局域網(wǎng)中的IP地址管理

1、局域網(wǎng)中的IP地址管理論文導(dǎo)讀：地址管理的必要性。表里的IP地址與MAC地址是一一對應(yīng)的。但是ARP協(xié)議存在著致命的漏洞。目前比較流行的解決方法是將IP地址與MAC地址進(jìn)行綁定。地址，局域網(wǎng)中的IP地址管理。關(guān)鍵詞：IP地址，MAC地址，ARP協(xié)議，綁定一、IP地址管理的必要性IP地址就像公用電話系統(tǒng)中的電話號碼一樣，用來識別不同的用戶。論文檢測，MAC地址。但基于TCP/IP網(wǎng)絡(luò)的IP地址與電話號碼又有著本質(zhì)的區(qū)別。在公用電話系統(tǒng)中，電話號碼的使用用戶是基本穩(wěn)定的，如果用戶要更換號碼則需要辦理一系列復(fù)雜的手續(xù)，并作詳細(xì)登記。而在局域網(wǎng)中，用戶所使用的IP地址是不穩(wěn)定的，特別是隨著辦公信息化的

2、普及和網(wǎng)絡(luò)中計(jì)算機(jī)數(shù)量的飛速增加，IP地址沖突、IP地址盜用、ARP欺騙等問題日漸突出。論文檢測，MAC地址。1、IP地址沖突與盜用在現(xiàn)實(shí)工作中，如果局域網(wǎng)中的IP地址是通過手工而非DHCP動態(tài)分配，則會存在用戶基于某種原因而私自更改IP地址的可能性。由于這種更改是出于用戶的隨意性，中間并沒有經(jīng)過網(wǎng)絡(luò)管理員的登記，因此這種改動往往逃開了網(wǎng)絡(luò)管理員的監(jiān)控，造成使用的IP地址不是網(wǎng)絡(luò)管理員授權(quán)的地址。而該用戶更改后的IP地址如果已被其他人使用，則會造成IP地址沖突。2、ARP欺騙ARP(Address Resolution Protocol)全名叫地址解析協(xié)議，在每臺裝有TCP/IP協(xié)議的電腦里都

3、存在ARP緩存表，表里的IP地址與MAC地址是一一對應(yīng)的，在網(wǎng)絡(luò)中正是通過此協(xié)議將IP地址轉(zhuǎn)化為MAC地址。論文檢測，MAC地址。但是ARP協(xié)議存在著致命的漏洞，在網(wǎng)絡(luò)中主機(jī)之間的訪問不是通過網(wǎng)絡(luò)層的IP地址來傳輸數(shù)據(jù)，而是通過數(shù)據(jù)鏈路層的MAC地址來傳輸。當(dāng)源主機(jī)不知道它要訪問的目標(biāo)主機(jī)的MAC地址時，源主機(jī)就會發(fā)送ARP廣播來詢問網(wǎng)段內(nèi)的所有主機(jī)，當(dāng)目標(biāo)主機(jī)收到源主機(jī)發(fā)來的ARP廣播后，便會發(fā)送回復(fù)消息，告訴源主機(jī)本機(jī)的MAC地址就是正確的目標(biāo)地址。而ARP協(xié)議的漏洞恰恰就在此，因?yàn)槟繕?biāo)主機(jī)回復(fù)源主機(jī)的消息沒有經(jīng)過任何的認(rèn)證或其他安全措施保障，當(dāng)局域網(wǎng)中有一臺主機(jī)試圖竊取源主機(jī)的信息(如用

4、戶名、密碼等)時，便會偽裝成目標(biāo)主機(jī)回復(fù)源主機(jī)，IP地址不變，但把目標(biāo)MAC地址改成了自己的地址，導(dǎo)致源主機(jī)誤以為該MAC地址就是目標(biāo)主機(jī)MAC地址，而將信息錯誤的發(fā)送到該主機(jī)，造成信息的泄露。二、IP地址管理解決方案要實(shí)現(xiàn)IP地址的有效管理必須要硬件和軟件方案同時并行，在硬件的實(shí)現(xiàn)基礎(chǔ)上通過軟件實(shí)行統(tǒng)一管理。1、硬件解決方案針對以上出現(xiàn)的問題，防止IP地址沖突、IP地址盜用以及ARP欺騙等網(wǎng)絡(luò)問題，目前比較流行的解決方法是將IP地址與MAC地址進(jìn)行綁定。用戶如果想接入局域網(wǎng)則必須向網(wǎng)絡(luò)管理員提出申請，網(wǎng)絡(luò)管理員登記這臺需要接入的主機(jī)的MAC地址與使用者信息，并分配IP地址，實(shí)際上就是IP與用

5、戶的身份實(shí)現(xiàn)了綁定。目前大部分IP地址與MAC地址的綁定是在二層交換機(jī)上實(shí)現(xiàn)，也就是基于交換機(jī)端口的MAC地址綁定方法。首先將用戶所連的接入層交換機(jī)端口劃到一個事先規(guī)劃好的VLAN下，此舉的目的是為了細(xì)分廣播域，防止廣播風(fēng)暴的發(fā)生。而用戶分到的IP地址必須與該VLAN所對應(yīng)的三層IP地址所在的網(wǎng)段相同。以華三E352交換機(jī)為例，劃分端口VLAN的命令如下：H3CVLAN 30 /創(chuàng)建VLAN30H3C-VLAN30port Ethernet1/0/2/把用戶端口劃到VLAN30H3Cinterface vlan-interface 30/進(jìn)入VLAN30的端口配置模式下inter-vlan30

6、ip address 172.18.30.1 255.255.255.0/配置VLAN30的三層端口IPinter-vlan30quit/退出VLAN端口配置模式通過以上命令，用戶所在端口配置完成。論文檢測，MAC地址。接著要在交換機(jī)上實(shí)現(xiàn)IP地址、MAC地址、交換機(jī)端口的綁定。將這三者綁定是為了防止IP地址被盜用以及ARP欺騙。論文檢測，MAC地址。以華三E352交換機(jī)為例，三者綁定的命令如下：H3Cam user bind mac addr mac ip addr ip interface端口號在交換機(jī)上通過此配置，用戶如果擅自更改自己的IP地址或者隨意調(diào)換網(wǎng)絡(luò)端口都將無法上網(wǎng)。論文檢測，

7、MAC地址。這就有效防止了IP地址的沖突與欺騙，使網(wǎng)絡(luò)管理員能更好的維護(hù)局域網(wǎng)的穩(wěn)定安全。2、軟件解決方案IP-MAC地址的綁定必定會產(chǎn)生龐大的數(shù)據(jù)庫，包括IP地址表、MAC地址表、交換機(jī)端口信息表、用戶信息表等。網(wǎng)絡(luò)管理員必須能有效的管理和維護(hù)這些表，才能保證整個網(wǎng)絡(luò)IP規(guī)劃的正確性以及網(wǎng)絡(luò)用戶管理的安全性。但面對越來越大的用戶入網(wǎng)量，采用傳統(tǒng)紙質(zhì)登記已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足需要，配合該方法必須有一套IP地址管理系統(tǒng)。該系統(tǒng)可以分以下幾個功能模塊：（2）交換機(jī)登記模塊：此模塊用來登記網(wǎng)絡(luò)中在用的交換機(jī)的相關(guān)信息，包括交換機(jī)編號、交換機(jī)型號、接口數(shù)、所在弱電機(jī)房、交換機(jī)端口、對應(yīng)樓棟和對應(yīng)房間號。通過對交換機(jī)的登記，能清楚掌握用戶接入的交換機(jī)是哪臺，方便操作管理。（3）關(guān)閉端口登記：該功能主要是用來登記因?yàn)橹蠥RP病毒等原因影響網(wǎng)絡(luò)穩(wěn)定而被網(wǎng)絡(luò)管理員關(guān)閉端口的計(jì)算機(jī)的信息。包括計(jì)算機(jī)MAC地址、所在交換機(jī)IP、對應(yīng)端口號、所在樓棟以及關(guān)閉原因等。該系統(tǒng)分為兩個主要應(yīng)用：一是用戶申請入網(wǎng)，二是MAC地址查封。各應(yīng)用流程如下圖：圖1：用戶申請入網(wǎng)圖2：MAC地址查封結(jié)束語IP地址管理是網(wǎng)絡(luò)管理中最基礎(chǔ)又是最重要的一個環(huán)節(jié)，管理效果的好壞直接影響到整個局域網(wǎng)的上網(wǎng)質(zhì)量。通過硬件與軟件的并行管理，可以很好地解決IP地址管理中出現(xiàn)的問題，為局域網(wǎng)用戶提供良好的網(wǎng)絡(luò)環(huán)境。參考