校園網(wǎng)IP地址防盜措施

康向榮

(河北工業(yè)職業(yè)技術(shù)學(xué)院宣鋼分院計(jì)算機(jī)系，河北宣化，075100)

0 引言

校園網(wǎng)絡(luò)普遍采用靜態(tài)IP地址分配的策略，使網(wǎng)絡(luò)地址的規(guī)劃更為便捷和科學(xué)，而且便于對校園內(nèi)部的用戶進(jìn)行詳細(xì)的實(shí)名統(tǒng)計(jì)，在發(fā)生網(wǎng)絡(luò)故障時(shí)可以快速的定位故障點(diǎn)，實(shí)現(xiàn)IP地址的跟蹤管理。但同時(shí)IP地址盜用或沖突也嚴(yán)重影響網(wǎng)絡(luò)的穩(wěn)定和安全，如果合法地址被人盜用，網(wǎng)絡(luò)上存有的數(shù)據(jù)就可能被人竊聽，甚至盜用或是破壞，損失會非常嚴(yán)重。加強(qiáng)IP地址防盜用的技術(shù)措施和管理手段是解決這類問題的主要方式。

1 IP 地址盜用原理

IP地址盜用會影響合法用戶正常使用網(wǎng)絡(luò)，本機(jī)的IP地址被盜用者修改為本子網(wǎng)內(nèi)另一合法用戶的IP地址，然后借用該IP地址訪問網(wǎng)絡(luò)，如此，基于該IP地址的一切控制或計(jì)費(fèi)皆會發(fā)生錯誤。

2 IP地址防盜措施

校園網(wǎng)的IP地址防盜可在網(wǎng)管交換機(jī)上的實(shí)現(xiàn)主要采用各種綁定技術(shù)，以下以CISCO交換機(jī)為例討論綁定技術(shù)的實(shí)現(xiàn)。

2.1 MAC和端口綁定

通過將MAC地址和CISCO交換機(jī)的端口進(jìn)行綁定，使該端口只容許通過綁定的MAC地址的計(jì)算機(jī)，非綁定的MAC地址的計(jì)算機(jī)均被阻止，從而使該端口下被容許的計(jì)算機(jī)才能訪問網(wǎng)絡(luò)。以下為實(shí)現(xiàn)的過程。

登陸CISCO2960交換機(jī)，輸入管理口令進(jìn)入配置模式：

Switch＃config terminal

進(jìn)入配置模式

Switch（config）# Interface fastethernet 0/1

進(jìn)入具體端口配置模式

Switch（config-if）#Switchport port-secruity

配置端口安全模式

Switch（config-if ）switchport port-security macaddress MAC（主機(jī)的MAC地址）

配置該端口要綁定的主機(jī)的MAC地址

Switch（config-if ）switchport port-security violation protect

設(shè)置非授權(quán)地址的數(shù)據(jù)轉(zhuǎn)發(fā)方式為不轉(zhuǎn)發(fā)數(shù)據(jù)

2.2 IP和端口綁定

IP地址與交換機(jī)端口的綁定，此種方法綁定后的端口只有被容許的IP地址能夠通過，其他IP地址將被阻斷，有效的防止了亂改IP。這種方法的好處是控制了IP地址和端口，只有該端口下聯(lián)的主機(jī)可以訪問網(wǎng)絡(luò)，其他端口下聯(lián)的主機(jī)只有在其他可控端口下才能訪問網(wǎng)絡(luò)，這種方式需要大量的可網(wǎng)管接入層交換機(jī)。以下是實(shí)現(xiàn)的過程。

cisco（config）# interface FastEthernet0/17

進(jìn)入具體端口配置模式

cisco（config-if）# ip access-group 6 in

容許訪問控制列表6進(jìn)入該端口

cisco（config）#access-list 6 permit 192.168.36.58

訪問控制列表6的規(guī)則為容許192.168.36.58這個IP地址通過

這樣就將交換機(jī)的FastEthernet0/17端口與IP地址192.168.36.58綁定。

2.3 IP和MAC綁定

IP地址和MAC地址的綁定的作用是通過ARP協(xié)議，成對的捆綁IP和MAC，實(shí)現(xiàn)該IP地址只能由捆綁的MAC地址使用，其他MAC地址無法使用，IP地址與MAC地址的綁定可以有效的防止IP地址被盜用，將IP地址改成綁定了MAC地址的IP后，其網(wǎng)絡(luò)被阻斷，以下是實(shí)現(xiàn)的過程。

cisco（config）# arp 192.168.36.58 0000.e268.9980 ARPA

在CISCO交換機(jī)上將IP地址192.168.36.58與MAC地址0000.e268.9980做靜態(tài)ARPA綁定。

2.4 IP和MAC綁定的實(shí)際案例分析

企業(yè)網(wǎng)絡(luò)主要采用靜態(tài)IP地址的管理模式，通過靜態(tài)IP地址對最終用戶進(jìn)行詳細(xì)的信息統(tǒng)計(jì)，這里通過分析靜態(tài)IP地址和MAC地址的綁定，并通過CISCO交換機(jī)和IP地址反查，以及MAC地址追蹤技術(shù)，阻止并查找盜用者具體位置的實(shí)際案例，對IP地址和MAC地址的綁定技術(shù)進(jìn)行深入的技術(shù)分析。

某網(wǎng)絡(luò)的IP地址規(guī)劃為：核心交換機(jī)為三層的CISCO6509交換機(jī)，接入層交換機(jī)為二層的CISCO2960交換機(jī)，192.168.11.0網(wǎng)段為教學(xué)樓網(wǎng)絡(luò)，192.168.12.0網(wǎng)段為圖書館網(wǎng)絡(luò)，教學(xué)樓網(wǎng)段的192.168.11.16計(jì)算機(jī)的IP被盜用，導(dǎo)致該計(jì)算機(jī)無法進(jìn)行內(nèi)部辦公。對本案例進(jìn)行分析后，首先將盜用者的計(jì)算機(jī)定位，查找到該盜用計(jì)算機(jī)并中斷其網(wǎng)絡(luò)；之后，將財(cái)務(wù)計(jì)算機(jī)進(jìn)行IP和MAC的捆綁；最后，進(jìn)行IP地址盜用測試，防止財(cái)務(wù)的計(jì)算機(jī)再次發(fā)生該類型的問題。

在CISCO6509交換機(jī)上對盜用的IP地址進(jìn)行MAC分析，

cisco6509#show arp | include 192.168.11.16

Internet 192.168.11.16 1 0023.7d3e.11bd ARPA Vlan11

得到192.168.11.16的MAC地址為0023.7d3e.11bd，對該MAC地址進(jìn)行端口定位，找到具體的地理位置。

cisco2960#show mac address-table address 0023.7d3e.11bd

Total Mac Addresses for this criterion: 1

從交換機(jī)的信息上可以明確的發(fā)現(xiàn)該MAC地址是從第5口聯(lián)結(jié)的，通過查看交換機(jī)的第5口的聯(lián)結(jié)信息，就可以找到第5口聯(lián)結(jié)的房間從而找到盜用者，將該端口shutdown就可以切斷該用戶的網(wǎng)絡(luò)。

在切斷盜用用戶后，將財(cái)務(wù)的計(jì)算機(jī)進(jìn)行IP和MAC的捆綁，使財(cái)務(wù)的計(jì)算機(jī)免于IP盜用的影響。在三層交換機(jī)CISCO6509上，捆綁192.168.11.16的IP地址和MAC地址。

cisco6509（config）#arp 192.168.11.16 0023.7d3e.11bd ARPA

在捆綁之后192.168.11.16這個IP地址將只能用于0023.7d3e.11bd這個MAC地址。

用測試的計(jì)算機(jī)盜用192.168.11.16這個IP地址，在測試機(jī)修改IP后，測試機(jī)無法在交換機(jī)上取得192.168.11.16這個IP地址的ARP解析，使得測試機(jī)無法進(jìn)行任何網(wǎng)絡(luò)操作，從而保證財(cái)務(wù)計(jì)算機(jī)可以正常的訪問公司的辦公網(wǎng)絡(luò)。這里需要注意的是財(cái)務(wù)計(jì)算機(jī)在測試機(jī)修改IP后會報(bào)IP地址沖突的提示，但是由于三層交換機(jī)的ARP解析始終是財(cái)務(wù)計(jì)算機(jī)的IP地址和MAC地址的捆綁，所以測試機(jī)即便與財(cái)務(wù)計(jì)算機(jī)有接入層的沖突，但仍然不影響財(cái)務(wù)計(jì)算機(jī)的正常使用。

3 結(jié)語

校園網(wǎng)的IP地址管理是校園網(wǎng)穩(wěn)定和發(fā)展的基礎(chǔ)，建立IP地址和MAC地址的信息檔案，自始至終的對內(nèi)網(wǎng)用戶執(zhí)行嚴(yán)格的管理、登記制度，將每個用戶的IP地址、MAC地址、上聯(lián)端口、物理位置和用戶身份等信息記錄在數(shù)據(jù)庫中，合理地利用以上措施會極大的減少IP地址盜用等網(wǎng)絡(luò)故障發(fā)生的幾率，同時(shí)解決此類故障的效率也將極大的提升。用不斷加強(qiáng)的技術(shù)措施來控制網(wǎng)絡(luò)行為，有效的防止竊取IP地址等僥幸心理，讓更為先進(jìn)的技術(shù)成為管理的堅(jiān)實(shí)基礎(chǔ)，更好的為校園網(wǎng)絡(luò)的發(fā)展提供有力的保證。

[1]吳斌.IP地址管理技術(shù)在企業(yè)局域網(wǎng)中的應(yīng)用[J].數(shù)字技術(shù)與應(yīng)用,2013,03:67.

[2]楊延朋.校園網(wǎng)IP地址管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].遼寧科技大學(xué),2011.

[3]鄭彥東.IP地址盜用解決方案[J].硅谷,2011,10:21+40.