淺談IP地址安全管理

引言：在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，IP地址的管理與使用，并非想像中那樣簡單，網(wǎng)絡(luò)中的很多用戶一些有意無意之舉，常常造成整個網(wǎng)絡(luò)的安全、有序局面被破壞。為了讓IP地址安全如我所愿，本文從實際出發(fā)，介紹幾則安全管理IP地址的案例，但愿大家能從中受到啟發(fā)。

讓網(wǎng)絡(luò)安全、高效運行，是每位網(wǎng)絡(luò)技術(shù)人員的職責(zé)。然而，在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，IP地址的管理與使用，并非想像中那樣簡單，網(wǎng)絡(luò)中的很多用戶一些有意無意之舉，造成整個網(wǎng)絡(luò)的安全、有序局面被破壞。為了讓IP地址安全如我所愿，本文從實際出發(fā)，介紹幾則安全管理IP地址的案例，但愿大家能從中受到啟發(fā)。

控制IP地址使用

某網(wǎng)絡(luò)有上百個上網(wǎng)節(jié)點，平均分布在大樓各層，每個節(jié)點都使用百兆雙絞線，通過各自樓層交換機接入到單位核心路由交換機上。單位所有上網(wǎng)節(jié)點都位于10.176.116.0工作子網(wǎng)中，剩余地址數(shù)量完全能夠滿足終端數(shù)量不斷升級的需求。

圖1 MAC與IP的對應(yīng)

現(xiàn)在，這個子網(wǎng)中的每個上網(wǎng)終端都采用了固定IP地址，每次系統(tǒng)遇到意外不能成功啟動時，終端用戶就自行重裝系統(tǒng)、配置參數(shù)，這造成整個子網(wǎng)中不斷發(fā)生IP地址被搶用的不安全現(xiàn)象，該現(xiàn)象既影響了用戶的安全上網(wǎng)訪問，又給日常的網(wǎng)絡(luò)管理與維護帶來了麻煩。為了實現(xiàn)一勞永逸的效果，既要對已在使用的IP地址進行綁定，也要對空閑的IP地址進行綁定，確保普通上網(wǎng)用戶沒有經(jīng)過批準(zhǔn)就無法正常接入到單位網(wǎng)絡(luò)中。在實際進行綁定操作時，網(wǎng)絡(luò)技術(shù)員們先將網(wǎng)絡(luò)中默認(rèn)網(wǎng)關(guān)地址10.176.116.1綁定起來，以避免網(wǎng)絡(luò)遭遇ARP病毒的攻擊，接著對已經(jīng)上網(wǎng)終端的IP地址執(zhí)行綁定，最后將空閑狀態(tài)IP地址集中綁定到虛擬網(wǎng)卡上。經(jīng)過查看發(fā)現(xiàn)默認(rèn)網(wǎng)關(guān)設(shè)備的物理地址為“0326.8cbe.2268”，于是在路由交換機后臺系統(tǒng)的全局視圖狀態(tài)下，簡單執(zhí)行字符串命 令“arp 10.176.116.1 0326.8cbe.2268 arpa”，就完成了默認(rèn)網(wǎng)關(guān)地址的綁定操作，日后其他終端用戶上網(wǎng)時，倘若不小心搶用了IP地址10.176.116.1來上網(wǎng)時，就會出現(xiàn)無法接入單位網(wǎng)絡(luò)的故障現(xiàn)象，整個網(wǎng)絡(luò)的運行安全性就得到保證了。

在對已用IP地址進行綁定時，工作人員進入到路由交換機后臺系統(tǒng)的全局配置狀態(tài)下，使用字符串命令“display arp”，集 中 顯示出所有已用地址的MAC與IP對應(yīng)關(guān)系（如圖1所示），將其簡單編輯處理后，再拷貝粘貼到交換機ARP表中。而對剩余地址的綁定，工作人員只能通過手工方法，逐一將每個空閑IP地址綁定到一個虛擬網(wǎng)卡的MAC地址上，例如，在將10.176.116.12地址綁定到062e.56ea.3287上時，只要在交換機后臺系統(tǒng)的全局配置狀態(tài)下輸入“arp 10.176.116.12 062e.56ea.3287 arpa”命令即可。同樣地，再將其他空閑IP地址依次綁定到虛擬MAC地址062e.56ea.3287上，即可完成剩余地址綁定。

圖2 Ping命令測試結(jié)果

經(jīng)過上述配置后，任何上網(wǎng)終端都將無法隨意搶用IP地址。如果此時恰好有人需要使用空閑的10.176.116.188地 址上網(wǎng)訪問時，工作人員需要進行如下設(shè)置操作，將空閑的10.176.116.188地址從交換機綁定地址列表中釋放：首先在單位路由交換機后臺系統(tǒng)中，使用“system”命令切換到系統(tǒng)全局視圖模式，在該模式下執(zhí)行“display arp”命令，查看目標(biāo)IP地址當(dāng)前是否有被使用，一旦看到其處于空閑狀態(tài)時，就繼續(xù)執(zhí)行“no arp 10.176.116.188 062e.56ea.3287 arpa”命令，這樣目標(biāo)IP地址就被成功釋放出來了。之后通知終端用戶，將上網(wǎng)終端系統(tǒng)的IP地址配置成靜態(tài)地址，并輸入10.176.116.188地址，確認(rèn)后終端用戶就能順利地接入到單位網(wǎng)絡(luò)中了。這時，工作人員返回到路由交換機后臺系統(tǒng)，使用“display arp| in 10.176.116.188”命令，查看獲取到使用該IP地址的網(wǎng)卡MAC地址，假設(shè)該MAC地址為1122.adc6.d7d6；再執(zhí) 行“arp 10.176.116.188 1122.adc6.d7d6 arpa”命令，對新的已用IP地址執(zhí)行綁定操作。

追查IP地址占用

近日單位網(wǎng)絡(luò)總是出現(xiàn)一些蹊蹺故障：有時某些工作子網(wǎng)可以上網(wǎng)，另外一個或多個工作子網(wǎng)不能上網(wǎng)；有時在相同工作子網(wǎng)中，有的用戶可以上網(wǎng)，有的用戶卻不能上網(wǎng)，極端的時候單位網(wǎng)絡(luò)中的所有用戶短時間內(nèi)都不能上網(wǎng)。起初，筆者通過分析上網(wǎng)數(shù)據(jù)包，未發(fā)現(xiàn)故障產(chǎn)生根源，后簡單地重啟了單位網(wǎng)絡(luò)的核心路由交換機，整個網(wǎng)絡(luò)暫時恢復(fù)了正常。但時間不長，同樣的故障現(xiàn)象又會卷土重來。

筆者在一臺IP地址為10.176.34.116的上網(wǎng)故障終端系統(tǒng)中，使用ping命令測試了本地網(wǎng)關(guān)設(shè)備的連通性，從返回的如圖2所示結(jié)果界面中，看到網(wǎng)關(guān)地址是可以被正常ping通的，這就表示該上網(wǎng)終端到路由交換機之間的物理線路是正常的，但為什么該系統(tǒng)不能正常上網(wǎng)訪問呢？登錄進入路由交換機后臺系統(tǒng)，在該系統(tǒng)的全局配置狀態(tài)下，使用“dis dia”字符串命令，查看每個交換端口下的終端主機上網(wǎng)狀態(tài)信息，從返回的掃描結(jié)果信息中，筆者看到了類似“%2009/11/12 09:46:14 YCXZ_W_P8512 ARP/4/DUPIFIP:Slot=2；檢測到IP地址10.176.9.1與VLAN10接口地址沖突，沖突設(shè)備的MAC地址為0016-9612-a22f”這樣的提示內(nèi)容（如圖3所示），該提示內(nèi)容很清楚地告訴筆者，來自VLAN10子網(wǎng)中的某臺上網(wǎng)終端系統(tǒng)感染了ARP病毒，該終端系統(tǒng)使用的網(wǎng)卡設(shè)備MAC地址為0016-9612-a22f，正是該終端系統(tǒng)搶用了網(wǎng)關(guān)地址，引起VLAN10子網(wǎng)中所有終端系統(tǒng)都無法正常上網(wǎng)訪問。

為追查出IP地址占用者到底是誰，筆者使用Telnet命令登錄到VLAN10子網(wǎng)所連的樓層交換機后臺系統(tǒng)中，在系統(tǒng)全局視圖模式下，輸入字符串命令“dis mac”，回車后筆者發(fā)現(xiàn)到了連接到VLAN10子網(wǎng)中的所有終端計算機網(wǎng)卡的MAC地址，從中找出0016-9612-a22f地址所對應(yīng)的終端計算機連接在VLAN10子網(wǎng)的e0/32交換端口上。繼續(xù)查看單位網(wǎng)絡(luò)的原始組網(wǎng)資料，了解到該端口的占用者來源。同時，筆者登錄進入對應(yīng)樓層交換機的后臺管理界面，使用“inter e0/32”命令切換到端口修改模式狀態(tài)，再執(zhí)行字符串命令“shutdown”，關(guān)閉目標(biāo)交換端口的工作狀態(tài)。至此，IP地址占用者不但被追查出來，也被及時進行了隔離，確保了整個網(wǎng)絡(luò)的安全狀態(tài)得到立即恢復(fù)。

圖3 沖突提示

降低IP地址搶用

在上網(wǎng)終端計算機數(shù)量很多的環(huán)境下，經(jīng)常需要將終端系統(tǒng)的IP地址分配與VLAN劃分設(shè)置結(jié)合，以樓層或辦公室為單位劃分，這樣既能有效降低IP地址搶用，又能改善網(wǎng)絡(luò)訪問安全。

在實際對工作子網(wǎng)進行劃分配置時，必須根據(jù)大樓樓層或部門劃分，最好能依照樓層或部門特點，規(guī)劃好IP地址的分配，同時將IP規(guī)劃與虛擬工作子網(wǎng)號進行關(guān)聯(lián)，將相同樓層或部門的計算機IP地址以VLAN接口IP為依據(jù)，劃分在一個子網(wǎng)范圍內(nèi)，同屬于一個虛擬工作子網(wǎng)，同時使得一個虛擬工作子網(wǎng)接口IP就是一個子網(wǎng)關(guān)。這樣不但可以改善網(wǎng)絡(luò)訪問安全，而且還可以便于快速定位網(wǎng)絡(luò)故障出現(xiàn)的具體方位。而IP地址搶用現(xiàn)象的不斷出現(xiàn)，只有可能在相同的一個樓層或部門中，相同樓層或部門內(nèi)的用戶也可以相互進行監(jiān)督，盡可能縮小IP地址搶用的機會。

例如，現(xiàn)在筆者要將單位局域網(wǎng)Quidway_3526樓層交換機的e0/10到e0/20交換端口，劃分到VLAN10中，同時配置該虛擬工作子網(wǎng)的網(wǎng)關(guān)地址為192.168.10.1，網(wǎng)絡(luò)掩碼地址為255.255.255.0，那么只要先以系統(tǒng)管理員權(quán)限登錄進入對應(yīng)樓層交換機后臺系統(tǒng)，之后逐一執(zhí)行如下命令即可：