校园网IP分配管理现状

　　在网络技术不断发展的今天，校园网经历了从无到有、从单纯的硬件平台建设，到基于校园网的软件应用的快速发展历程。当前，各高校已经实现了教学区、实验区、办公区、宿舍区等职能区域网络的建设，但随着校园网用户的日益增多，IP分配方式及管理的问题日益突出，针对校园网的拓朴结构和规模、用户数量、应用状况，采用何种IP分配方式直接影响到校园网管理的规范性和条理性，以及信息的安全性等。

　　目前，在高校校园网最为常见的IP地址分配及管理技术有两种：DHCP协议动态分配技术、ARP协议IP+MAC绑定技术。

　　应用DHCP协议动态分配IP地址的最大特点是便利了用户的接入操作，用户自动获取IP地址即可，无需记忆IP地址、子网掩码等接入参数。同时也减轻了网络中心IP地址管理的负担。

　　应用ARP协议IP+MAC绑定技术实现了整个校园网接入和管理的规范化，同时也为校园网信息安全奠定了基础。应用ARP协议，我们不仅通过IP与MAC的绑定解决了用户IP地址使用混乱的问题，更重要的是逻辑上实现了IP与用户的绑定。

　　因采用DHCP协议动态分配IP地址的随机性和不确定性，在第一时间找到非法信息源是非常困难的。在采用DHCP动态分配IP地址方式下，通过计费系统记录用户访问日志来找到非法信息源也是一种很有效的方法。但从数以万计的访问记录中查找非法信息源不但增加了工作量，而且需要足够的日志存储空间。因此，越来越多的高校网络中心开始建立起自己的IP地址管理制度，从上级ISP申请公有IP地址提供给校园网用户，并采用ARP协议对IP和MAC进行绑定。

　　现在，有一个问题摆在我们面前：如何更有效地实现校园网内的IP分配与管理，能够符合最新的《互联网IP地址备案管理办法》要求？由长春工业大学计算机信息网络中心设计开发的“Man-IPv4 IP分配与管理系统”在校内经过近四年的应用与完善，提出了一套具有一定参考价值的方案。

　　常见问题分析

　　高校校园网管理过程中经常遇到和关心以下的几个问题：

　　学生更换宿舍楼

　　很多高校以建筑楼宇为单位划分VLAN，每栋建筑楼宇的网络地址独立，即不能在其它的楼宇使用。每学年的开始或结束各高校网络中心都要忙于为更换宿舍楼的学生更换IP地址。注销原IP，录入用户信息分配新的IP地址，重复录入，增加了工作量。

　　“过期IP”的处理

　　IP资源是有限的，大量的IP地址分配之后，我们如何知晓并注销那些分配出去但已被废弃不用的IP地址？我们不可能期盼毕业的学生或者不再使用校园网的师生到网络中心来注销IP地址。

　　核心交换上IP+MAC的绑定

　　谁都不愿手动向核心交换中逐条录入所有用户的IP和MAC进行绑定，但为了防止乱占IP地址，我们又不得不这样做。

　　用户量大时基本信息的录入

　　当校园网接入用户量达到一定规模的时候，用户基本信息的录入工作日益繁重。

　　IP分配与计费系统能否结合

　　既要分配IP地址，又要分配上网账号。如果在分配IP地址的同时也能把账号分配了，岂不减少了一半的工作量？

　　本系统在开发过程中，认真分析了上述问题，并逐个解决。这也是Man-IPv4系统的一大特色。

　　系统结构设计

　　“IP分配”部分是整个系统的核心，但考虑到系统的完整性、扩展性及人性化设计的理念，本系统以“IP分配模块”和“IP分配规则”为中心又扩展了“系统工作记录” 、“数据统计” 、“过期IP处理” 、“数据库管理” 、“计费系统接口”等，共七大模块（见图1）。

　　IP分配规则

　　任何行业都要按规则办事。同理，我们为用户分配IP地址前必须按照制定好的规则去分配，用户在哪个楼里就分配哪个楼的IP。“IP分配规则模块”分为楼宇（IP组）管理和IP段管理两部分。楼宇管理是添加和编辑楼宇，即分配新的IP组。IP段管理是向已经建立好的楼宇设定可分配IP段的“起始IP” 、“结束IP” 、“子网掩码” 、“网关” 、“DNS”等基本配置信息。例如：我们新设定的楼宇为“学生公寓一栋”，此楼宇IP分配规则为：

　　起始IP：202.198.181.1

　　结束IP: 202.198.181.253

　　网关：202.198.181.254

　　子网掩码：255.255.255.0

　　DNS: 202.198.176.1

　　设定完成后，我们在应用“IP分配模块”的时候，只要选择楼宇名称便直接遵循与选定楼宇所对应的IP规则进行分配。

　　IP分配

　　本模块分为“自动分配” 、“指定分配” 、“迁栋”、“审批IP” 四部分。

　　自动分配：录入申请接入校园网用户的基本信息后，选择好所在楼宇，提交后系统按照所选楼宇的IP分配规则进行分配，并自动返回一个IP地址给用户。

　　指定分配：当我们希望为一个用户或者部门指定一个IP地址，而非系统自动分配的IP地址时，可应用此模块。应用此模块的前提是所指定的IP地址必须是未分配的IP地址。

　　迁栋：校园网用户搬迁楼宇需更换IP地址，管理员无须注销原IP地址，注册新IP地址。系统提供了“迁栋”功能，只需选择将要搬迁的楼宇名称，提交即可。

　　审批IP：前面常见问题中提及信息录入牵扯网络中心大量的人力和时间，如果具备一定的条件，我们可以设置一批计算机，用于用户申请IP地址和账号，由用户自行录入，然后由工作人员进行审核。

　　另外，上述常见问题中提到，IP+MAC绑定是非常麻烦的步骤。系统在搜索中增加了ARP协议命令行导出的功能。系统根据搜索条件自动生成文本格式的ARP协议命令行。

　　arp 202.198.180.143 00d8.f81b.ac98 arpa

　　arp 202.198.180.142 00d0.f828.aad8 arpa

　　……

　　管理员只需将导出的命令行复制粘贴到核心交换中即可，避免了过去人工逐条输入的麻烦。

　　过期IP处理

　　这里所指的“过期IP”表示已被用户申请，但用户放弃使用的IP地址。按照校园网使用的特点，IP使用中的用户必然访问两项服务：校园网首页WEB服务和计费服务。在这两项服务的脚本中添加部分代码，通过这些代码采集访问者的基本信息，主要是IP地址和访问时间，并通过系统进行处理存储。管理员可以设定“过期IP”时间。例如：3个月未被使用的IP为“过期IP”，表示用户放弃使用，系统可以自动或手动注销这些IP地址。系统根据“采集到的IP和时间”、“系统已分配IP”、“管理员设定的过期IP时间长度”这三项进行分析，从所有已分配的IP地址中提取“过期IP”并进行处理。

　　计费系统接口

　　IP分配与管理系统同计费系统的整合将提高工作效率。根据长春工大的网络环境，本系统与“Eyou计费网关”成功进行了整合，设计出Man-IPv4 For Eyouipb版本，能够适应“Eyou计费网关”的各种计费策略。在分配IP地址的同时可直接开账户，并支持账号与IP地址的绑定，防止账号被盗。同时我们也在寻求同其它计费系统的合作，共同完善、共同发展。

　　系统工作记录

　　系统工作记录模块跟踪系统的所有操作，并以日志的方式记录，同时记录非法登录或强行登录者的IP地址、时间、登录信息。

　　数据库管理

　　用户的IP、MAC、基本信息是非常重要的数据，一旦丢失，将直接影响到校园网的正常运行。数据库管理模块除提供数据库的修复、优化功能外，还提供备份功能。同时，系统可直接将所要求提供的用户信息备份成文本文件，以达到《互联网IP地址备案管理办法》的要求。

　　系统如何自动分配IP

　　对于一套“IP分配与管理”系统来说，IP的分配机制是整个系统的核心部分。用户或管理员录入信息提交后，系统会对所在楼宇数据进行分析处理，向数据库中获取与楼宇相对应的IP分配规则，主要是可分配的起始IP和结束IP，例如202.198.181.1到202.198.181.253。系统从起始IP地址202.198.181.1开始对数据库中已分配IP进行检索。如果IP已分配，则检索下一IP地址202.198.181.2 ，直到检索某IP未被分配，例如：202.198.181.3，于是系统将用户的基本信息和IP地址存入数据库中，并将这些信息返回给用户。具体流程见图3。

　　随着校园网接入用户的逐渐增加，单靠引进计费系统对校园网用户进行管理是远远不够的。Man-IPv4系统的IP地址分配和用户管理功能，特别是与计费系统的整合，将有助于解决校园网管理中遇到的和有待解决的各种问题。在长春工业大学使用和完善的四年中，节省了大量的时间和人力，办公效率从起步至今提高了一倍多，从而为其他高校的IP管理提供了一个可行的参考方案。