在我们的小办公室里多年来我使用基于用户设备位置的 IPv4 地址分配方案,例如:
- 房间 #1: IP 范围 #1
- 房间 #2: ip 范围 #3
- 房间 #N: IP 范围 #N
对我来说它有一个优点:可以通过 IP 地址轻松记住用户设备的位置(以及设备是什么)。
但这种方法经常被违反,因为不同部分的用户设备经常从一个房间迁移到另一个房间。
还有另一种可能性:为用户设备永久分配 IP 地址,使其在办公室内一直有效(例如基于 MAC 地址)。但使用这种方法无法知道用户设备现在位于何处,也无法将 IP 地址分组为更大的块/前缀以进行路由/防火墙。
我仍然不喜欢使用 DHCP 并静态分配地址,而且我们没有管理型交换机。
我现在想知道在 IP 分配中哪种方法更常见?
答案1
如果您的交换机支持该功能,您可以使用 802.1x 计算机身份验证为计算机动态分配 VLAN,无论它连接到哪里。
这样计算机就会始终处于正确的 VLAN 和 IP 范围内。
这需要一个身份验证服务器,通常是 radius 。
运行网络策略服务器的 Windows 计算机可以充当使用 Active Directory 用户数据库的 Radius 服务器。否则,它可以安装在 Linux 上并使用几乎任何用户数据库(包括 Active Directory)。
答案2
我只是觉得没有必要在一个办公室内以不同的方式过滤用户。所以我使用 DHCP,每个位置一个池。当我需要知道用户连接到哪个端口时 - 我使用简单的技术:arp -an | grep <IP>->show mac address-table address <MAC>在交换机上(或show ether-switching-table | match <MAC>)。毕竟这很少需要。
我当然使用 VLAN,但这主要是为了区分服务:语音 VLAN、无线 WLAN、管理 VLAN 等等。
使用 radius 将用户分配到特定的 VLAN 是一项很好的技术,但它更多的是适用于 ISP 世界,而不是企业。