CISCO网络设备的IP/MAC地址绑定适用性分析

李大为,陈 宇

(国网吉林省电力有限公司电力科学研究院,长春 130021)

影响网络安全的因素很多,其中网络间互联协议(IP)地址盗用或地址欺骗最为常见且危害极大。对于企业内部网络而言,为了限制外部计算机入侵或内部人员非法盗用高权限 IP地址获得权限外信息,很多大型企业内部网络以及各个网络分支都采用了介质访问控制(MAC)地址与 IP地址的绑定技术,以提高内部网络的安全性[1]。本文以 CISCO网络交换设备为例,探讨了IP与MAC地址绑定的3种主流方式,重点对 3种方式对于不同企业实际网络安全管理的适用性进行分析。

1 IP地址与 M AC地址的关系

按照 IPv4标准指定的 IP地址,长度为 4个字节,不受硬件限制,比较容易记忆。而 M AC地址是用网卡的物理地址,长度为 6个字节,保存在网卡的EEPROM中,与硬件有关系,比较难于记忆。

在 TCP/IP网络中,计算机往往需要设置 IP地址进行通信,但实际上计算机之间的通信并不是通过IP地址,而是借助于网卡的M AC地址,IP地址只是用于查询欲通信的目的计算机的 MAC地址。

地址解析协议(ARP)是用来向对方的计算机、网络设备通知本端计算机 IP地址对应的MAC地址的。在计算机的 ARJ缓存中包含一个或多个表,用于存储 IP地址以及经过解析的以太网 MAC地址。一台计算机与另一 IP地址计算机通信后,在 ARP缓存中会保留相应的 MAC地址,再次与同一 IP地址计算机通信时将不再进行查询,而是直接引用缓存中的M AC地址。

在交互式网络中,网络交换机也维护一张M AC地址表,并根据M AC地址,将数据发送至目的计算机。由于IP地址的修改非常容易,而MAC地址存储在网卡的 EEPROM中,而且网卡的 MAC地址是唯一确定的;因此,将内部网络的IP地址与M AC地址绑定后,即使修改了IP地址,也因 MAC地址不匹配而无法通信;而且由于网卡 M AC地址的唯一确定性,可以根据 MAC地址查出使用该 MAC地址的网卡,进而查出非法入侵者。

2 3种 IP/M AC地址绑定方案

2.1 端口的 MAC地址绑定(方案 1)

以 CISCO系列网络交换机为例,登录进入交换机,输入管理口令进入配置模式,输入命令:

Switch(config)# interface fastethernet 0/1(进入具体端口配置模式)

Switch(config-if)# switchport port-secruity(配置端口安全模式)

Switch(config-if)# switchport port-secruity maximum 1(限制 1个连接计算机数)

Switch(config-if)switchportport-security mac-address sticky(自动学习 M AC地址)

Switch(config-if)no switchport port-security mac-address sticky M AC(删除绑定主机的 MAC地址)

以上命令设置交换机上某个端口绑定一个具体的 MAC地址,这样只有该主机可以使用网络,如果对该主机的网卡进行了更换或者其他计算机想通过该端口使用网络均不可用,除非删除或修改该端口上绑定的MAC地址。

2.2 MAC地址的扩展访问列表(方案 2)

同样以 CISCO系列网络交换机为例,登录进入交换机,输入管理口令进入配置模式,输入命令:

Switch(config)mac access-list extended test1(定义一个 M AC地址访问控制列表并且命名该列表名为 test1)

Switch(config)permit host 001e.4509.5e3f any(定义 M AC地址为 001e.4509.5e3f的主机可以访问任意主机)

Switch(config)permit any host 001e.4509.5e3f(定义所有主机可以访问 M AC地址为 001e.4509.5e3f的主机)

Switch(config-if)interface Fa0/1(进入配置具体端口的模式)

Switch(config-if)mac access-group test1in(在该端口上应用名为 test1的访问列表,即前面所定义的访问策略)

Switch(config)no mac access-list extended test1(清除名为 test1的访问列表)

此功能与端口的 M AC地址绑定大体相同,但其是基于端口做的 MAC地址访问控制列表限制,可以限定特定源 MAC地址与目的地址范围。需要注意的是 CISCO2950、3550需要交换机运行增强的软件镜像(enhanced image)。

2.3 IP地址的MAC地址绑定(方案 3)

该方式只能将端口的 M AC地址绑定或 M AC地址的扩展访问列表与基于 IP的访问控制列表组合来使用才能达到 IP-MAC绑定功能。

Switch(config)mac access-list extended test1(定义一个 MAC地址访问控制列表并且命名该列表名为test1)

Switch(config)permit host 001e.4509.5e3f any(定义 MAC地址为 001e.4509.5e3f的主机可以访问任意主机)

Switch(config)permit any host 001e.4509.5e3f(定义所有主机可以访问 MAC地址为 001e.4509.5e3f的主机)

Switch(config)ip access-list extended IPtest(定义 1个 IP地址访问控制列表并且命名该列表名为IPtest)

Switch(config)permit 10.164.1.1 0.0.0.0 any(定义 IP地址为 10.164.1.1的主机可以访问任意主机)

Switch(config)permit any 10.164.1.1 0.0.0.0(定义所有主机可以访问 IP地址为 10.164.1.1的主机)

Switch(config-if)interface Fa0/1(进入配置具体端口的模式)

Switch(config-if)mac access-group test1 in(在该端口上应用名为 test1的访问列表,即前面所定义的访问策略)

Switch(config-if)ip access-group IPtest in(在该端口上应用名为 IPtest的访问列表,即前面所定义的访问策略)

Switch(config)no mac access-list extended test1(清除名为 test1的访问列表)

Switch(config)no ip access-group IPtest in(清除名为 IPtest的访问列表)

3 3种方案的适用性分析

针对CISCO的不同企业实际网络环境,为了提高网络的安全性,并且满足合理性和可操作性要求,适当选择IP与 MAC地址绑定方案尤为重要。

显而易见,从安全性方面来看,方案 3安全性最高。因其将IP/MAC和端口3者绑定在一起,任何一个因素不符合都无法进行通信;而方案 1是主机MAC地址与交换机端口的绑定,方案 2是M AC地址的访问控制列表,但这两者相当于把 M AC和端口进行绑定,而没有做 IP限制,任何 IP在某一端口或者通过一个 M AC地址上都可以通信,安全性均低于方案 3。

但从实用性方面来看,方案 3不适用于所有企业网络环境。首先,为了避免IP地址冲突,提高IP地址使用效率,很多企业通常使用 DHCP服务器或者网络设备DHCP服务来自动分配IP地址。而通过 IP DHCP snooping binding功能可以实现不允许非法的dhcp server接入,并将 IP分配给MAC地址,也就是将 IP与M AC地址绑定起来[2],所以,通过 DHCP及方案 1或2一起可以实现 IP/MAC及端口三者绑定。只不过这个绑定的IP是由DHCP服务器分配的而不是由管理员指定,并且,分配 IP的周期可以根据实际需要来设定,以避免 IP资源浪费(例如任何IP 30天没有使用将自动释放);所以,对于不是必须固定每一个用户 IP地址的企业来说,这种方法也可以实现三者绑定,且这种方式 IP地址分配效率更高,也更灵活。

其次,为了限制外部计算机绕过网络管理员,直接接入到企业内部网络,必须对 IP/M AC地址及端口进行绑定;但对于大型企业而言,如果内部计算机全部按照方案 3来进行绑定,虽然安全性高,但是维护量过大,首先需要对网络每一名用户的姓名、IP、MAC及端口都要有准确的记录表一一对应,而且在具体操作中需要人工输入各项数据,时间紧迫而且出错率提高。如果采用方案1进行绑定,当网络更改 IP地址段时,不需要重新配置每台计算机的 IP,只需删除之前绑定的 MAC地址,因此,方案 1更为适用于这种网络需要。

方案 3比较适用于安全性需求高,特殊企业或部门系统服务器。多数企业的服务器承载着企业重要的应用,而且由于有对外应用,要求不允许随意改动 IP地址,因为在网络上,用户访问的是 IP地址或者是域名解析出来的 IP地址而不是 MAC地址,而且一旦被其他用户占用,此 IP会引起系统无法访问或者系统停运的严重后果,如果发生非法入侵,盗用系统 IP,会引发数据丢失、机密泄露、资产被盗取等诸多严重后果。

4 结束语

对于IP地址不足,需要高效分配IP地址且网络运维工作量大的大型企业内部网络而言,方案 1和 2是比较适合的。对于安全性要求较高的特殊企业或部门,特别是业务系统或服务器,方案 3则更为适用。不同 IP/MAC地址绑定方式适用于不同的企业的网络环境,有些企业可能需要多种方式来应对不同的需要,因而需要根据网络以及不同企业的实际情况加以确定。

[1]郑产东.IP地址盗用解决方案 [J].硅谷,2011,(10):21,40.

[2]徐胜利 ,孙开云,聂晶.加强接入层交换机安全 [J].网管员世界,2011,(22):91-95.