韓廷輝

【摘要】本文分析了聯(lián)網(wǎng)IP沖突產(chǎn)生的原因，聯(lián)網(wǎng)控制技術(shù)的實(shí)現(xiàn)。從技術(shù)和管理層面，提出解決局域網(wǎng)IP地址沖突與聯(lián)網(wǎng)無法管控的方法，確保局域網(wǎng)運(yùn)行效率不會受到IP沖突現(xiàn)象的影響。通過MAC集中認(rèn)證技術(shù)，對聯(lián)網(wǎng)設(shè)備進(jìn)行準(zhǔn)入控制。保證信息安全和數(shù)據(jù)平穩(wěn)傳輸，解決生產(chǎn)實(shí)際問題。

【關(guān)鍵詞】網(wǎng)絡(luò)安全;聯(lián)網(wǎng)準(zhǔn)入;ARP綁定;MAC集中認(rèn)證

1.概述

隨著互聯(lián)網(wǎng)的深入應(yīng)用，企業(yè)內(nèi)部聯(lián)網(wǎng)設(shè)備逐漸增多，經(jīng)常出現(xiàn)IP地址沖突的現(xiàn)象，嚴(yán)重干擾正常計(jì)算機(jī)聯(lián)網(wǎng)。這主要是因?yàn)槠髽I(yè)內(nèi)部點(diǎn)多面廣，對計(jì)算機(jī)入網(wǎng)沒有有效管控措施，導(dǎo)致計(jì)算機(jī)隨意接入。為了確保局域網(wǎng)環(huán)境運(yùn)行良好，有必要對IP地址資源進(jìn)行科學(xué)管理，對未授權(quán)計(jì)算機(jī)和非法制造IP地址沖突的行為進(jìn)行限制。

2.IP地址沖突原因分析與防治技術(shù)

IP地址沖突的解決方法有很多，局域網(wǎng)中發(fā)生IP地址沖突，不僅是簡單的技術(shù)問題，還是網(wǎng)絡(luò)管理員必須要認(rèn)真面對的管理問題。在分析故障存在的基礎(chǔ)上，筆者結(jié)合實(shí)踐經(jīng)驗(yàn)與教訓(xùn)，從技術(shù)層面提出IP地址沖突的解決辦法，為網(wǎng)絡(luò)管理員提供一套可行的管理策略。

2.1 IP地址沖突原因

一是重新安裝操作系統(tǒng)，并且隨意設(shè)置上網(wǎng)參數(shù)，無意中造成IP地址沖突。

二是局域網(wǎng)中的一些非法攻擊者企圖破壞或干擾本地局域網(wǎng)中重要網(wǎng)絡(luò)設(shè)備的穩(wěn)定運(yùn)行，制造IP地址沖突故障現(xiàn)象，造成整個局域網(wǎng)無法正常工作。

三是一些權(quán)限受限用戶想獲得特殊的訪問權(quán)限，冒用合法IP地址進(jìn)行網(wǎng)絡(luò)連接，從而訪問局域網(wǎng)的授權(quán)IP資源。

第一種情況發(fā)生頻率較低，歸為特殊情況。第二種情況發(fā)生頻率也較低，但危害性最大。第三種情況發(fā)生頻率最高，行為發(fā)生人多為內(nèi)部員工。

2.2 限制訪問網(wǎng)絡(luò)連接屬性

用戶可以修改本地主機(jī)的IP地址，為了屏蔽修改功能，可以通過修改本地系統(tǒng)組策略以禁止訪問網(wǎng)絡(luò)連接屬性。具體操作方法是：單擊“開始”、“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行框中敲入“gpedit.msc”命令，打開系統(tǒng)的組策略編輯界面，依次點(diǎn)選該界面左側(cè)顯示區(qū)域中的“用戶配置”、“管理模板”、“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)連接”等節(jié)點(diǎn)選項(xiàng);之后用鼠標(biāo)雙擊該節(jié)點(diǎn)選項(xiàng)下面的“禁止訪問LAN連接組件的屬性”，打開目標(biāo)組策略的屬性設(shè)置窗口，選中其中的“已啟用”選項(xiàng)，然后單擊“確定”按鈕。這樣，用戶就不能隨意打開TCP/IP屬性設(shè)置窗口修改本地主機(jī)的IP地址，此方法適合對特殊網(wǎng)絡(luò)設(shè)備的保護(hù)。

2.3 IP-MAC地址綁定

在相同的局域網(wǎng)網(wǎng)段中，二層網(wǎng)絡(luò)尋址不是根據(jù)主機(jī)IP地址而是根據(jù)主機(jī)物理地址來進(jìn)行的，而在不同網(wǎng)段之間通信時才會根據(jù)主機(jī)的IP地址進(jìn)行網(wǎng)絡(luò)尋址，所以作為局域網(wǎng)網(wǎng)關(guān)的三層交換設(shè)備上通常保存有IP-MAC地址映射表，通過手工修改固化IP-MAC地址映射表表項(xiàng)，達(dá)到限制IP更改造成的地址沖突，從而限制非法更改IP地址行為，防止造成網(wǎng)絡(luò)運(yùn)行不穩(wěn)定現(xiàn)象發(fā)生。ARP綁定操作：telnet或console登陸三層交換機(jī)，輸入命令“arp static IP地址MAC地址”然后回車，保存配置即可。

3.內(nèi)部入網(wǎng)控制

身份證起到證明身份的作用。比如去銀行提取大量現(xiàn)金，這時就要用到身份證。那么MAC地址與IP地址綁定就如同我們在日常生活中的本人攜帶自己的身份證去做重要事情一樣。我們?yōu)榱朔乐笽P地址被盜用，就通過上面的方法，簡單的對MAC表使用靜態(tài)表項(xiàng)，而有時在一個vlan內(nèi)，已使用的IP地址數(shù)量多，IP剩余資源量大，雖然之前已經(jīng)綁定了已使用的IP地址，但是對陌生計(jì)算機(jī)并沒有管控措施。通過ARP綁定技術(shù)并不能達(dá)到理想的效果，而MAC集中認(rèn)證技術(shù)可以實(shí)現(xiàn)對入網(wǎng)計(jì)算機(jī)進(jìn)行準(zhǔn)入，達(dá)到內(nèi)部聯(lián)網(wǎng)準(zhǔn)入控制的目的。

3.1 MAC集中認(rèn)證技術(shù)

MAC地址集中認(rèn)證是一種基于端口和mac地址對用戶訪問網(wǎng)絡(luò)的權(quán)限進(jìn)行控制的認(rèn)證方法。它是一種通用的交換機(jī)安全控制技術(shù)，各個廠商設(shè)備都有支持的型號。它不需要用戶安裝任何客戶端軟件，交換機(jī)在首次檢測到用戶的mac地址以后，即啟動對該用戶的認(rèn)證操作。

計(jì)算機(jī)在接入網(wǎng)絡(luò)前必須與交換機(jī)的MAC認(rèn)證表比對，如果認(rèn)證表中沒有此計(jì)算機(jī)對應(yīng)的MAC地址，則按認(rèn)證失敗處理，不學(xué)習(xí)此端口下連的MAC地址，從而達(dá)到未認(rèn)證計(jì)算機(jī)無法轉(zhuǎn)發(fā)數(shù)據(jù)包的目的，控制其非授權(quán)入網(wǎng)行為的發(fā)生。

MAC集中認(rèn)證與ARP綁定的區(qū)別是，MAC集中認(rèn)證不需要知道對應(yīng)設(shè)備的IP地址，而是對MAC進(jìn)行處理。管理員通過網(wǎng)絡(luò)認(rèn)證臺賬，即可認(rèn)證本單位的聯(lián)網(wǎng)設(shè)備身份，對聯(lián)網(wǎng)設(shè)備實(shí)行準(zhǔn)入控制。

3.2 MAC認(rèn)證技術(shù)交換機(jī)配置

MAC認(rèn)證交換機(jī)配置步驟（基于交換機(jī)的本地認(rèn)證方法）：

telnet交換機(jī)，輸入命令如下：（“//”符號后為說明，下劃線字為參數(shù)）

system-view//進(jìn)入特權(quán)模式

mac-authentication interface e1/0/1 to e1/0/48//在e1/0/1到e1/0/48端口啟用認(rèn)證

mac-authentication authmode usernam easmacaddress

usernameformat without-hyphen lowercase

mac-authentication domain system//默認(rèn)認(rèn)證區(qū)域?yàn)閟ystem

mac-authentication timer offline-detect 10//下線檢測時間10秒

mac-authentication timer quiet 300//靜默時間300秒

mac-authentication//全局啟用認(rèn)證

也可以通過web圖形界面配置交換機(jī)，啟用認(rèn)證或添加刪除用戶。配置同交換機(jī)本地用戶添加相同，只要交換機(jī)支持web配置，配置本地用戶相應(yīng)權(quán)限，即可實(shí)現(xiàn)。

交換機(jī)配置命令舉例：

添加用戶：local-user mac

password simple mac

service-type lan-access

arp static ip mac

刪除用戶：undo local-user 舊mac

undo arp 舊ip

格式說明：

僅arp命令后的mac地址格式為“XXXX-XXXX-XXXX”例：1234-5678-9abc

其他命令的mac地址皆為無“-”符號，例：123456789abc

mac地址的英文字母均小寫。

ip格式皆為點(diǎn)分十進(jìn)制，例：

10.64.110.11

4.結(jié)語

通過ARP綁定技術(shù)與MAC集中認(rèn)證技術(shù)相結(jié)合，可以有效防止非法違規(guī)入網(wǎng)設(shè)備獲取資源，局域網(wǎng)內(nèi)IP地址沖突得到有效控制，同時可以更好的幫助企業(yè)管理者實(shí)施實(shí)名制終端行為審計(jì)和實(shí)名制行為管理，對于保障網(wǎng)絡(luò)安全和數(shù)據(jù)平穩(wěn)傳輸，起到良好的應(yīng)用效果。

參考文獻(xiàn)

[1]H3C公司著.H3C配置手冊[S].杭州：華三通信技術(shù)有限公司，2009，6.

[2]王群著.非常網(wǎng)管.網(wǎng)絡(luò)安全[M].北京：人民郵電出版社，2007，4.