IP地址管理模式

楊尉+冷小潔+欒衛(wèi)平+穆芮

摘要：在威海供電公司諸多局域網(wǎng)安全問題中，令網(wǎng)絡(luò)管理員感到最頭痛的問題就是IP地址的管理；怎樣有效地管理整個(gè)網(wǎng)絡(luò)系統(tǒng)的中IP地址，地址過多和怎么有效的分配這些IP地址，成為困擾在信息化建設(shè)中的問題。如果沒有有效的管理，可能導(dǎo)致網(wǎng)絡(luò)可用性和服務(wù)質(zhì)量的下降，甚至網(wǎng)絡(luò)的崩潰。本文將詳細(xì)闡述目前存在的幾種IP管理模式特點(diǎn)，并介紹應(yīng)用新技術(shù)進(jìn)行IP維護(hù)、安全準(zhǔn)入管理模式以及利用交換機(jī)內(nèi)部集成的安全特性，采用創(chuàng)新的方式在局域網(wǎng)上有效地進(jìn)行IP地址管理。

【關(guān)鍵詞】局域網(wǎng) 靜態(tài)IP 地址 DHCP 智能IP 地址 管理 IP地址推送

在網(wǎng)絡(luò)規(guī)劃、IP地址分配設(shè)計(jì)方面，一個(gè)好的IP地址方案不僅可以減少網(wǎng)絡(luò)負(fù)荷，還能為以后網(wǎng)絡(luò)擴(kuò)展打下良好的基礎(chǔ)。

隨著威海供電公司的網(wǎng)絡(luò)規(guī)模逐步發(fā)展，在內(nèi)網(wǎng)網(wǎng)絡(luò)中目前也部署了較為完善的各種網(wǎng)絡(luò)安全設(shè)備。在而在用戶終端IP地址管理方面，日前采用傳統(tǒng)的手工靜態(tài)方式進(jìn)行IP地址分配，IP地址管理較為繁瑣，IP地址管理審計(jì)及訪客IP授權(quán)控制方面更多是通過人工管理。

隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，而IP資源有限，像IP沖突，ARP干擾、新機(jī)器入網(wǎng)等問題會(huì)造成IP維護(hù)成本和維護(hù)難度的增加，有時(shí)候會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓，因此IP地址的實(shí)名管理和準(zhǔn)入控制，成為影響網(wǎng)絡(luò)運(yùn)行的一個(gè)非常重要的因素。

因此，如何維護(hù)一個(gè)穩(wěn)固的人與IP的關(guān)系，實(shí)現(xiàn)智能實(shí)名制的IP分配管理審計(jì)是本文關(guān)注的主要問題。

1 幾種IP管理模式的特點(diǎn)

1.1 手工管理模式

傳統(tǒng)手工管理IP模式為網(wǎng)絡(luò)管理員通過手工維護(hù)Excel表格或地址登記薄，利用簡(jiǎn)單PING命令來查詢驗(yàn)證某IP地址是否有效使用，新分配IP后需手工更新Excel表格或地址登記薄。在接入端需手工配置靜態(tài)IP地址。

這種IP管理模式，存在以下管理缺陷。

1.1.1 無法有效地避免IP地址沖突和非法設(shè)備接入

威海供電公司的內(nèi)部網(wǎng)絡(luò)都被設(shè)計(jì)成一個(gè)公用設(shè)施，其結(jié)果就是使今天大部分網(wǎng)絡(luò)端口對(duì)于內(nèi)部都處于“開放”狀態(tài)?！伴_放”的網(wǎng)絡(luò)和共享的資源可以很輕易地得到訪問，只需要將一臺(tái)非法電腦插入一個(gè)網(wǎng)絡(luò)接口，按圖索驥設(shè)置一個(gè)IP地址，即可開始使用網(wǎng)絡(luò)資源.致使IP地址沖突成為隨時(shí)會(huì)引爆的炸彈。而此種IP管理方式對(duì)于重點(diǎn)業(yè)務(wù)IP的保護(hù)手段幾乎為零。

CSI/FBI計(jì)算機(jī)犯罪與安全調(diào)查顯示，信息失竊已經(jīng)成為當(dāng)前最主要的犯罪。在造成經(jīng)濟(jì)損失的所有攻擊中，有75%都是來自于內(nèi)部。

在局域網(wǎng)內(nèi)任何用戶使用未經(jīng)授權(quán)的IP地址都應(yīng)視為IP非法使用。由于終端用戶可以自由修改IP地址，改動(dòng)后IP地址在局域網(wǎng)中運(yùn)行時(shí)可能出現(xiàn)以下情況：

（1）非法IP地址：即IP地址不在規(guī)劃的局域網(wǎng)范圍內(nèi)；

（2）重復(fù)IP地址：與已經(jīng)分配且正在局域網(wǎng)運(yùn)行的合法IP地址發(fā)生資源沖突，使合法用戶無法上網(wǎng)；

（3）冒用合法用戶IP地址：當(dāng)合法用戶不在線時(shí)，冒用其IP地址聯(lián)網(wǎng)，使合法用戶權(quán)益受到侵害；

（4）非法用戶帶來安全問題。無論是有意或無意地使用非法IP地址都可能會(huì)給信息系統(tǒng)帶來嚴(yán)重的后果，如重復(fù)的IP地址會(huì)干擾、破壞網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)設(shè)備正常運(yùn)行，甚至導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定，從而影響正常業(yè)務(wù)；擁有被非法使用的IP地址所擁有的特權(quán)，威脅網(wǎng)絡(luò)安全；利用欺騙性的IP地址進(jìn)行網(wǎng)絡(luò)攻擊，如富有侵略性的TCP SYN洪泛攻擊來源于一個(gè)欺騙性的IP地址，它是利用TCP 3次握手會(huì)話對(duì)服務(wù)器進(jìn)行顛覆的一種攻擊方式，一個(gè)IP地址欺騙攻擊者可以通過手動(dòng)修改地址或者運(yùn)行一個(gè)實(shí)施地址欺騙的程序來假冒一個(gè)合法地址。

1.1.2 IP/MAC跟蹤和準(zhǔn)確定位功能欠缺

一旦出現(xiàn)IP地址被非法使用、IP地址沖突，或網(wǎng)絡(luò)出現(xiàn)異常流量包括由于網(wǎng)絡(luò)掃描、病毒感染和網(wǎng)絡(luò)攻擊產(chǎn)生的流量，為查找這些IP地址源頭，一般采用如下步驟：

（1）確定出現(xiàn)問題IP地址；

（2）查看當(dāng)前網(wǎng)絡(luò)設(shè)備ARP表，從中獲得網(wǎng)卡MAC地址；

（3）檢查交換機(jī)MAC地址列表，確定機(jī)器位置。

這個(gè)過程往往要花費(fèi)大量時(shí)間才能夠定位機(jī)器具體連接的物理端口，而對(duì)于偽造的源IP地址要查出是從哪臺(tái)機(jī)器產(chǎn)生的就更加困難了。如果不能及時(shí)對(duì)故障源準(zhǔn)確地定位、迅速地隔離，將會(huì)導(dǎo)致嚴(yán)重后果，即使在網(wǎng)絡(luò)恢復(fù)正常后隱患依然存在。

1.1.3 IP地址回收問題

顯而易見，全手工管理IP地址的方式，會(huì)出現(xiàn)IP地址的回收問題。如果不通知網(wǎng)絡(luò)管理員，科室自行撤銷或報(bào)廢網(wǎng)內(nèi)設(shè)備，必然會(huì)出現(xiàn)IP地址不能及時(shí)回收而新增節(jié)點(diǎn)無lP可用的尷尬境況，使得有限的網(wǎng)絡(luò)資源不能得到合理配置利用。

1.1.4 管理繁瑣

為防止非法使用IP地址，增強(qiáng)網(wǎng)絡(luò)安全，最常見的方法是采用靜態(tài)ARP命令捆綁IP地址和MAC地址，從而阻止非法用戶在不修改MAC地址的情況下冒用IP地址進(jìn)行訪問，同時(shí)借助交換機(jī)的端口安全即MAC地址綁定功能可以解決非法用戶修改MAC地址以適應(yīng)靜態(tài)ARP表的問題。但這種方法由于要事先收集所有機(jī)器MAC地址及相應(yīng)IP地址，然后還要通過人工輸入方法來建立IP地址和MAC地址的捆綁表，不僅工作量繁重，而且日后大量繁瑣的維護(hù)和管理問題也令人十分頭疼。

1.2 DHCP分配lP地址的管理模式

由于威海供電公司信息系統(tǒng)不斷擴(kuò)大，手工分配IP地址的模式已經(jīng)不能滿足實(shí)際業(yè)務(wù)需要，從而出現(xiàn)DHCP動(dòng)態(tài)分配IP地址的模式。這種方式可能帶來的網(wǎng)絡(luò)問題有：

（1）對(duì)于每位工作人員使用的電腦指定單- IP地址，要滿足相關(guān)部門對(duì)威海供電公司要有完善的IP/MAC地址的分配、綁定及定位審計(jì)等措施的要求，采用DHCP分配將會(huì)隨機(jī)分配IP地址，不能滿足上述的要求；endprint

（2）由于采用非專用DHCP服務(wù)器，在業(yè)務(wù)高峰期間會(huì)出現(xiàn)CPU使用過高和系統(tǒng)掛斷的情況，或出現(xiàn)用戶大量增長(zhǎng)，過量DHCP請(qǐng)求導(dǎo)致響應(yīng)不及時(shí)和服務(wù)中斷的現(xiàn)象；

（3）由于某些網(wǎng)絡(luò)設(shè)備的硬件限制，對(duì)于租約到期的IP地址無法自動(dòng)釋放；記錄IP沖突的表格不能自動(dòng)清除；

（4）傳統(tǒng)DHCP功能沒有外來用戶授權(quán)和認(rèn)證安全機(jī)制，無法防止惡意偽造MAC地址，會(huì)導(dǎo)致IP地址的耗盡；

（5）網(wǎng)絡(luò)擴(kuò)容工程，對(duì)于網(wǎng)絡(luò)管理員來說，過程相對(duì)繁瑣；

（6）此管理模式同樣存在準(zhǔn)確定位非法接入設(shè)備的較大檢索工作量；

（7）安全性能差，易被攻擊（惡意IP地址請(qǐng)求、DDOS攻擊等）。

l.3

通過交換機(jī)管理IP地址模式

利用交換機(jī)內(nèi)部集成的安全特性，采用創(chuàng)新方式在局域網(wǎng)內(nèi)有效地進(jìn)行IP地址管理模式。僅僅基于認(rèn)證（如IEEE 802.lx）和訪問控制列表（ACL，Access Control Lists）的安全措施是無法防止上文中提到的來自網(wǎng)絡(luò)第2層即數(shù)據(jù)鏈路層的安全攻擊，這些攻擊包括：MAC地址的泛濫攻擊、DHCP服務(wù)器欺騙攻擊、ARP欺騙、IP/MAC地址欺騙等。

可以通過利用交換機(jī)內(nèi)部集成的安全特性，組合運(yùn)用和部署Port Securiry（端口安全）、DHCP Snooping（DHCP偵聽）、Dynamic ARP Inspection（動(dòng)態(tài)ARP檢測(cè)）以及IP Source Guard（IP源地址保護(hù)）技術(shù)，防止MAC/CAM攻擊、DHCP攻擊、地址欺騙等，更具意義的是通過上面技術(shù)的部署可以簡(jiǎn)化地址管理，直接跟蹤用戶IP和對(duì)應(yīng)的交換機(jī)端口，防止IP地址沖突。同時(shí)對(duì)于大多數(shù)具有地址掃描、欺騙等特征的病毒可以有效的報(bào)警和隔離。

通過配置交換機(jī)的上述特征，不僅解決一些典型攻擊和病毒的防范問題，也為傳統(tǒng)IP地址管理提供了新的思路，解決以往利用DHCP服務(wù)器管理客戶端IP地址會(huì)遇到的問題：

（1）使用靜態(tài)指定IP地址造成的IP地址沖突：

（2）非法使用或盜用IP地址；

（3）配置非法DHCP服務(wù)器；

（4）不容易定位IP地址和具體交換機(jī)端口對(duì)應(yīng)表；

（5）使用靜態(tài)地址的重要服務(wù)器和計(jì)算機(jī)，可以進(jìn)行靜態(tài)綁定，等等。

但是，在日常工作中，對(duì)交換機(jī)進(jìn)行如此功能繁復(fù)的設(shè)置，除考驗(yàn)網(wǎng)絡(luò)管理員技術(shù)水平，同時(shí)也往往需要借助網(wǎng)絡(luò)公司提供技術(shù)支持，一旦出現(xiàn)網(wǎng)絡(luò)問題，網(wǎng)絡(luò)管理員還需與技術(shù)支持取得聯(lián)系，響應(yīng)時(shí)間也往往得不到保障。

1.4 新一代智能IP安全管理模式

隨著新技術(shù)發(fā)展，新一代的智能IP地址安全管理可以實(shí)現(xiàn)局域網(wǎng)內(nèi)IP自動(dòng)分配管理和安全準(zhǔn)入，同時(shí)也可以集成交換機(jī)的安全特性，如DHCP中繼、DHCP Snooping （DHCP偵聽）、Dynamic ARP Inspection（動(dòng)態(tài)ARP檢測(cè)）以及IP Source Guard （IP源地址保護(hù)）技術(shù)，其管理模式具有以下特點(diǎn)：

（1）實(shí)現(xiàn)高性能DHCP服務(wù)，實(shí)現(xiàn)IP/MAC地址的集中管理規(guī)劃；

（2）實(shí)現(xiàn)IP地址的推送功能，實(shí)現(xiàn)IP/MAC的集中綁定；

（3）可以支持IPV4/IPV6雙協(xié)議；

（4）滿足網(wǎng)絡(luò)配置的冗余備份和負(fù)載均衡的能力；

（5）實(shí)時(shí)IP/MAC地址的授權(quán)管理，網(wǎng)絡(luò)資源的實(shí)時(shí)分析，加強(qiáng)設(shè)備接入時(shí)的安全控制，未授權(quán)設(shè)備需要接入許可，可以全方位保護(hù)業(yè)務(wù)網(wǎng)內(nèi)重要站點(diǎn)的IP；

（6） IP地址數(shù)據(jù)實(shí)時(shí)同步管理，及時(shí)對(duì)廢棄的IP地址進(jìn)行回收和再利用；

（7）與交換機(jī)DHCP SNOOPING和DAI技術(shù)整合，防止手工配置IP地址，防止非法DHCP，預(yù)防ARP病毒；

（8）無須更改現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，無須安裝任何客戶端軟件。

相對(duì)于配置交換機(jī)，此種IP管理模式對(duì)于網(wǎng)絡(luò)管理員來說，技術(shù)實(shí)現(xiàn)的難度大大降低，工作效率能夠得到充分的提升。

2 結(jié)論

IP管理，經(jīng)歷了從第1代手工靜態(tài)IP地址的分配管理模式，到第2代DHCP動(dòng)態(tài)分配手工管理模式，逐漸被第3代智能IP安全管理模式所代替，既能夠節(jié)省大部分網(wǎng)絡(luò)地址的維護(hù)工作量，避免因手工操作導(dǎo)致的故障，又可以提高快速響應(yīng)能力，減少維護(hù)成本，提高整體網(wǎng)絡(luò)的安全性能。

通過本系統(tǒng)的建設(shè)，可以為威海供電公司的相關(guān)業(yè)務(wù)系統(tǒng)提供安全、可控、強(qiáng)化的IP地址支撐管理平臺(tái)。endprint