局域网中的IP地址管理

作者：朱振蕙

来源：《科技资讯》2011年第03期

        摘 要:在局域网中,IP地址并不是永久固定的,就用户来说,他们会因为某种原因更改自己的IP地址,而没有经过网络管理员审批。在局域网中像这种超出网络管理员监督之外的IP地址变更会对网络的稳定性和安全性造成影响。本文通过介绍软硬件结合的方法,将IP地址与MAC地址绑定,有效地解决IP地址管理中出现的问题,为局域网用户提供良好的网络环境。

        关键词:IP地址 MAC地址 ARP协议 绑定

        中图分类号:TP393 文献标识码:A 文章编号:1672-3791(2011)01(c)-0013-01

        1 IP地址管理的必要性

        IP地址就像公用电话系统中的电话号码一样,用来识别不同的用户。但基于TCP/IP网络的IP地址与电话号码又有着本质的区别。在公用电话系统中,电话号码的使用用户是基本稳定的,如果用户要更换号码则需要办理一系列复杂的手续,并作详细登记。而在局域网中,用户所使用的IP地址是不稳定的,特别是随着办公信息化的普及和网络中计算机数量的飞速增加,IP地址冲突、IP地址盗用、ARP欺骗等问题日渐突出。

        1.1 IP地址冲突与盗用

        在现实工作中,如果局域网中的IP地址是通过手工而非DHCP动态分配,则会存在用户基于某种原因而私自更改IP地址的可能性。由于这种更改是出于用户的随意性,中间并没有经过网络管理员的登记,因此这种改动往往逃开了网络管理员的监控,造成使用的IP地址不是网络管理员授权的地址。而该用户更改后的IP地址如果已被其他人使用,则会造成IP地址冲突。

        1.2 ARP欺骗

        ARP(Address Resolution Protocol)全名叫地址解析协议,在每台装有TCP/IP协议的电脑里都存在ARP缓存表,表里的IP地址与MAC地址是一一对应的,在网络中正是通过此协议将IP地址转化为MAC地址。但是ARP协议存在着致命的漏洞,在网络中主机之间的访问不是通过网络层的IP地址来传输数据,而是通过数据链路层的MAC地址来传输。当源主机不知道它要访问的目标主机的MAC地址时,源主机就会发送ARP广播来询问网段内的所有主机,当目标主机收到源主机发来的ARP广播后,便会发送回复消息,告诉源主机本机的MAC地址就是正确的目标地址。而ARP协议的漏洞恰恰就在此,因为目标主机回复源主机的消息没有经过任何的认证或其他安全措施保障,当局域网中有一台主机试图窃取源主机的信息(如用户名、密码等)时,便会伪装成目标主机回复源主机,IP地址不变,但把目标MAC地址改成了自己的地址,导致源主机误以为该MAC地址就是目标主机MAC地址,而将信息错误的发送到该主机,造成信息的泄露。

        2 IP地址管理解决方案

        要实现IP地址的有效管理必须要硬件和软件方案同时并行,在硬件的实现基础上通过软件实行统一管理。

        2.1 硬件解决方案

        针对以上出现的问题,防止IP地址冲突、IP地址盗用以及ARP欺骗等网络问题,目前比较流行的解决方法是将IP地址与MAC地址进行绑定。用户如果想接入局域网则必须向网络管理员提出申请,网络管理员登记这台需要接入的主机的MAC地址与使用者信息,并分配IP地址,实际上就是IP与用户的身份实现了绑定。目前大部分IP地址与MAC地址的绑定是在二层交换机上实现,也就是基于交换机端口的MAC地址绑定方法。首先将用户所连的接入层交换机端口划到一个事先规划好的VLAN下,此举的目的是为了细分广播域,防止广播风暴的发生。而用户分到的IP地址必须与该VLAN所对应的三层IP地址所在的网段相同。以华三E352交换机为例,划分端口VLAN的命令如下:

        [H3C]VLAN 30 //创建VLAN30

        [H3C-VLAN30]port Ethernet1/0/2//把用户端口划到VLAN30

        [H3C]interface vlan-interface 30//进入VLAN30的端口配置模式下

        [inter-vlan30]ip address 172.18.30.1 255.255.255.0//配置VLAN30的三层端口IP

        [inter-vlan30]quit//退出VLAN端口配置模式

        通过以上命令,用户所在端口配置完成。接着要在交换机上实现IP地址、MAC地址、交换机端口的绑定。将这三者绑定是为了防止IP地址被盗用以及ARP欺骗。以华三E352交换机为例,三者绑定的命令如下:

        [H3C]am user – bind mac – addr mac ip – addr ip interface端口号

        在交换机上通过此配置,用户如果擅自更改自己的IP地址或者随意调换网络端口都将无法上网。这就有效防止了IP地址的冲突与欺骗,使网络管理员能更好的维护局域网的稳定安全。

        2.2 软件解决方案

        IP-MAC地址的绑定必定会产生庞大的数据库,包括IP地址表、MAC地址表、交换机端口信息表、用户信息表等。网络管理员必须能有效的管理和维护这些表,才能保证整个网络IP规划的正确性以及网络用户管理的安全性。但面对越来越大的用户入网量,采用传统纸质登记已经远远不能满足需要,配合该方法必须有一套IP地址管理系统。该系统可以分以下几个功能模块。

        (1)计算机登记模块:该模块用来登记入网用户的相关信息,包括使用者姓名、联系方式、需要接入网络的主机MAC地址、分配的IP地址、计算机所在的楼宇、房间号以及信息点编号。通过这些信息的登记,网络管理员就能够根据IP地址或MAC地址中的任何一个找到该计算机的使用者,起到了用户实名制上网。

        (2)交换机登记模块:此模块用来登记网络中在用的交换机的相关信息,包括交换机编号、交换机型号、接口数、所在弱电机房、交换机端口、对应楼栋和对应房间号。通过对交换机的登记,能清楚掌握用户接入的交换机是哪台,方便操作管理。

        (3)关闭端口登记:该功能主要是用来登记因为中ARP病毒等原因影响网络稳定而被网络管理员关闭端口的计算机的信息。包括计算机MAC地址、所在交换机IP、对应端口号、所在楼栋以及关闭原因等。

        3 结语

        IP地址管理是网络管理中最基础又是最重要的一个环节,管理效果的好坏直接影响到整个局域网的上网质量。通过硬件与软件的并行管理,可以很好地解决IP地址管理中出现的问题,为局域网用户提供良好的网络环境。

        参考文献

        [1] 郭云鹏.基于IP地址管理系统的网络地址管理[J].中国金融电脑,2005,10.

        [2] 顾金星,雷蕾,张剑寒.基于ARP欺骗的IP地址管理技术[J].网络安全技术与应用,2009(10).

        [3] 罗港.基于校园网的IP地址管理系统的设计[J].福建电脑,2009(9).