局域网上的IP地址管理
刘刚
随着网络技术的发展和网络应用的推广,有越来越多的应用程序需要移植到Unix主机上,也有越来越多的应用程序要求对Internet进行访问。在这种情况下,在LAN上应用IP就显得越来越紧迫、越来越重要了。表面上看,把IP添加到LAN上并不是一件很困难的事情。然而,在LAN上对IP地址进行管理却是一个很令人头疼的问题,这主要是因为在LAN管理系统中往往缺乏IP地址的分配和管理能力。
在传统的IP网络中,网络上的每一个设备都有一个永久的IP地址。这种IP地址是一个32位的二进制数据。这32位数据又分为4个部分,每一部分都包含8位二进制数据,我们称每一部分为一个八位位组(octet)。实际上,每一个IP地址都可以在软件中加以改变,而且每一个IP地址都与一个固定的硬件地址(如以太网地址)相联系。这种稳定的联系被用作是基于IP的安全措施、网络管理和配置方案的基础。IP地址也是一种寻找网络资源(例如TCP/IP网络上的服务器)的最为常用的工具。
如果服务器的IP地址发生了变化,那么DNS(Domain Naming System)必须重新配置。否则的话,应用程序将无法与这个服务器建立连接。在经常发生变动的网络环境中,这种维护工作是很费时的。
许多网络功能(包括安全措施、寻找网络资源和路由选择等)都使用稳定的地址。不幸的是,现在的许多LAN环境正在破坏这一稳定性。例如,随着企业各部门的扩编或精简,许多计算机需要从一个网络移到另一个网络上;工作组(workgroup)也可能会从一套机器移到另一套机器上;有时为了提高网络的性能,还需要对网络进行重组。所有这些都大大地破坏了传统网络所需要的稳定性。
对一台发生了变动的计算机,网络管理员不得不改变它的IP地址、缺省路由器、DNS信息和所有依赖于IP地址的安全措施。因此,站在LAN网络管理员的角度上来看,为LAN上的每一台设备分配一个IP地址的要求会导致许多实实在在的管理问题。
解决这些问题最简单的方法在实际应用中往往是行不通的。例如,我们可以为每一个以太网卡分配一个IP地址,然后根据IP地址来决定采用什么样的安全措施、如何进行配置以及采用什么样的路由选择方案。但是,这种解决办法只有在那些稳定的网络环境中才是行得通的。
类似的,如果我们有足够的地址可以分配给用户的话,我们当然可以给每一台工作站一个IP地址。但是,因为IP地址是事先分配给各个企业或组织的,所以这些企业或组织往往没有足够的地址为LAN上的每一台设备指定一个单独的IP地址。
在这种情况下,有两种方法可以解决IP地址管理的问题。一种方法是对基于工作站的TCP/IP栈进行集中管理和存储;另一种方法是使用IP网关,IP网关可以提供集中式自动地址分配、动态地址公用和地址共享功能的组合。这两种方法在许多方面是不同的。为了使您可以更加清楚地认识到它们的区别,我们有必要先对一些相关的术语进行简单的介绍。
1、几个相关的术语
(1)动态分配:
采用动态分配的方法,软件可以快速地对用户的请求做出响应,把公用的IP地址分配给用户或收回分配给用户的IP地址,使它仍然可以为许多用户公用。一个动态分配的例子如:25个分散的用户共享10个IP地址。如果有一个用户请求一个IP地址的话,动态分配方法将把这10个IP地址中的一个(随便哪一个)IP地址分配给这个用户使用;在这个用户使用完这一IP地址后,再收回这一地址。不难看出,同一个用户在多次应用中申请到的IP地址可以不是同一个。
(2)自动分配:
自动分配不会对用户申请IP地址的请求做出快速的响应,它是指在一次操作中把一整块可用的IP地址分配给硬件地址,而不是一次分配一个IP地址。
(3)地址共享:
当多个工作站共享一个IP地址时,所有这些工作站可以使用这一地址同时对IP网络进行访问(往往只有网关才能使地址共享成为可能)。运行在网关上的软件对多个IP数据流进行分离,并把它们分别传递给相应的工作站。可以通过端口号区分不同的工作站。端口号是一个标准的TCP/IP标识符。
这种地址共享有点类似于日常生活中的信件。邮局先把属于同一单位的信件送到该单位的收发室,再由收发室分发到各个不同的部门或个人,这就要求单位中的每一个部门或个人都有一个唯一的内部信箱号———就像每台工作站有一个自己的端口号一样。邮局只关心各个单位的地址而不必清楚各个单位 |
|
的内部机构;同样,位于LAN外部的路由器或网关只考虑这多个工作站所共享的IP地址,而不考虑它们的端口号。
(4)地址公用:
在地址公用方法中,当一个工作站需要对IP网络进行访问时,集中式IP管理软件为它分配一个IP地址;当工作站完成对IP网络的访问后,它收回分配给用户的IP地址,使这个IP地址成为公用的IP地址。工作站每一次对IP网络进行访问时申请到的IP地址可能不是同一个地址。
下表是上述内容的概括:
当工作站只作为客户机使用并且没有用户需要通过DNS来寻找它们时,可以使用地址共享方法。例如,同一个网络上的多个FTP和telnet客户机就可以共享同一个IP地址。地址共享方法对于用于NFS、Mosaic、gopher、mail和news应用程序的客户机仍然适用。用于这些应用程序的客户机需要唯一的IP端口号,但它们可以共享一个IP地址。
相比之下,服务器则需要一个唯一的IP地址。如果用户需要通过DNS寻找这些服务器的话,它们还必须具有固定的地址。FTP和NFS服务器就属于这一类。而有些服务器(如X服务器)没有在NFS中登记注册,它们需要一个唯一的地址,但并不一定是固定的地址,因此,它们适用于地址公用方法而不适用于地址共享方法。
2、两种IP地址管理方法的比较
下面分别对前面提到的两种方法进行介绍。
方法1:对基于工作站的TCP/IP栈进行集中管理和存储
对于单纯的基于工作站的TCP/IP,地址分配和管理是非集中的、静态地和手工的。当在工作站上安装网络软件时,管理员会指定一个IP地址,这一地址可以根据工作站的需要做相应的改变。但是,一旦地址分配以后,它就不能再改变了。在这里,没有提供IP地址的自动分配或改变功能,地址是一个接一个分配的。同时也不能使多个工作站共享一个IP地址。
然而在LAN上,需要对基于工作站的TCP/IP栈进行集中管理和存储。为了把配置信息(包括IP地址信息)传递给IP网络上的设备,IP地址的集中管理和存储主要基于以下两种标准协议中的一种———BOOTP或DHCP。BOOTP和DHCP不支持地址共享,在这两种协议中每个一个工作站有一个TCP/IP栈和一个IP地址。
采用这种集中管理机制,LAN管理员可以通过一个管理控制台分配和改变IP地址,同时他(管理员)还可以完成许多其它的任务(譬如为每一个工作站指定一个DNS服务器和一个缺省的网关)。
集中管理机制可以自动完成IP地址分配任务。例如,管理员可以手工录入一个IP地址的列表,集中管理机制会自动把这些IP地址分配给硬件地址。一个IP地址可以为某一个特定的用户保留,也可以只是简单地从公用的IP地址中分配一个给硬件。但是,在这种方法中IP地址是不能共享的。
方法2:使用网关的方法
如果使用网关,则会灵活得多。网关可以提供集中式自动地址分配、动态地址公用和地址共享的任意组合。给一个网关指定一个地址,这个地址就可以被LAN上的多个工作站所共享。
使用网关的优越性在于:公用地址或共享地址可以大大简化LAN上的IP地址管理任务。这些技术不但可以减少所需地址的数量,而且可以自动适应网络的变动。这样一种方法还可以适应流动用户的需要。如果一个计算机从一个LAN上移动到另一个LAN上,没有必要改变这台机器的IP地址和缺省路由器,因为它本来就不具有自己的IP地址。
同样地,一个用户可以使用一台新的计算机而不会产生任何问题。用户工作站不需要配置信息,所有配置信息都集中位于文件服务器上,并且与用户ID、用户组名或以太网地址联系在一起。
使用地址公用或地址共享方法时,应采取的安全措施或配置信息不可能总是依赖于IP地址,因为这时的IP地址并不是与特定的机器或用户联系在一起的。相反,网关管理软件将使应采取的安全措施或配置信息依赖于用户ID、用户组成员或以太网地址。这样会提供一定程度上的灵活性,而当配置信息和安全措施依赖于IP地址时,这些灵活性是不具备的。例如,不管用户使用什么样的工作站,他的用户ID往往是不会改变的。因此,对流动的用户组或用户来说,不管他们走道哪儿,他们都可以采用相同的安全措施和配置信息。为用户组而不是为每个用户指定应采取的安全措施和配置信息也可以获得同一层次的灵活性。另一方面,如果想把安全措施和配置信息与某一个特定的机器联系起来时,可以通过以太网地址来完成。
有些网关还有容错能力。如果用户的计算机发生了故障,他可以用另外一台机器,因为它们具有相同的IP地址。
文章版权或来源:中国动感技术网络 |
