razorsh 发表于 2017-8-3 14:02

有木有什么比较好的电脑IP地址分配方法?

我们公司现在的用户IP分配规则是全都手动配置IP,然后用Excel表格进行记录,交换机上并未配置任何端口策略。
但目前这种方法的弊端特别明显,总会有人自己手欠或者出于其他原因,随便改IP地址导致互相冲突;员工调离职也不会和我们打招呼,所以一段时间下来后,IP地址记录的表格就根本是扯淡了。
因为出于维护成本考虑,现在没有做交换机端口策略限制,之前做过一段时间的限制,结果是把我们自己坑了,每天就是在处理各种端口解除限制的事情。

我们公司的网络平台是思科,主机方面有Windows server2016,有域,不知道能不能以现有这些东西组建一套维护成本低的、记录准确的IP地址分配方法?
最好是切换前期的工作量也略小一些的,因为运维人员实在是太TM少了,工作量大的话,根本干不过来。

EraserKing 发表于 2017-8-3 14:40

DHCP绑MAC?

系统杀手 发表于 2017-8-3 14:44

dhcp自动近限制区 + 根据mac分配ip进一般区

或者建个pppoe服务器靠拨号账户密码管理好了

lotsbiss 发表于 2017-8-3 14:51

为啥要固定IP?
::GetHostByAddress("IP地址") | %{$_.HostName}
先取得主机名
然后 quser /server:主机名 获得当前登录用户

razorsh 发表于 2017-8-3 15:17

系统杀手 发表于 2017-8-3 14:44
dhcp自动近限制区 + 根据mac分配ip进一般区

或者建个pppoe服务器靠拨号账户密码管理好了 ...

这种方式要前期手工把所有用户的MAC地址都记录一遍才行吧?因为不同用户在不同楼层应该分配不同的IP段,从而访问权限也不一致。
DHCP的限制区和一般区都是在Windows server上做的吧?

razorsh 发表于 2017-8-3 15:18

lotsbiss 发表于 2017-8-3 14:51
为啥要固定IP?
::GetHostByAddress("IP地址") | %{$_.HostName}
先取得主机名


这是啥高端的东西?

robit 发表于 2017-8-3 15:21

那么不用DHCP的理由是什么?

lotsbiss 发表于 2017-8-3 15:41

razorsh 发表于 2017-8-3 15:18
这是啥高端的东西?

登记IP不就是为了找到对应的人么
IP用DHCP自动分配,需要找人的时候在Powershell里运行一下

栗悟飯 发表于 2017-8-3 15:43

我好奇,一个IP地址和权限有什么关系,感觉就好像你没法在楼底下的便利店买东西,店主告诉你,你不能买东西因为你和我不是一个街道的。

luckey2 发表于 2017-8-3 16:03


windows 配置一个dhcp服务器
交换机上开dhcp snooping 可解决ip冲突及虚假dhcp服务器问题
如果需要固定ip dhcp服务器里绑mac吧

ambivalence 发表于 2017-8-3 16:15

本帖最后由 ambivalence 于 2017-8-3 16:17 编辑

直接静态arp表

zerocount 发表于 2017-8-3 16:23

按楼层不同访问权限的话可以按各楼层交换机设置vlan 再按vlan下发dhcp信息 方便之后管理和维护
这个切换的工程就比较大了
首先就是要有信息点布点图 交换机跨楼层的话还要细分vlan到各端口
其实如果能细分到办公室的话 再好不过了 部门搬家啥的改改vlan地址权限即可

razorsh 发表于 2017-8-3 19:52

栗悟飯 发表于 2017-8-3 15:43
我好奇,一个IP地址和权限有什么关系,感觉就好像你没法在楼底下的便利店买东西,店主告诉你,你不能买东西 ...

当然有关系,财务的某些系统别的部门当然不能访问,人力的某些内容也不是别的部门能访问的。

darkangel0224 发表于 2017-8-3 19:57

razorsh 发表于 2017-8-3 19:52
当然有关系,财务的某些系统别的部门当然不能访问,人力的某些内容也不是别的部门能访问的。 ...

你这个要求更适合搞域控,所有权限跟着账号走

razorsh 发表于 2017-8-3 20:03

darkangel0224 发表于 2017-8-3 19:57
你这个要求更适合搞域控,所有权限跟着账号走

虽然是这么说,但在我们单位推广域的难度太大了,而且会有一大堆后续问题,总之不太现实。
我们运维加上经理就四个人,管上千人的。。。坑啊

lawsherman 发表于 2017-8-3 20:24

你们没上vlan吗,没绑定主机mac吗
获取mac地址的话直接用扫描工具扫一圈就行了啊

这些都可以在三层交换机和防火墙上做的

栗悟飯 发表于 2017-8-3 20:51

本帖最后由 栗悟飯 于 2017-8-3 07:33 编辑

razorsh 发表于 2017-8-3 04:52
当然有关系,财务的某些系统别的部门当然不能访问,人力的某些内容也不是别的部门能访问的。 ...
对啊,这不是很奇怪吗,财务部门的人不能够和人力部门的人住在一个小区?验证身份就是该看户口本(设备mac地址)身份证和签名(员工账号的权限和密码)还有不同的班车(Vlan)吗?蹊跷的是,这不像是技术问题。觉得楼主发的这个贴在形容一个僵局。用大楼的例子,公寓的管理员收到一封信:xxx房间要空出来,然后管理员就把钥匙直接丢到公寓大门口了(人工配置ip,excel记录)。管理员在楼梯间塞满垃圾路障,房客出不了门(操作交换机的端口,而不是路由器那边的)。好像户口本登记不方便(mac地址要一个一个记录)。身份证信息连不了派出所(推广不了域)。305有人搞群租,6楼的房间都空着,快递来了直接丢房门口没人签收。而且房客都没有登记身份证户口簿工作信息,现在楼里面有多少外来人员?

RaidenII 发表于 2017-8-3 21:10

razorsh 发表于 2017-8-3 07:03
虽然是这么说,但在我们单位推广域的难度太大了,而且会有一大堆后续问题,总之不太现实。
我们运维加上 ...

上千人的还不用域那不是作死么……

100SHIKI 发表于 2017-8-3 21:19

vlan+域控,域控可以先小范围测试嘛

refo2613 发表于 2017-8-3 21:28

ccen3020 发表于 2017-8-4 22:43

我以前的公司是办公室在OA上走流程就可以给新电脑绑IP
IP跟着电脑走

xtwangqu 发表于 2017-8-4 22:47

推荐我司的adcampus解决方案
用户与网络解耦合,无论用户在哪均得到同一个IP,同一套策略与权限

HyperIris 发表于 2017-8-6 01:12

lpc2103 发表于 2017-8-6 02:05

搞个交换机,然后划分几个vlan不行吗?

—— 来自 xiaomi Redmi Note 3, Android 7.1.2上的 S1Next-鹅版 v1.2.1

wind1084 发表于 2017-8-6 05:24

换个思维,为什么一定要固定IP呢?用dns通过主机名很容易就能找到IP了啊。

-- 来自能搜索的 Stage1官方 iOS客户端

razorsh 发表于 2017-8-9 10:49

xtwangqu 发表于 2017-8-4 22:47
推荐我司的adcampus解决方案
用户与网络解耦合,无论用户在哪均得到同一个IP,同一套策略与权限 ...

下载了一个adcampus director的彩页先研究一下,后续有问题在咨询你,多谢

maidplayer 发表于 2017-8-10 08:54

总会有人自己手欠或者出于其他原因,随便改IP地址导致互相冲突
-----------
域用户哪来的权限改IP?

psi 发表于 2017-8-10 11:03

admidi 发表于 2017-8-10 11:34

maidplayer 发表于 2017-8-10 08:54
总会有人自己手欠或者出于其他原因,随便改IP地址导致互相冲突
-----------
域用户哪来的权限改IP? ...
看上面楼主的回帖,他们就没做域……

loslandy 发表于 2017-8-10 13:47

上千人还不走域确实太自找苦吃了...

gnorz 发表于 2017-8-10 14:10

因为域控制之后限制太大,可能不能H网,不能玩小黄油,
一帮人当然不乐意。。
页: [1]
查看完整版本: 有木有什么比较好的电脑IP地址分配方法?