陳智明 陳穎聰 王遠雄 丘丹

摘要：在許多局域網(wǎng)安全問題中，在梅州供電局中，要做到對網(wǎng)絡系統(tǒng)的中IP地址進行有效管理是網(wǎng)絡管理員認為很困難的工作。倘若不能對IP地址進行有效管理，可能會造成降低了網(wǎng)絡可用性與服務質量，嚴重甚至會導致網(wǎng)絡崩潰。本文將詳細闡述目前存在的幾種IP 管理模式特點，并介紹應用新技術進行IP 維護、安全準入管理模式和在局域網(wǎng)上對IP 地址進行有效管理通過運用創(chuàng)新的方式，借助交換機內部集成的安全特性。

關鍵詞：局域網(wǎng)；靜態(tài)IP；智能IP；地址管理；IP地址推送

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）07-0043-02

對規(guī)劃網(wǎng)絡和分配設計IP 地址而言，IP地址方案是否設計得合理科學，對于網(wǎng)絡負荷是能起到減輕作用，對于未來擴展網(wǎng)絡，也是能奠下良好基礎。

隨著網(wǎng)絡規(guī)模逐漸擴大，現(xiàn)階段有相對完善的網(wǎng)絡設備存在于梅州供電局內網(wǎng)絡中。在管理用戶終端IP地址上，現(xiàn)階段分配IP地址運用的方式是傳統(tǒng)的手工靜態(tài)，IP地址管理是繁雜瑣碎，多為人工管理IP地址管理審計和進行訪客IP授權控制。

IP資源并不是無限的，例如IP 沖突，新機器入網(wǎng)，ARP 干擾等問題是會加大維護IP成本與維護的難度，加上網(wǎng)絡規(guī)模在不停發(fā)展，嚴重的時候整個網(wǎng)絡會出現(xiàn)癱瘓，所以，對網(wǎng)絡運行能產生非常重要的影響的因素就包括IP 地址的實名管理與準入控制。

所以，本文重點關注的問題就是對一個穩(wěn)固的人和IP的關系進行維護，從而使智能實名制的IP分配管理審計得以實現(xiàn)。

1 幾種IP 管理模式的特點

1.1 手工管理模式

網(wǎng)絡管理人員對Excel 表格或地址登記簿進行維護是使用手工維護，對某IP 地址是不是能有效使用進行查詢驗證使借助簡單PING 命令，當對IP進行新分配之后，對Excel 表格或地址登記簿需要進行更新運用手工方式。運用手工方式在接入端對靜態(tài)IP地址進行配置，這就是傳統(tǒng)手工管理IP 模式。

傳統(tǒng)手工管理IP 模式存在管理缺陷，包括以下幾個方面：

1.1.1 在IP 地址沖突與非法設備接入是不能有效避免

設計梅州供電局的內部網(wǎng)絡為一個公用設施，也就是在當今，對內部而言，普遍的網(wǎng)絡端口的狀態(tài)都是“開放”的，這樣一來，網(wǎng)絡是“開放”的，而且資源又是共享，要訪問是很容易的，一個網(wǎng)絡接口僅需要插有臺非法電腦，按圖索驥，也就是對于網(wǎng)絡資源能開始進行使用，以至IP地址任何時候出現(xiàn)沖突的情況。對那些重點業(yè)務而言，這樣的IP管理方式起不到什么保護作用。

CSI/FBI 計算機犯罪和安全調查顯示，目前最主要的犯罪的表現(xiàn)形式就是偷盜信息。在內部中，有百分之七十五是造成經濟損失。

在局域網(wǎng)內，非法使用IP包括那些使用沒有經過授權的IP地址。終端用戶能對IP 地址進行自由修改，在局域網(wǎng)中，在運行改動之后的IP 地址的時候或許會出現(xiàn)下面的情況：

1）出現(xiàn)在不是規(guī)劃的局域網(wǎng)范圍內的IP地址就是非法IP地址；

2）和分配好的并且在局域網(wǎng)正在運行的合法IP 地址出現(xiàn)資源沖突，導致合法用戶不能上網(wǎng)的就是重復IP 地址；

3）合法用戶不在線的時候，盜用合法用戶的IP 地址聯(lián)網(wǎng)，侵害到合法用戶權益稱為冒用合法用戶IP 地址；

4）一旦非法IP 地址被使用到，信息系統(tǒng)可能會產生嚴重的后果，例如：網(wǎng)絡服務器與網(wǎng)絡設備正常運行會被重復的IP 地址干擾、破壞到，嚴重的會網(wǎng)絡的穩(wěn)定性會受到破壞，最終正常業(yè)務會受到影響；擁有被非法使用的IP 地址所擁有的特權，網(wǎng)絡安全會受到威脅；攻擊網(wǎng)絡利用欺騙性的IP 地址，例如：富有侵略性的TCP SYN 洪泛攻擊來源于一個欺騙性的IP 地址，它是利用TCP 3 次握手會話進行顛覆服務器的一種攻擊方式，一個IP 地址欺騙攻擊者能假冒一個合法地址是通過對地址進行手動修改或是運行一個實施地址欺騙的程序來達到目的。

1.1.2 IP/MAC跟蹤和準確定位功能不強

如果出現(xiàn)非法使用IP 地址、IP 地址出現(xiàn)沖突，或者是網(wǎng)絡有流量出現(xiàn)非正常（包括病毒感染、網(wǎng)絡攻擊產生與網(wǎng)絡掃描這些所產生的流量），要對IP地址源頭進行查找，可以適應下面的這個幾個步驟：

1）對有問題IP地址的出現(xiàn)進行確定；

2）要獲取網(wǎng)卡MAC地址，要對近期的網(wǎng)絡設備ARP表進行查看；

3）要對機器位置進行確定，就需要對交換機MAC地址列表進行檢查。

要對機器具體連接的物理端口進行定位需要消耗很多時間，要查清楚偽造的源IP 地址是來自哪臺機器難度就更高了。倘若無法及時準確地定位、迅速地隔離故障源，最終會帶來后果是很嚴重的，即便是恢復網(wǎng)絡了還是存在隱患。

1.1.3 IP 地址回收問題

很明顯，對IP地址進行管理運用的方式是全手工，容易導致IP地址出現(xiàn)回收問題。倘若科室對網(wǎng)內設備是采取室自行撤銷或報廢的方式，而不是將情況反映給相關的網(wǎng)絡管理員，這樣導致無法及時回收IP地址并且增加節(jié)點無IP 可用的狀況，從而沒有合理配置利用有限的網(wǎng)絡資源。

1.1.4煩瑣的管理

為了提高網(wǎng)絡安全，防止對IP地址進行非法使用，對IP 地址與MAC 地址使用靜態(tài)ARP 命令捆綁是最常見的方式，為的是能對非法用戶在對MAC 地址不修改的情況下冒用IP地址進行訪問這種行為進行阻止，另外，對非法用戶MAC 地址以適應靜態(tài)ARP 表的問題的解決可以采用MAC地址綁定功能，也就是交換機的端口安全。但是此種方法首先要對全部機器MAC 地址和相應IP地址進行收集，接著就是對IP地址與MAC 地址的捆綁表進行建立運用人工輸入方法，這樣的工作量大，以后也是需要解決很多繁雜瑣碎的維護與管理問題。

1.2 DHCP 分配IP 地址的管理模式

DHCP 動態(tài)分配IP 地址的模式的出現(xiàn)是因為在梅州供電局中，其信息系統(tǒng)規(guī)模是在變大，對于實際業(yè)務需要，手工分配IP 地址的模式已經滿足不了了。這樣的方式會給網(wǎng)絡帶來下面一些問題：

1）對IP地址進行隨機分配使用DHCP分配的管理模式，各位工作人員使用電腦指定單一IP地址，實現(xiàn)不了相關部門分配、綁定梅州供電局的IP/MAC地址和審計等措施的要求；

2）使用過高CPU與系統(tǒng)掛斷的情況，或用戶的數(shù)量會大增，DHCP請求過高這些情況是因為使用了非專用DHCP 服務器最終造成出現(xiàn)不及時的相應與出現(xiàn)中斷服務的現(xiàn)象；

3）不能自動釋放租約到期的IP 地址；無法自動清除記錄IP沖突的表格，這是因為一些網(wǎng)絡設備的硬件的設置的規(guī)定；

4）對傳統(tǒng)DHCP功能而言缺乏外來用戶授權與認證安全機制，這樣一來，對MAC地址進行惡意偽造的行為是不能做到阻止，也就會用盡IP 地址；

5）對網(wǎng)絡管理員而言，網(wǎng)絡擴容工程的過程比較繁雜瑣碎；

6）準確定位非法接入設備的大量檢索工作量也是存在這種管理模式；

7） 安全性能低，很容易被攻擊。

1.3 通過交換機管理IP 地址模式

在局域網(wǎng)內，使用的方式是創(chuàng)新的，借助交換機內部集成的安全特性對IP地址進行有效管理的模式。知識按照安全措施來自認證（如IEEE 802.1x）與訪問控制列表對于前文提及的來自網(wǎng)絡第2層即數(shù)據(jù)鏈路層的安全攻擊（DHCP 服務器欺騙攻擊、IP/MAC 地址欺騙、MAC 地址的泛濫攻擊等等）是不能起到阻止的。

為了能對DHCP 攻擊、地址欺騙、MAC/CAM 攻擊等進行阻防制止，能借助利用交換機內部集成的安全特性，組合運用與部署Port Security、動態(tài)ARP 檢測、DHCP Snooping、IP 源地址保護技術，它的更突出的意義還能借助前文提及的技術對地址管理進行簡化，能對用戶IP 與對應的交換機端口進行跟蹤，阻防制止出現(xiàn)IP 地址沖突。另外，還有有效報警與隔離大部分病毒，其是帶有欺騙、地址掃描、等特征。

借助配置交換機的特征，對于部分典型攻擊與病毒的防范問題是能起到解決作用，這也在如何更好管理傳統(tǒng)IP地址方面上給了啟示，對以前使用DHCP 服務器管理客戶端IP 地址遇到的問題（如下提到的問題）能起到解決作用：

1）出現(xiàn)IP地址沖突由運用靜態(tài)指定IP 地址導致的；

2）對IP 地址進行非法使用或盜用；

3）對DHCP 服務器進行配置非法；

4）對IP 地址與具體交換機端口對應表進行定位比較困難；

5）運用靜在實際態(tài)地址的重要服務器與計算機，可以進行靜態(tài)綁定等。

然而，在實際工作上，繁多復雜地設置交換機，是對網(wǎng)絡管理員技術水平的考驗，通常也是要離不開利用網(wǎng)絡技術的，倘若網(wǎng)絡出現(xiàn)問題，網(wǎng)絡管理人員應該要聯(lián)系技術支持，一般無法保障響應時間。

1.4 新一代智能IP 安全管理模式

科學技術的快速發(fā)展促進網(wǎng)絡技術的發(fā)展期，在局域網(wǎng)內，對于IP 自動分配管理與安全準入，新的智能IP地址安全管理是能實現(xiàn)的，另外，對于交換機的安全特性也是能起到集成作用，例如：DHCP中繼、Dynamic ARP Inspection（動態(tài)ARP 檢測）、和IP Source Guard（IP 源地址保護）技術、DHCP Snooping（DHCP 偵聽），它的管理模式包括下面這幾個特點：

1）對于DHCP服務，能做到更高性能，能進行集中管理規(guī)劃IP/MAC地址；

2）IP地址的推送功能能得以實現(xiàn)，也能進行集中綁定IP/MAC；

3）對于IPV4/IPV6 雙協(xié)議也是能起到支持；

4）對于網(wǎng)絡配置的多余備份與負載均衡的能力也到達到滿足；

5）授權管理IP/MAC 地址能做到實時，進行實時分析網(wǎng)絡資源，設備接入的時候的安全控制進一步增強，沒有授權設備就要接入許可，對業(yè)務網(wǎng)內重要站點的IP能起到全方位保護；

6）能實時進行同步管理IP 地址數(shù)據(jù)，及時回收與再次利用廢棄的IP地址；

7）和DAI技術、交換機DHCP SNOOPING相銜接，對IP地址要進行配置時采用手工方式能起到防止作用，對非法DHCP，預防ARP病毒也是能起到防止作用；

（8）對現(xiàn)在的網(wǎng)絡結構不需要進行改變，客戶端軟件也是不需要進行安裝。

和配置交換機相比較，對網(wǎng)絡管理員而言，這種IP管理模式很大降低了技術實現(xiàn)的難度，也更好提高了工作效率。

2 結論

IP管理的發(fā)展經歷如下：手工靜態(tài)IP 地址的分配管理模式是第一代，DHCP 動態(tài)分配手工管理模式是第二代，智能IP 安全管理模式是第三代，這也是目前最新的IP地址管理模式，對于大多數(shù)的網(wǎng)絡地址的維護工作任務能起到節(jié)省作用，對于出現(xiàn)故障由于手工操作造成的這種狀況也是能起到防止作用，對響應能力也能起到快速提高，維護成本也能降低，使整體網(wǎng)絡的安全性能得到提高。

通過本系統(tǒng)的建設，能提供一個安全、可控、強化的IP地址支撐管理平臺給梅州供電局的相關業(yè)務系統(tǒng)。

參考文獻：

[1] 閆冬梅，任麗莉.校園網(wǎng)IP地址管理模式探討[J].長春師范學院學報：自然科學版，2011（4）：30-32.

【通聯(lián)編輯：唐一東】