有效管控局域网IP地址

2015-03-18 11:47
网络安全和信息化 2015年3期
关键词:空闲网卡局域网

IP地址管理是网络管理中一项至关重要的步骤,无论是新接入设备还是重新配置工作站,都需要严格按照IP地址规划方案来进行,否则,我们将时常受到IP地址冲突的困扰。为了减少这种低级错误的出现,我们应该主动出击,让用户无法随意配置或修改局域网中规划好的IP地址。

环境环境

笔者单位局域网规模将近有140个网络节点,这些节点分别分布在老办公区和新办公楼,共有老办公区三个楼层和新办公楼六个楼层,各办公室都通过100M双绞线与普通交换机连接,每个普通交换机又通过光纤连接到单位H3C 5800核心交换机,交换机再和MSR 5660路由器连接,所有网络节点均通过F 100E防火墙与Internet联通。根据全省统一规划,我单位使用的是10.211.4.0网络的IP地址,网关地址则为:10.211.4.254,子网掩码地址为 :255.255.255.0 ;通常情况下,我们只用到140个左右的IP地址,地址空间很大。

故障现象

尽管在新部署上网设备的时候,网络管理员都严格按照IP地址规划来为各个上网设备配置了IP地址参数,并且做了详细记录和备案,可是经过一段时间后,经常会出现IP地址冲突而导致网络故障的现象,严重影响了局域网中的上网用户的工作效率,也给网管员们加大了工作量。

故障原因分析

出现频繁IP地址冲突的主要原因就是,部分网络用户不当的有意操作或者无意操而引起的。通常有以下三种情况:一是一些用心不良的上网用户为了获得某台主机系统的管理员权限,而有意偷用目标主机系统的IP地址,从而造成上网地址冲突的现象;二是局域网中的非法破坏分子,为了破坏局域网稳定运行的目的,故意制造IP地址冲突故障,三是普通上网用户在自己动手处理上网参数的时候,没有严格按照局域网IP地址规划来进行,或者是安装、卸载各种应用程序或安装、卸载网卡等操作不当而致。

解决方案

为了有效避免上网用户任意改动IP地址,我们可以采用IP地址绑定的方法,直接将局域网中各工作站的IP地址与对应网卡设备的物理地址绑定在一起,这样限定了特定网卡设备只能使用特定的IP地址进行上网连接,而使用其它IP地址进行上网时无法成功,恶意用户即使抢用了重要主机系统的IP地址,也不能顺利地连接到网络中,那么地址冲突现象也就不会发生了。

但是经过实践发现,这种方案并不理想。具体地说,简单地将IP地址与网卡MAC地址绑定在一起的方法,只能有效防范恶意用户抢用别人的IP地址,但是无法防范合法用户操作上的无意失误引起的IP地址冲突现象,并不能彻底“摆脱”有操作不当引起的麻烦。

应对策略

有鉴于此,我们必须在核心交换机上同时采用两种地址绑定操作,以便彻底解决由操作不当引起的地址冲突问题:一种是将全部可信任接入设备的IP地址与它们的网卡MAC地址绑定在一起,另外一种就是将其他没有被使用到的空闲IP地址集中绑定到一个虚拟的MAC地址上。经过上面两个步骤的操作,上网用户既不能使用已经连网工作站的IP地址,又不能使用局域网中空闲的IP地址,因此只要局域网中的上网用户随意改动IP地址的话,他就不能正常接入到局域网网络中。

不过这样配置后,也带来了另外一个麻烦,那就是如果局域网中有新的用户需要上网访问时,就不能由自己作主任选IP地址,而必须事先向网络管理员申请IP上网,网络管理员需要对空闲地址进行放号,上网用户才能正常连接到局域网中。实践证明,这种方法不但可以有效避免IP地址冲突故障发生,而且还能有效地防止网络病毒通过局域网非法传播,从而可以有效地保障局域网的稳定运行。

绑定方法介绍

从理论上来讲,我们应该首先将局域网中的网关地址10.211.4.254绑定到对应的MAC地址上,这样处理的好处在于可以有效控制局域网中ARP病毒,接下来,我们应该对IP地址规划表中已经被使用的IP地址执行绑定操作,最后还应该将还未被使用的即空闲的IP地址集中绑定到一个虚拟的网卡物理地址上,经过这三个步骤的处理后,IP地址冲突的情况就不会出现了。

要绑定指定的网关地址,我们首先以管理员身份登录进入MSR 5800交换机后台系统,在该系统的命令行状态执行字符串命令“system”,将系统切换到交换机配置全局状态,输入“arp static 10.211.4.254 10.211.4.254 0023-7DC1-B22E ”,单击回车键后,网关地址10.211.4.254就与00-23-7D-C1-B2-2E MAC地址绑定上了,其它工作站以后也就无法使用该地址了。

接着,就是为所有的被使用的IP地址都需要与相应的网络设备的MAC地址绑定起来,方法就是在交换机后台系统的全局配置状态下,执行“display arp”字符串命令,将显示出来的交换机ARP表中的内容拷贝到记事本编辑窗口中,通过编辑文本,将编辑好的ARP表内容重新粘贴到交换机的ARP表中,快速完成绑定工作。

最后再将未被使用的IP地址绑定到虚拟的MAC地址上,例如我们需要将10.211.4.250地址绑定到00-25-4E-5A-75上,我 们只要在交换机后台系统的全局配置状态下,执行字符串命令“arp static 10.211.4.250 0023-7DC1-B22E ”,之后我们再按同样的方法将其它空闲IP地址绑定到虚拟MAC地址0023-7DC1-B22E上。

完成上述所有步骤后,网络用户就不能随意配置或修改IP地址了,倘若有新的网络设备需要配置新的IP地址,网络管理员可以通过下面的操作步骤从未被使用的IP地址列表中释放出来:

假如,我们打算使用10.211.4.250这个地址来配置一台新加入的工作站,我们需要首先通过交换机后台管理系统执行“system”命令,将系统状态切换到全局配置状态,在该状态下输入字符串命令“display arp”,单击回车键后,从其后出现的ARP列表中检查一下10.211.4.250地址是否处于空闲状态,要是目标IP地址处于空闲状态,我们就能继续执行下面的释放步骤了:

输入字符串命令“undo arp stati 10.211.4.250 0023-7DC1-B22E”,单击回车键后,目标IP地址10.211.4.250就从地址绑定列表中释放出来了,我们只要将该地址设置到相应的工作站中,工作站就被接入到单位局域网中了。我们可以在核心交换机后台系统中执行““display arp 10.211.4.250”,从其后返回的结果界面中我们可以查看得到对应10.211.4.250地址的网卡物理地址为000d-88f8-4e88,然 后 我 们 执 行”arp static 10.211.4.250”命令,保存退出后,结束绑定即可。

总结

通过对局域网核心交换机进行配置,所有规划表中的IP地址都被绑定,任何用户在未有授权的情况下,都不能接入网络,尽管控制过程有些复杂,但此方法可以很好的控制整个局域网的接入安全,避免了非法接入将网络病毒或者木马程序带入到局域网工作环境中。

当然,以上方法并不能保证万无一失,如果非法用户窃取了交换机ARP列表中的内容,并修改自己工作站的网卡物理地址以及IP地址,并且在被窃IP不在线的情况下,也可以占用此IP进行上网操作,不过这种情况出现的概率非常低。

猜你喜欢
空闲网卡局域网
轨道交通车-地通信无线局域网技术应用
部署Linux虚拟机出现的网络故障
基于VPN的机房局域网远程控制系统
“鸟”字谜
Server 2016网卡组合模式
西湾村采风
彪悍的“宠”生,不需要解释
基于802.1Q协议的虚拟局域网技术研究与实现
局域网性能的优化
WLAN和LTE交通规则