性的ARPReply包阻止其继续使用网络。 (3)合法信息库维护 分析处理结果部分在对每个IP-MAC进行处理时,已经对合法IP-MAC记录的时间戳进行了更新。合法信息库维护就是删除合法信息库中超期的无用的记录,保证信(下转第128页) 图1技术原理流程图 129