论文部分内容阅读
摘 要:基于校园网中安全问题的复杂性,加强IP地址管理是使校园网安全、高效运转的重要保障。本文深入地探讨了校园网IP地址管理中的一些核心问题、基本原则和注意事项,并对实践中突出存在的IP地址盗用现象进行了分析,提出了有效的管理办法。
关键词:IP地址 MAC地址 DHCP VLAN IP盗用
中图分类号:TP393.18 文献标识码:A 文章编号:1673-8454(2008)11-0032-03
TCP/IP协议的网络层使用的地址标识符称为IP地址,用于解决互联网络中主机、路由器及其他设备的全局唯一的标识问题。[1] 在校园网使用中,也必须给每台入网的机器配置唯一合法的IP地址,才能保障内部与内部,内部与外部之间的正常通讯。随着接入Internet机器数量的迅猛增加,IP地址已成为极其重要的紧俏资源。一般来说,目前任何一个学校申请到的外部IP地址是极其有限的,因而校园网LAN内部大都采用内部私有地址,通过NAT转换与Internet进行通信。为了合理地分配和有效地利用好这一内外IP地址,保证用户电脑正常使用网络资源和保护用户权益不受侵犯,加强IP地址管理已成为网络管理的重要内容。特别是针对高等院校这样一个人员众多、知识结构复杂、上网目的各异、部门林立、物理位置广阔分散的单位,IP地址管理更应引起网络管理部门的高度重视,否则可能引起大面积的停网甚至全网瘫痪。根据我们多年的实践,在IP地址管理中主要应注意以下几个方面的问题。
一、合理的VLAN划分是关键
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段,从而实现虚拟工作组的技术。VLAN技术允许网管员将一个物理的LAN逻辑地划分成不同VLAN,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无需放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性;同时VLAN技术在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网,限制了以太网的广播范围,并能够形成虚拟工作组,动态管理网络。当然由于VLAN之间必须通过路由才能访问,因此某一VLAN中的用户将无法盗用其他VLAN中的IP地址。
VLAN在交换机上的实现方法可以大致划分为4类,但在实践中根据端口划分是目前定义VLAN的最广泛的方法,IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。这种划分方法的优点是定义VLAN成员时非常简单。[2] 针对一个具体的校园网络,如何划分VLAN,划分多少VLAN,应兼顾设备性能、使用者、地理分布、方便维护、重要性几个大的因素。一般地讲,关键的设备如路由器、防火墙、服务器应与其他VLAN分开;管理VLAN应与一般VLAN分开;教工宿舍不应整体划分在一个大的VLAN内,而应按宿舍楼划分成不同的VLAN,学生宿舍亦如此;教学区一般应按楼宇划分VLAN,机房应按不同的房号划分VLAN,管理机关也应按照部门重要性的不同划分VLAN,而不应笼统地在一个VLAN中,如招生就业部门、教务管理部门、图书馆应与其他VLAN分开等。
VLAN划分是IP地址管理中最初的一环,也是最关键的一环,它将直接影响到网络运行的质量。VLAN划分的好坏将直接影响网络的使用效果和维护成本,既不能过粗也不能过细,网管部门应根据实际情况加以划分并在实践中适当调整。
二、确定IP地址的分配策略
IP地址是用来唯一标识Internet上计算机的逻辑地址,每台联网计算机都依靠IP地址来互相区分、相互联系,因此IP地址必须唯一。IP地址由统一的组织负责分配,任何个人都不能随便使用。即使采用私有地址的LAN,IP地址也必须由网络管理部门统一规划分配,否则就会引起冲突和混乱。
IP地址的分配有两种方式,一种是静态方式,一种是动态方式,还可以根据需要将两种方式结合使用,即混合分配方式。
静态分配IP地址是指给每一台计算机都分配一个固定的IP地址,优点是便于管理,出现问题时易于定位。静态分配IP地址的弱点是合法用户分配的地址可能被非法盗用,不仅对网络的正常使用造成影响,同时也容易给合法用户造成损失和潜在的安全隐患。
动态分配IP地址是指仅当用户计算机需要连入网络工作时,系统才在所掌握的可分配IP地址空间中,随机挑选一个给用户使用的IP地址分配方式。对于临时用户较多但可以使用的IP地址数量有限的网络,如果不要求用户通过身份认证后就能访问Internet的网络,那么采用动态分配IP地址的策略是一种十分方便的管理方式。IP地址的动态分配是通过TCP/IP的动态主机配置协议DHCP(Dynamic Host Configuration Protocol)进行的。
DHCP的优点主要体现在DHCP协议使TCP/IP的配置和管理从用户端转移到网络管理端,实现IP的集中式管理,避免了因手工设置IP地址及子网掩码所产生的错误,避免了把一个IP地址分配给多台工作站所造成的IP地址冲突,同时也降低了管理IP地址设置的负担,大大缩短配置或重新配置网络中工作站IP地址所花费的时间,而且通过对DHCP服务器的设置可灵活地设置IP地址的租期,租约的更新由客户机与DHCP服务器自动完成,无需网络管理员干涉。[3] DHCP服务器可以选择WIN 2000或WIN2003中的DHCP服务来建立,也可以在Linux、Unix上配置DHCP服务器来为DHCP客户提供服务(具体配置过程可参看相关技术文档)。
那么在校园网中IP地址分配策略究竟采用哪种方式好呢?这就要根据实际情况和管理的需要来定,一般是要将两种方式结合使用,即混合分配。所谓混合分配是将IP地址的静态分配与动态分配结合使用的方式,主要是利用各自的长处。在校园网中,服务器、交换设备、路由器、防火墙必须采用静态IP地址,教工宿舍、管理部门、教师用机一般采用静态分配方式,教学机房、学生用机一般采用动态分配方式。
三、强化用户信息的管理
随着网络的发展与深入应用,校园网已经成为高等教育的重要基础设施,并已成为人们获取知识和信息的重要途径。接入校园网的机器少则几百台,多则几千台,它们分布在学校的教学楼、图书馆、科研机构、教工宿舍、学生宿舍等不同的地域。网络安全是校园网当中用户最为关注的问题,其主要原因是学生用户是校园网用户的主要部分,学生群体是一个好奇心强,技术水平较高,技术消息互通迅速的特殊群体。因此,加强网络安全建设显得非常重要,IP地址的有效管理是安全建设中的重要内容,而强化用户信息管理则是IP地址管理中不可缺少的重要基础部分。
用户信息的管理主要包括用户入网申请、IP分配和确认、用户信息变更、用户注销等几个方面。用户入网申请应要求用户如实填写《用户入网申请表》,主要内容包括用户姓名、所在部门、入网地点、机器MAC(介质访问控制)地址、电子邮件地址、用户身份证号码、联系电话、QQ号码等,各学校可根据自身管理的需要进行增删。IP分配和确认发生在用户提交《用户入网申请表》后,网络管理部门根据其申请情况进行核实,确认用户填写的信息是否真实可靠、有无错漏。对确认符合入网条件的分配给相应的IP地址,开通网络。
用户信息查询主要满足用户和网络管理部门可能需要对入网用户信息进行查询的要求,如用户重装系统遗失IP信息,网管部门对异常上网情况与用户进行沟通等。
如果用户更换了电脑或机器的网卡等内容,用户信息应及时变更,特别是MAC地址的变更应及时通知网管部门。
用户注销是指用户因各种原因不再需要使用IP地址时,应及时到网管中心注销相应用户信息,网管部门收回相应的IP地址资源。
其实,对用户入网申请到用户注销的过程,可以设计一个地址管理主页通过网络来自动实现,既可免去网络用户的东奔西跑,方便了用户,也可节省网管中心的人力,减轻网管人员的负担,特别是在机器比较多的情况下,效果应该是十分明显的。
四、对IP盗用的预防
对于任何一个TCP/IP的实现来说,IP地址都是用户配置的必选项。如果用户在配置或修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就形成了IP盗用。IP盗用不仅可能导致IP冲突,IP地址管理混乱,损害网络用户的合法权益,严重的甚至可能影响到网络的正常运行。可以说,IP盗用问题是校园网管理中经常发生的问题之一,也是最让网络管理人员头痛的问题。
IP地址的盗用对于用户来说更加直观,比更改MAC地址更加方便,这就使得IP地址盗用比MAC地址盗用更加普遍。IP地址的盗用方法多种多样,其常用方法主要有以下几种:一是静态(手工)修改IP配置。对于一个网络用户来说,IP地址是用户配置的必选项。如果用户在配置TCP/IP选项时,使用的不是网管部门分配的IP地址,就形成了IP地址的盗用。由于IP地址是一个逻辑地址,因此无法限制用户对于IP地址的静态修改。二是成对修改IP和MAC地址。对于静态修改IP地址的问题,很多单位采用IP和MAC地址绑定加以解决,针对这种技术,IP盗用技术又采取成对修改IP和MAC地址的方法,即将一台计算机的IP和MAC地址都改为另外一台合法主机的IP和MAC地址,这样IP和MAC地址绑定的方法就失效了,同时,对于那些MAC地址不能直接修改的网卡来说,用户还可以通过软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。三是动态修改IP地址,即伪造某台主机IP地址的技术。这类IP欺骗通常需要用编程来实现,在网络上发送带有假冒的源IP地址的数据包,绕过上层网络软件,动态修改自己的IP地址(或IP-MAC地址对),从而达到IP欺骗和盗用。四是通过各种软件进行基地IP攻击。Dos是最常见的一种基于IP的攻击方法,其原理是非法用户向被攻击的主机发出大量的攻击包,同时将报文中的源IP地址进行修改掩藏自己真实的IP,这样就可以逃避网管的追查,名正言顺地攻击对方了。[4]
针对IP盗用问题,现在通常的防范技术主要是根据TCP/IP的层次结构,在不同的层次采用不同的方法来防止IP地址的盗用。
1.静态ARP表的绑定
通过在三层交换机或路由器上设置静态ARP(地址解析协议)表,实现IP和MAC地址的绑定,保证合法IP地址的唯一。这是因为在一个网段内的网络寻址不是依靠IP而是MAC地址,IP只是在网际之间寻址使用的。因此在三层交换机或路由器上有IP和MAC的动态对应表,这是由ARP协议生成并维护的。在配置三层交换机或路由器时,可以指定静态的ARP表,三层交换机或路由器会根据静态的ARP表检查数据包,如果不能对应,则不进行处理。
2.交换机端口控制
如果将一台计算机的IP和MAC地址都改为另外一台合法主机的IP和MAC地址,那IP和MAC绑定就无能为力了。解决IP盗用的最彻底的方法是使用交换机端口进行IP/MAC控制,即在TCP/IP第二层进行控制,借助交换机端口的IP/MAC地址绑定功能,使用交换机提供的端口单地址工作模式,即交换机的某一个端口只允许一台指定的主机通过该端口访问网络,任何其它地址的主机的访问将被拒绝。这样就可以有效防止用户盗用IP地址进行非法访问和网络攻击,同时也便于网络管理人员查找网络攻击源和日志审计。但此方案的最大缺点在于对于校园网而言,初始工作量大,用户地址变更或更换网卡时需要重新配置交换机,当然对于不具备此功能的交换机也将无能为力。
3.IP和账号绑定
其实现方法是,假如用户在进行802.1X认证前不是使用的合法IP地址,而是滥用、盗用某个IP地址时,由于这个时候用户还没有通过认证,因而用户与网络是隔离的,其指定的IP不会与别的用户IP冲突;当用户使用账号密码试图通过认证时,由于认证服务器端该用户账号和其IP做了绑定,认证服务器将不予通过认证,从而同样不会形成IP冲突。如果用户使用正确的账号和IP通过认证后,再通过手工静态修改IP地址,计费认证系统客户端软件能够检测到IP地址的更改,即刻踢出该用户,同时发送计费结束报文,结束计费,从而避免IP冲突和盗用。该方法要求所使用的认证计费系统、交换机必须支持802.1X协议。
防止IP盗用究竟采用哪种方法最好,这与具体的网络使用环境有关,作为网管人员应该仔细了解所用设备的功能特性,结合学校的实际情况,找到一种切实可行的办法。随着网络设备功能的日趋完善和网管人员的管理水平的提高,会摸索出更多更好的防止IP盗用的方法。
五、总结
作为学校公共服务体系的主要组成部分,校园网络已成为学校最重要的基础设施。校园网建设与管理是一项复杂的、长期的系统过程,需要我们在工作中不断地总结经验,探索切实有效的管理办法。科学有效地对IP地址进行管理,是保障网络正常运行的重要环节,网管部门应引起高度重视,要认真规划,灵活运用,不断学习先进技术,引入先进设备,解决实际问题,松懈的管理将会带来严重的后果。总之,在校园网中,如何有效地管理IP地址是一个需要根据具体情况区别对待的问题,既需要从设备特性、技术上考虑,还要提高网管人员的业务水平,同时还要制定与之相适应的管理制度,要加强网络用户的法制观念教育和道德素质教育,从而创造、维护出一个良好的网络环境,充分发挥网络的最大效益和享受网络给我们带来的丰厚资源。
参考文献:
[1]吴功宜等.计算机网络[M].北京:清华大学出版社,2003:206-207.
[2]李成忠,张新有.计算机网络应用与实验教程[M].北京:电子工业出版社,2003:55-80.
[3]钟小平等.网络服务器配置完全手册[M].北京:人民邮电出版社,2006:25-38.
[4]胡臻龙,邓世昆.多元绑定技术在校园网安全中的应用[J].计算机科学,2006(3):72.
关键词:IP地址 MAC地址 DHCP VLAN IP盗用
中图分类号:TP393.18 文献标识码:A 文章编号:1673-8454(2008)11-0032-03
TCP/IP协议的网络层使用的地址标识符称为IP地址,用于解决互联网络中主机、路由器及其他设备的全局唯一的标识问题。[1] 在校园网使用中,也必须给每台入网的机器配置唯一合法的IP地址,才能保障内部与内部,内部与外部之间的正常通讯。随着接入Internet机器数量的迅猛增加,IP地址已成为极其重要的紧俏资源。一般来说,目前任何一个学校申请到的外部IP地址是极其有限的,因而校园网LAN内部大都采用内部私有地址,通过NAT转换与Internet进行通信。为了合理地分配和有效地利用好这一内外IP地址,保证用户电脑正常使用网络资源和保护用户权益不受侵犯,加强IP地址管理已成为网络管理的重要内容。特别是针对高等院校这样一个人员众多、知识结构复杂、上网目的各异、部门林立、物理位置广阔分散的单位,IP地址管理更应引起网络管理部门的高度重视,否则可能引起大面积的停网甚至全网瘫痪。根据我们多年的实践,在IP地址管理中主要应注意以下几个方面的问题。
一、合理的VLAN划分是关键
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段,从而实现虚拟工作组的技术。VLAN技术允许网管员将一个物理的LAN逻辑地划分成不同VLAN,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无需放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性;同时VLAN技术在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网,限制了以太网的广播范围,并能够形成虚拟工作组,动态管理网络。当然由于VLAN之间必须通过路由才能访问,因此某一VLAN中的用户将无法盗用其他VLAN中的IP地址。
VLAN在交换机上的实现方法可以大致划分为4类,但在实践中根据端口划分是目前定义VLAN的最广泛的方法,IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。这种划分方法的优点是定义VLAN成员时非常简单。[2] 针对一个具体的校园网络,如何划分VLAN,划分多少VLAN,应兼顾设备性能、使用者、地理分布、方便维护、重要性几个大的因素。一般地讲,关键的设备如路由器、防火墙、服务器应与其他VLAN分开;管理VLAN应与一般VLAN分开;教工宿舍不应整体划分在一个大的VLAN内,而应按宿舍楼划分成不同的VLAN,学生宿舍亦如此;教学区一般应按楼宇划分VLAN,机房应按不同的房号划分VLAN,管理机关也应按照部门重要性的不同划分VLAN,而不应笼统地在一个VLAN中,如招生就业部门、教务管理部门、图书馆应与其他VLAN分开等。
VLAN划分是IP地址管理中最初的一环,也是最关键的一环,它将直接影响到网络运行的质量。VLAN划分的好坏将直接影响网络的使用效果和维护成本,既不能过粗也不能过细,网管部门应根据实际情况加以划分并在实践中适当调整。
二、确定IP地址的分配策略
IP地址是用来唯一标识Internet上计算机的逻辑地址,每台联网计算机都依靠IP地址来互相区分、相互联系,因此IP地址必须唯一。IP地址由统一的组织负责分配,任何个人都不能随便使用。即使采用私有地址的LAN,IP地址也必须由网络管理部门统一规划分配,否则就会引起冲突和混乱。
IP地址的分配有两种方式,一种是静态方式,一种是动态方式,还可以根据需要将两种方式结合使用,即混合分配方式。
静态分配IP地址是指给每一台计算机都分配一个固定的IP地址,优点是便于管理,出现问题时易于定位。静态分配IP地址的弱点是合法用户分配的地址可能被非法盗用,不仅对网络的正常使用造成影响,同时也容易给合法用户造成损失和潜在的安全隐患。
动态分配IP地址是指仅当用户计算机需要连入网络工作时,系统才在所掌握的可分配IP地址空间中,随机挑选一个给用户使用的IP地址分配方式。对于临时用户较多但可以使用的IP地址数量有限的网络,如果不要求用户通过身份认证后就能访问Internet的网络,那么采用动态分配IP地址的策略是一种十分方便的管理方式。IP地址的动态分配是通过TCP/IP的动态主机配置协议DHCP(Dynamic Host Configuration Protocol)进行的。
DHCP的优点主要体现在DHCP协议使TCP/IP的配置和管理从用户端转移到网络管理端,实现IP的集中式管理,避免了因手工设置IP地址及子网掩码所产生的错误,避免了把一个IP地址分配给多台工作站所造成的IP地址冲突,同时也降低了管理IP地址设置的负担,大大缩短配置或重新配置网络中工作站IP地址所花费的时间,而且通过对DHCP服务器的设置可灵活地设置IP地址的租期,租约的更新由客户机与DHCP服务器自动完成,无需网络管理员干涉。[3] DHCP服务器可以选择WIN 2000或WIN2003中的DHCP服务来建立,也可以在Linux、Unix上配置DHCP服务器来为DHCP客户提供服务(具体配置过程可参看相关技术文档)。
那么在校园网中IP地址分配策略究竟采用哪种方式好呢?这就要根据实际情况和管理的需要来定,一般是要将两种方式结合使用,即混合分配。所谓混合分配是将IP地址的静态分配与动态分配结合使用的方式,主要是利用各自的长处。在校园网中,服务器、交换设备、路由器、防火墙必须采用静态IP地址,教工宿舍、管理部门、教师用机一般采用静态分配方式,教学机房、学生用机一般采用动态分配方式。
三、强化用户信息的管理
随着网络的发展与深入应用,校园网已经成为高等教育的重要基础设施,并已成为人们获取知识和信息的重要途径。接入校园网的机器少则几百台,多则几千台,它们分布在学校的教学楼、图书馆、科研机构、教工宿舍、学生宿舍等不同的地域。网络安全是校园网当中用户最为关注的问题,其主要原因是学生用户是校园网用户的主要部分,学生群体是一个好奇心强,技术水平较高,技术消息互通迅速的特殊群体。因此,加强网络安全建设显得非常重要,IP地址的有效管理是安全建设中的重要内容,而强化用户信息管理则是IP地址管理中不可缺少的重要基础部分。
用户信息的管理主要包括用户入网申请、IP分配和确认、用户信息变更、用户注销等几个方面。用户入网申请应要求用户如实填写《用户入网申请表》,主要内容包括用户姓名、所在部门、入网地点、机器MAC(介质访问控制)地址、电子邮件地址、用户身份证号码、联系电话、QQ号码等,各学校可根据自身管理的需要进行增删。IP分配和确认发生在用户提交《用户入网申请表》后,网络管理部门根据其申请情况进行核实,确认用户填写的信息是否真实可靠、有无错漏。对确认符合入网条件的分配给相应的IP地址,开通网络。
用户信息查询主要满足用户和网络管理部门可能需要对入网用户信息进行查询的要求,如用户重装系统遗失IP信息,网管部门对异常上网情况与用户进行沟通等。
如果用户更换了电脑或机器的网卡等内容,用户信息应及时变更,特别是MAC地址的变更应及时通知网管部门。
用户注销是指用户因各种原因不再需要使用IP地址时,应及时到网管中心注销相应用户信息,网管部门收回相应的IP地址资源。
其实,对用户入网申请到用户注销的过程,可以设计一个地址管理主页通过网络来自动实现,既可免去网络用户的东奔西跑,方便了用户,也可节省网管中心的人力,减轻网管人员的负担,特别是在机器比较多的情况下,效果应该是十分明显的。
四、对IP盗用的预防
对于任何一个TCP/IP的实现来说,IP地址都是用户配置的必选项。如果用户在配置或修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就形成了IP盗用。IP盗用不仅可能导致IP冲突,IP地址管理混乱,损害网络用户的合法权益,严重的甚至可能影响到网络的正常运行。可以说,IP盗用问题是校园网管理中经常发生的问题之一,也是最让网络管理人员头痛的问题。
IP地址的盗用对于用户来说更加直观,比更改MAC地址更加方便,这就使得IP地址盗用比MAC地址盗用更加普遍。IP地址的盗用方法多种多样,其常用方法主要有以下几种:一是静态(手工)修改IP配置。对于一个网络用户来说,IP地址是用户配置的必选项。如果用户在配置TCP/IP选项时,使用的不是网管部门分配的IP地址,就形成了IP地址的盗用。由于IP地址是一个逻辑地址,因此无法限制用户对于IP地址的静态修改。二是成对修改IP和MAC地址。对于静态修改IP地址的问题,很多单位采用IP和MAC地址绑定加以解决,针对这种技术,IP盗用技术又采取成对修改IP和MAC地址的方法,即将一台计算机的IP和MAC地址都改为另外一台合法主机的IP和MAC地址,这样IP和MAC地址绑定的方法就失效了,同时,对于那些MAC地址不能直接修改的网卡来说,用户还可以通过软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。三是动态修改IP地址,即伪造某台主机IP地址的技术。这类IP欺骗通常需要用编程来实现,在网络上发送带有假冒的源IP地址的数据包,绕过上层网络软件,动态修改自己的IP地址(或IP-MAC地址对),从而达到IP欺骗和盗用。四是通过各种软件进行基地IP攻击。Dos是最常见的一种基于IP的攻击方法,其原理是非法用户向被攻击的主机发出大量的攻击包,同时将报文中的源IP地址进行修改掩藏自己真实的IP,这样就可以逃避网管的追查,名正言顺地攻击对方了。[4]
针对IP盗用问题,现在通常的防范技术主要是根据TCP/IP的层次结构,在不同的层次采用不同的方法来防止IP地址的盗用。
1.静态ARP表的绑定
通过在三层交换机或路由器上设置静态ARP(地址解析协议)表,实现IP和MAC地址的绑定,保证合法IP地址的唯一。这是因为在一个网段内的网络寻址不是依靠IP而是MAC地址,IP只是在网际之间寻址使用的。因此在三层交换机或路由器上有IP和MAC的动态对应表,这是由ARP协议生成并维护的。在配置三层交换机或路由器时,可以指定静态的ARP表,三层交换机或路由器会根据静态的ARP表检查数据包,如果不能对应,则不进行处理。
2.交换机端口控制
如果将一台计算机的IP和MAC地址都改为另外一台合法主机的IP和MAC地址,那IP和MAC绑定就无能为力了。解决IP盗用的最彻底的方法是使用交换机端口进行IP/MAC控制,即在TCP/IP第二层进行控制,借助交换机端口的IP/MAC地址绑定功能,使用交换机提供的端口单地址工作模式,即交换机的某一个端口只允许一台指定的主机通过该端口访问网络,任何其它地址的主机的访问将被拒绝。这样就可以有效防止用户盗用IP地址进行非法访问和网络攻击,同时也便于网络管理人员查找网络攻击源和日志审计。但此方案的最大缺点在于对于校园网而言,初始工作量大,用户地址变更或更换网卡时需要重新配置交换机,当然对于不具备此功能的交换机也将无能为力。
3.IP和账号绑定
其实现方法是,假如用户在进行802.1X认证前不是使用的合法IP地址,而是滥用、盗用某个IP地址时,由于这个时候用户还没有通过认证,因而用户与网络是隔离的,其指定的IP不会与别的用户IP冲突;当用户使用账号密码试图通过认证时,由于认证服务器端该用户账号和其IP做了绑定,认证服务器将不予通过认证,从而同样不会形成IP冲突。如果用户使用正确的账号和IP通过认证后,再通过手工静态修改IP地址,计费认证系统客户端软件能够检测到IP地址的更改,即刻踢出该用户,同时发送计费结束报文,结束计费,从而避免IP冲突和盗用。该方法要求所使用的认证计费系统、交换机必须支持802.1X协议。
防止IP盗用究竟采用哪种方法最好,这与具体的网络使用环境有关,作为网管人员应该仔细了解所用设备的功能特性,结合学校的实际情况,找到一种切实可行的办法。随着网络设备功能的日趋完善和网管人员的管理水平的提高,会摸索出更多更好的防止IP盗用的方法。
五、总结
作为学校公共服务体系的主要组成部分,校园网络已成为学校最重要的基础设施。校园网建设与管理是一项复杂的、长期的系统过程,需要我们在工作中不断地总结经验,探索切实有效的管理办法。科学有效地对IP地址进行管理,是保障网络正常运行的重要环节,网管部门应引起高度重视,要认真规划,灵活运用,不断学习先进技术,引入先进设备,解决实际问题,松懈的管理将会带来严重的后果。总之,在校园网中,如何有效地管理IP地址是一个需要根据具体情况区别对待的问题,既需要从设备特性、技术上考虑,还要提高网管人员的业务水平,同时还要制定与之相适应的管理制度,要加强网络用户的法制观念教育和道德素质教育,从而创造、维护出一个良好的网络环境,充分发挥网络的最大效益和享受网络给我们带来的丰厚资源。
参考文献:
[1]吴功宜等.计算机网络[M].北京:清华大学出版社,2003:206-207.
[2]李成忠,张新有.计算机网络应用与实验教程[M].北京:电子工业出版社,2003:55-80.
[3]钟小平等.网络服务器配置完全手册[M].北京:人民邮电出版社,2006:25-38.
[4]胡臻龙,邓世昆.多元绑定技术在校园网安全中的应用[J].计算机科学,2006(3):72.