标题 | IP地址管理模式分析 |
范文 | 陈智明 陈颖聪 王远雄 丘丹 摘要:在许多局域网安全问题中,在梅州供电局中,要做到对网络系统的中IP地址进行有效管理是网络管理员认为很困难的工作。倘若不能对IP地址进行有效管理,可能会造成降低了网络可用性与服务质量,严重甚至会导致网络崩溃。本文将详细阐述目前存在的几种IP 管理模式特点,并介绍应用新技术进行IP 维护、安全准入管理模式和在局域网上对IP 地址进行有效管理通过运用创新的方式,借助交换机内部集成的安全特性。 关键词:局域网;静态IP;智能IP;地址管理;IP地址推送 中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2019)07-0043-02 对规划网络和分配设计IP 地址而言,IP地址方案是否设计得合理科学,对于网络负荷是能起到减轻作用,对于未来扩展网络,也是能奠下良好基础。 随着网络规模逐渐扩大,现阶段有相对完善的网络设备存在于梅州供电局内网络中。在管理用户终端IP地址上,现阶段分配IP地址运用的方式是传统的手工静态,IP地址管理是繁杂琐碎,多为人工管理IP地址管理审计和进行访客IP授权控制。 IP资源并不是无限的,例如IP 冲突,新机器入网,ARP 干扰等问题是会加大维护IP成本与维护的难度,加上网络规模在不停发展,严重的时候整个网络会出现瘫痪,所以,对网络运行能产生非常重要的影响的因素就包括IP 地址的实名管理与准入控制。 所以,本文重点关注的问题就是对一个稳固的人和IP的关系进行维护,从而使智能实名制的IP分配管理审计得以实现。 1 几种IP 管理模式的特点 1.1 手工管理模式 网络管理人员对Excel 表格或地址登记簿进行维护是使用手工维护,对某IP 地址是不是能有效使用进行查询验证使借助简单PING 命令,当对IP进行新分配之后,对Excel 表格或地址登记簿需要进行更新运用手工方式。运用手工方式在接入端对静态IP地址进行配置,这就是传统手工管理IP 模式。 传统手工管理IP 模式存在管理缺陷,包括以下几个方面: 1.1.1 在IP 地址冲突与非法设备接入是不能有效避免 设计梅州供电局的内部网络为一个公用设施,也就是在当今,对内部而言,普遍的网络端口的状态都是“开放”的,这样一来,网络是“开放”的,而且资源又是共享,要访问是很容易的,一个网络接口仅需要插有台非法电脑,按图索骥,也就是对于网络资源能开始进行使用,以至IP地址任何时候出现冲突的情况。对那些重点业务而言,这样的IP管理方式起不到什么保护作用。 CSI/FBI 计算机犯罪和安全调查显示,目前最主要的犯罪的表现形式就是偷盗信息。在内部中,有百分之七十五是造成经济损失。 在局域网内,非法使用IP包括那些使用没有经过授权的IP地址。终端用户能对IP 地址进行自由修改,在局域网中,在运行改动之后的IP 地址的时候或许会出现下面的情况: 1)出现在不是规划的局域网范围内的IP地址就是非法IP地址; 2)和分配好的并且在局域网正在运行的合法IP 地址出现资源冲突,导致合法用户不能上网的就是重复IP 地址; 3)合法用户不在线的时候,盗用合法用户的IP 地址联网,侵害到合法用户权益称为冒用合法用户IP 地址; 4)一旦非法IP 地址被使用到,信息系统可能会产生严重的后果,例如:网络服务器与网络设备正常运行会被重复的IP 地址干扰、破坏到,严重的会网络的稳定性会受到破坏,最终正常业务会受到影响;拥有被非法使用的IP 地址所擁有的特权,网络安全会受到威胁;攻击网络利用欺骗性的IP 地址,例如:富有侵略性的TCP SYN 洪泛攻击来源于一个欺骗性的IP 地址,它是利用TCP 3 次握手会话进行颠覆服务器的一种攻击方式,一个IP 地址欺骗攻击者能假冒一个合法地址是通过对地址进行手动修改或是运行一个实施地址欺骗的程序来达到目的。 1.1.2 IP/MAC跟踪和准确定位功能不强 如果出现非法使用IP 地址、IP 地址出现冲突,或者是网络有流量出现非正常(包括病毒感染、网络攻击产生与网络扫描这些所产生的流量),要对IP地址源头进行查找,可以适应下面的这个几个步骤: 1)对有问题IP地址的出现进行确定; 2)要获取网卡MAC地址,要对近期的网络设备ARP表进行查看; 3)要对机器位置进行确定,就需要对交换机MAC地址列表进行检查。 要对机器具体连接的物理端口进行定位需要消耗很多时间,要查清楚伪造的源IP 地址是来自哪台机器难度就更高了。倘若无法及时准确地定位、迅速地隔离故障源,最终会带来后果是很严重的,即便是恢复网络了还是存在隐患。 1.1.3 IP 地址回收问题 很明显,对IP地址进行管理运用的方式是全手工,容易导致IP地址出现回收问题。倘若科室对网内设备是采取室自行撤销或报废的方式,而不是将情况反映给相关的网络管理员,这样导致无法及时回收IP地址并且增加节点无IP 可用的状况,从而没有合理配置利用有限的网络资源。 1.1.4烦琐的管理 为了提高网络安全,防止对IP地址进行非法使用,对IP 地址与MAC 地址使用静态ARP 命令捆绑是最常见的方式,为的是能对非法用户在对MAC 地址不修改的情况下冒用IP地址进行访问这种行为进行阻止,另外,对非法用户MAC 地址以适应静态ARP 表的问题的解决可以采用MAC地址绑定功能,也就是交换机的端口安全。但是此种方法首先要对全部机器MAC 地址和相应IP地址进行收集,接着就是对IP地址与MAC 地址的捆绑表进行建立运用人工输入方法,这样的工作量大,以后也是需要解决很多繁杂琐碎的维护与管理问题。 1.2 DHCP 分配IP 地址的管理模式 DHCP 动态分配IP 地址的模式的出现是因为在梅州供电局中,其信息系统规模是在变大,对于实际业务需要,手工分配IP 地址的模式已经满足不了了。这样的方式会给网络带来下面一些问题: 1)对IP地址进行随机分配使用DHCP分配的管理模式,各位工作人员使用电脑指定单一IP地址,实现不了相关部门分配、绑定梅州供电局的IP/MAC地址和审计等措施的要求; 2)使用过高CPU与系统挂断的情况,或用户的数量会大增,DHCP请求过高这些情况是因为使用了非专用DHCP 服务器最终造成出现不及时的相应与出现中断服务的现象; 3)不能自动释放租约到期的IP 地址;无法自动清除记录IP冲突的表格,这是因为一些网络设备的硬件的设置的规定; 4)对传统DHCP功能而言缺乏外来用户授权与认证安全机制,这样一来,对MAC地址进行恶意伪造的行为是不能做到阻止,也就会用尽IP 地址; 5)对网络管理员而言,网络扩容工程的过程比较繁杂琐碎; 6)准确定位非法接入设备的大量检索工作量也是存在这种管理模式; 7) 安全性能低,很容易被攻击。 1.3 通过交换机管理IP 地址模式 在局域网内,使用的方式是创新的,借助交换机内部集成的安全特性对IP地址进行有效管理的模式。知识按照安全措施来自认证(如IEEE 802.1x)与访问控制列表对于前文提及的来自网络第2层即数据链路层的安全攻击(DHCP 服务器欺骗攻击、IP/MAC 地址欺骗、MAC 地址的泛滥攻击等等)是不能起到阻止的。 为了能对DHCP 攻击、地址欺骗、MAC/CAM 攻击等进行阻防制止,能借助利用交换机内部集成的安全特性,组合运用与部署Port Security、动态ARP 检测、DHCP Snooping、IP 源地址保护技术,它的更突出的意义还能借助前文提及的技术对地址管理进行简化,能对用户IP 与对应的交换机端口进行跟踪,阻防制止出现IP 地址冲突。另外,还有有效报警与隔离大部分病毒,其是带有欺骗、地址扫描、等特征。 借助配置交换机的特征,对于部分典型攻击与病毒的防范问题是能起到解决作用,这也在如何更好管理传统IP地址方面上给了启示,对以前使用DHCP 服务器管理客户端IP 地址遇到的问题(如下提到的问题)能起到解决作用: 1)出现IP地址冲突由运用静态指定IP 地址导致的; 2)對IP 地址进行非法使用或盗用; 3)对DHCP 服务器进行配置非法; 4)对IP 地址与具体交换机端口对应表进行定位比较困难; 5)运用静在实际态地址的重要服务器与计算机,可以进行静态绑定等。 然而,在实际工作上,繁多复杂地设置交换机,是对网络管理员技术水平的考验,通常也是要离不开利用网络技术的,倘若网络出现问题,网络管理人员应该要联系技术支持,一般无法保障响应时间。 1.4 新一代智能IP 安全管理模式 科学技术的快速发展促进网络技术的发展期,在局域网内,对于IP 自动分配管理与安全准入,新的智能IP地址安全管理是能实现的,另外,对于交换机的安全特性也是能起到集成作用,例如:DHCP中继、Dynamic ARP Inspection(动态ARP 检测)、和IP Source Guard(IP 源地址保护)技术、DHCP Snooping(DHCP 侦听),它的管理模式包括下面这几个特点: 1)对于DHCP服务,能做到更高性能,能进行集中管理规划IP/MAC地址; 2)IP地址的推送功能能得以实现,也能进行集中绑定IP/MAC; 3)对于IPV4/IPV6 双协议也是能起到支持; 4)对于网络配置的多余备份与负载均衡的能力也到达到满足; 5)授权管理IP/MAC 地址能做到实时,进行实时分析网络资源,设备接入的时候的安全控制进一步增强,没有授权设备就要接入许可,对业务网内重要站点的IP能起到全方位保护; 6)能实时进行同步管理IP 地址数据,及时回收与再次利用废弃的IP地址; 7)和DAI技术、交换机DHCP SNOOPING相衔接,对IP地址要进行配置时采用手工方式能起到防止作用,对非法DHCP,预防ARP病毒也是能起到防止作用; (8)对现在的网络结构不需要进行改变,客户端软件也是不需要进行安装。 和配置交换机相比较,对网络管理员而言,这种IP管理模式很大降低了技术实现的难度,也更好提高了工作效率。 2 结论 IP管理的发展经历如下:手工静态IP 地址的分配管理模式是第一代,DHCP 动态分配手工管理模式是第二代,智能IP 安全管理模式是第三代,这也是目前最新的IP地址管理模式,对于大多数的网络地址的维护工作任务能起到节省作用,对于出现故障由于手工操作造成的这种状况也是能起到防止作用,对响应能力也能起到快速提高,维护成本也能降低,使整体网络的安全性能得到提高。 通过本系统的建设,能提供一个安全、可控、强化的IP地址支撑管理平台给梅州供电局的相关业务系统。 参考文献: [1] 闫冬梅,任丽莉.校园网IP地址管理模式探讨[J].长春师范学院学报:自然科学版,2011(4):30-32. 【通联编辑:唐一东】 |
随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。