论文部分内容阅读
摘 要 随着“数字化校园”网络的建立和应用,计算机应用遍布整个校园,涉及到每个区域,从而带来了计算机的大量增加,相应的IP地址也随之越来越多,整个校园网中IP地址发生冲突的现象时有发生。为了更好的解决“数字化校园”中IP冲突的问题,笔者提出了自己的建议和方法,为解决校园网IP地址冲突,提高校园网网络管理、安全管理以及维护效率,提供参考。
关键词 校园网;IP地址冲突;解决方案
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2013)20-0132-02
1 校园网工作原理
校园网都是通过TCP/IP架构。TCP/IP协议栈模型分为四层,网络接口层由网卡和设备驱动程序组成,位于OSI参考模型的网络层和物理层之间。该层数据具有单一性和专属性,具体来说是指数据传输的网络地址都是唯一的,并且完全决定于网卡MAC地址。各厂家产品的MAC地址都要严格遵循IEEE的相关规定,保证MAC地址唯一性。在以太网中,每个Internet数据包的头部附带MAC地址,交换设备根据MAC源地址和目的地址,进行数据包转换和传输。网络接口层负责网络地址转换工作,将高层协议中的网络地址译为FDDI、TOKEN等协议通用的地址时,先要完成IP地址的映射工作,实现网络节点互联。TCP/IP协议中的地址解析协议(ARP)专门负责将IP地址转换为硬件地址。网络通信过程中,如果一台机器提出了硬件地址解析请求,它会发送报文给本网中的其他机器,与目标IP地址吻合的机器,会响应该请求,并把获得的MAC地址反馈给源机器,网络中的机器对该请求不产生反应,但会检测这些数据包,并将源机器IP地址和硬件地址录入数据库。
IP地址不受硬件限制,根据IPV4制定,长度为四个字节,便于记忆。MAC地址保存在网卡EPROM里,与硬件有关,长度六字节,难于记忆。
对于交换式数据网络,交换机含有一张MAC地址表,根据MAC地址表发送数据至指定计算机。
2 常见IP盗用方法
相关统计数据显示,校园网一多半的错误源自IP盗用,以下将解释其原理。通常,IP地址盗用分为静态IP地址篡改、IP地址和MAC成对修改、IP欺骗。
1)静态IP地址篡改。任意一个TCP/IP实现,IP是用户配置的必要条件。如果用户进行TCP/IP设置时,没有使用授权机构提供的IP地址,就属于IP盗用,IP地址是一个逻辑地址,本身就由用户来设置,欲限制用户静态修改IP地址是很难的事情,除非使用DHCP进行IP统一分配管理,但是维护管理难度较大。
2)成对修改MAC地址和IP地址。不少单位采用静态路由技术解决静态IP地址修改问题,但针对改方案,IP盗用技术又有了新突破,也就是同时修改IP地址和网卡物理地址。MAC地址对于常用的以太网而言,就是俗称的网卡地址。每一个网卡MAC地址在以太网设备中是独一无二的,由IEEE完成分配,固化在网卡内部,一般无法改动。但是,某些兼容网卡的MAC地址可以使用网卡配置程序修改。如果设法将某台计算机的IP地址和MAC地址成对修改,静态路由技术也于事无补。
3)IP欺骗。大部分网卡的MAC地址无法修改,但用户可以通过特定软件完成MAC地址的修改工作,这需要修改底层网络配置,以期欺骗上层网络设置。对于一些黑客高手来说,可以直接编写程序在网络上接收发送数据包,不通过上层网络软件的监控,动态修改IP地址,或者同时修改MAC地址和IP地址,这对于黑客而言不难实现。
3 防止IP地址冲突的策略
成对修改MAC地址和IP地址,静态修改IP地址,这都属于无意行为,容易解决,而且出现可能性相对不大,网络维护人员只需要加强管理即可。具体包括:①细化管理,严格掌控IP地址的分配;②对用户进行培训,避免无意识的错误设置,一旦出现冲突不要盲目私自更换IP地址,要及时联系网管;③在调试网络时,一般会用到临时IP地址,完成调试后,应立即改回。
IP欺骗原因较复杂,也是校园网出现IP地址冲突最多的一类。可以通过以下几种方法加以完善:采用IP地址动态分配法则,自行设置的IP地址无效;当采用静态IP地址分配时,要合理规划IP地址的归属,加强对用户终端MAC地址的管理,严禁私自篡改;加强认证等级,在应用层上设置认证。
具体的阐释如下。
1)动态分配IP地址。DHCP(动态主机配置协议)完成IP地址动态分配,它允许用户PC机或其他终端设备接入网络,自动获取一个IP地址。DHCP服务器自动为每一个网络中的用户配置一整套地址,包含IP地址、子网掩码、网关,以及不少于一个的DNS服务器IP地址。网络管理员可以有效监控IP地址和其他一系列参数,DHCP在任何时候都不会把同一个IP地址分配给两台不同的机器;用户端的设置很简单,只需要将TCP/IP配置项改为自动获取IP地址即可。但是,DHCP无法对网络上非DHCP客户机的IP地址使用情况进行监控。单纯使用DHCP方法,效果很有限,还不能完全解决IP地址滥用问题,用户可以手工设定IP,这个IP如果刚好被DHCP分配给了另一个用户,便会造成IP地址冲突。支持DHCP Snooping技术的交换机限制用户不能设定静态IP地址。DHCP Snooping是DHCP的一项重要属性,主要为安全性着想,交换机借助该技术能够全程监控IP地址分配,交换机生成IP地址和网卡物理地址的一一对应表格。开启Dynamic ARP Inspection后,所有ARP数据包都在交换机的监控范围内,如果出现任何IP地址、MAC地址与对应表格中的数据存在出入的情况,该数据包会被丢弃,用户网络连接受限,这可以有效防止用户私下更换IP地址。
2)强化终端物理地址管理。在二层交换机上将端口和MAC地址绑定,管理员再分配IP地址时也获得了用户终端的网卡物理地址。也可以將IP与MAC的绑定移到三层交换机上进行。这种方法的效果也有限,如果一个局域网内的非法用户设置了与合法用户完全一样的IP地址,会导致合法用户和非法用户都无法上网的情况,而且管理员也不能检测到非法用户的网卡地址。针对这种情况可通过以下两种手段解决:①划分VLAV不宜过大,减小范围,将非法用户造成的影响加以隔离。每个端口只分配一个VLAN,同时为了不浪费VLAN号码资源,还可以在某些交换机上启用Isolate功能,或通过超级VLAN特定划分SubVLAN;②一旦发生冲突,MAC地址扫描软件将发挥巨大作用,它们可以帮助产生IP和MAC地址对应表,再审阅二层交换机MAC地址和端口对应表,锁定非法用户终端的端口位置。
3)应用层认证。应用层认证结合动态分配IP地址方法,能够很好地防止IP地址冲突问题,但缺点是成本高,后期使用维护很麻烦,性价比低,在校园网中很少采用此种方法。
参考文献
[1]胡天骄,郭旭静,王祖林.网管软件主备切换协议的设计和验证[J].电子质量,2011(07).
[2]雷云光,周增国.校园网络环境下ARP欺骗过程及安全防御策略[J].大连教育学院学报.2010(01)
[3]叶振安.浅析IP地址冲突干扰局域网解决方法[J].信息与电脑(理论版),2011(04).
关键词 校园网;IP地址冲突;解决方案
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2013)20-0132-02
1 校园网工作原理
校园网都是通过TCP/IP架构。TCP/IP协议栈模型分为四层,网络接口层由网卡和设备驱动程序组成,位于OSI参考模型的网络层和物理层之间。该层数据具有单一性和专属性,具体来说是指数据传输的网络地址都是唯一的,并且完全决定于网卡MAC地址。各厂家产品的MAC地址都要严格遵循IEEE的相关规定,保证MAC地址唯一性。在以太网中,每个Internet数据包的头部附带MAC地址,交换设备根据MAC源地址和目的地址,进行数据包转换和传输。网络接口层负责网络地址转换工作,将高层协议中的网络地址译为FDDI、TOKEN等协议通用的地址时,先要完成IP地址的映射工作,实现网络节点互联。TCP/IP协议中的地址解析协议(ARP)专门负责将IP地址转换为硬件地址。网络通信过程中,如果一台机器提出了硬件地址解析请求,它会发送报文给本网中的其他机器,与目标IP地址吻合的机器,会响应该请求,并把获得的MAC地址反馈给源机器,网络中的机器对该请求不产生反应,但会检测这些数据包,并将源机器IP地址和硬件地址录入数据库。
IP地址不受硬件限制,根据IPV4制定,长度为四个字节,便于记忆。MAC地址保存在网卡EPROM里,与硬件有关,长度六字节,难于记忆。
对于交换式数据网络,交换机含有一张MAC地址表,根据MAC地址表发送数据至指定计算机。
2 常见IP盗用方法
相关统计数据显示,校园网一多半的错误源自IP盗用,以下将解释其原理。通常,IP地址盗用分为静态IP地址篡改、IP地址和MAC成对修改、IP欺骗。
1)静态IP地址篡改。任意一个TCP/IP实现,IP是用户配置的必要条件。如果用户进行TCP/IP设置时,没有使用授权机构提供的IP地址,就属于IP盗用,IP地址是一个逻辑地址,本身就由用户来设置,欲限制用户静态修改IP地址是很难的事情,除非使用DHCP进行IP统一分配管理,但是维护管理难度较大。
2)成对修改MAC地址和IP地址。不少单位采用静态路由技术解决静态IP地址修改问题,但针对改方案,IP盗用技术又有了新突破,也就是同时修改IP地址和网卡物理地址。MAC地址对于常用的以太网而言,就是俗称的网卡地址。每一个网卡MAC地址在以太网设备中是独一无二的,由IEEE完成分配,固化在网卡内部,一般无法改动。但是,某些兼容网卡的MAC地址可以使用网卡配置程序修改。如果设法将某台计算机的IP地址和MAC地址成对修改,静态路由技术也于事无补。
3)IP欺骗。大部分网卡的MAC地址无法修改,但用户可以通过特定软件完成MAC地址的修改工作,这需要修改底层网络配置,以期欺骗上层网络设置。对于一些黑客高手来说,可以直接编写程序在网络上接收发送数据包,不通过上层网络软件的监控,动态修改IP地址,或者同时修改MAC地址和IP地址,这对于黑客而言不难实现。
3 防止IP地址冲突的策略
成对修改MAC地址和IP地址,静态修改IP地址,这都属于无意行为,容易解决,而且出现可能性相对不大,网络维护人员只需要加强管理即可。具体包括:①细化管理,严格掌控IP地址的分配;②对用户进行培训,避免无意识的错误设置,一旦出现冲突不要盲目私自更换IP地址,要及时联系网管;③在调试网络时,一般会用到临时IP地址,完成调试后,应立即改回。
IP欺骗原因较复杂,也是校园网出现IP地址冲突最多的一类。可以通过以下几种方法加以完善:采用IP地址动态分配法则,自行设置的IP地址无效;当采用静态IP地址分配时,要合理规划IP地址的归属,加强对用户终端MAC地址的管理,严禁私自篡改;加强认证等级,在应用层上设置认证。
具体的阐释如下。
1)动态分配IP地址。DHCP(动态主机配置协议)完成IP地址动态分配,它允许用户PC机或其他终端设备接入网络,自动获取一个IP地址。DHCP服务器自动为每一个网络中的用户配置一整套地址,包含IP地址、子网掩码、网关,以及不少于一个的DNS服务器IP地址。网络管理员可以有效监控IP地址和其他一系列参数,DHCP在任何时候都不会把同一个IP地址分配给两台不同的机器;用户端的设置很简单,只需要将TCP/IP配置项改为自动获取IP地址即可。但是,DHCP无法对网络上非DHCP客户机的IP地址使用情况进行监控。单纯使用DHCP方法,效果很有限,还不能完全解决IP地址滥用问题,用户可以手工设定IP,这个IP如果刚好被DHCP分配给了另一个用户,便会造成IP地址冲突。支持DHCP Snooping技术的交换机限制用户不能设定静态IP地址。DHCP Snooping是DHCP的一项重要属性,主要为安全性着想,交换机借助该技术能够全程监控IP地址分配,交换机生成IP地址和网卡物理地址的一一对应表格。开启Dynamic ARP Inspection后,所有ARP数据包都在交换机的监控范围内,如果出现任何IP地址、MAC地址与对应表格中的数据存在出入的情况,该数据包会被丢弃,用户网络连接受限,这可以有效防止用户私下更换IP地址。
2)强化终端物理地址管理。在二层交换机上将端口和MAC地址绑定,管理员再分配IP地址时也获得了用户终端的网卡物理地址。也可以將IP与MAC的绑定移到三层交换机上进行。这种方法的效果也有限,如果一个局域网内的非法用户设置了与合法用户完全一样的IP地址,会导致合法用户和非法用户都无法上网的情况,而且管理员也不能检测到非法用户的网卡地址。针对这种情况可通过以下两种手段解决:①划分VLAV不宜过大,减小范围,将非法用户造成的影响加以隔离。每个端口只分配一个VLAN,同时为了不浪费VLAN号码资源,还可以在某些交换机上启用Isolate功能,或通过超级VLAN特定划分SubVLAN;②一旦发生冲突,MAC地址扫描软件将发挥巨大作用,它们可以帮助产生IP和MAC地址对应表,再审阅二层交换机MAC地址和端口对应表,锁定非法用户终端的端口位置。
3)应用层认证。应用层认证结合动态分配IP地址方法,能够很好地防止IP地址冲突问题,但缺点是成本高,后期使用维护很麻烦,性价比低,在校园网中很少采用此种方法。
参考文献
[1]胡天骄,郭旭静,王祖林.网管软件主备切换协议的设计和验证[J].电子质量,2011(07).
[2]雷云光,周增国.校园网络环境下ARP欺骗过程及安全防御策略[J].大连教育学院学报.2010(01)
[3]叶振安.浅析IP地址冲突干扰局域网解决方法[J].信息与电脑(理论版),2011(04).