韩廷辉
【摘要】本文分析了联网IP冲突产生的原因,联网控制技术的实现。从技术和管理层面,提出解决局域网IP地址冲突与联网无法管控的方法,确保局域网运行效率不会受到IP冲突现象的影响。通过MAC集中认证技术,对联网设备进行准入控制。保证信息安全和數据平稳传输,解决生产实际问题。
【关键词】网络安全;联网准入;ARP绑定;MAC集中认证
1.概述
随着互联网的深入应用,企业内部联网设备逐渐增多,经常出现IP地址冲突的现象,严重干扰正常计算机联网。这主要是因为企业内部点多面广,对计算机入网没有有效管控措施,导致计算机随意接入。为了确保局域网环境运行良好,有必要对IP地址资源进行科学管理,对未授权计算机和非法制造IP地址冲突的行为进行限制。
2.IP地址冲突原因分析与防治技术
IP地址冲突的解决方法有很多,局域网中发生IP地址冲突,不仅是简单的技术问题,还是网络管理员必须要认真面对的管理问题。在分析故障存在的基础上,笔者结合实践经验与教训,从技术层面提出IP地址冲突的解决办法,为网络管理员提供一套可行的管理策略。
2.1 IP地址冲突原因
一是重新安装操作系统,并且随意设置上网参数,无意中造成IP地址冲突。
二是局域网中的一些非法攻击者企图破坏或干扰本地局域网中重要网络设备的稳定运行,制造IP地址冲突故障现象,造成整个局域网无法正常工作。
三是一些权限受限用户想获得特殊的访问权限,冒用合法IP地址进行网络连接,从而访问局域网的授权IP资源。
第一种情况发生频率较低,归为特殊情况。第二种情况发生频率也较低,但危害性最大。第三种情况发生频率最高,行为发生人多为内部员工。
2.2 限制访问网络连接属性
用户可以修改本地主机的IP地址,为了屏蔽修改功能,可以通过修改本地系统组策略以禁止访问网络连接属性。具体操作方法是:单击“开始”、“运行”命令,在弹出的系统运行框中敲入“gpedit.msc”命令,打开系统的组策略编辑界面,依次点选该界面左侧显示区域中的“用户配置”、“管理模板”、“网络”、“网络连接”等节点选项;之后用鼠标双击该节点选项下面的“禁止访问LAN连接组件的属性”,打开目标组策略的属性设置窗口,选中其中的“已启用”选项,然后单击“确定”按钮。这样,用户就不能随意打开TCP/IP属性设置窗口修改本地主机的IP地址,此方法适合对特殊网络设备的保护。
2.3 IP-MAC地址绑定
在相同的局域网网段中,二层网络寻址不是根据主机IP地址而是根据主机物理地址来进行的,而在不同网段之间通信时才会根据主机的IP地址进行网络寻址,所以作为局域网网关的三层交换设备上通常保存有IP-MAC地址映射表,通过手工修改固化IP-MAC地址映射表表项,达到限制IP更改造成的地址冲突,从而限制非法更改IP地址行为,防止造成网络运行不稳定现象发生。ARP绑定操作:telnet或console登陆三层交换机,输入命令“arp static IP地址MAC地址”然后回车,保存配置即可。
3.内部入网控制
身份证起到证明身份的作用。比如去银行提取大量现金,这时就要用到身份证。那么MAC地址与IP地址绑定就如同我们在日常生活中的本人携带自己的身份证去做重要事情一样。我们为了防止IP地址被盗用,就通过上面的方法,简单的对MAC表使用静态表项,而有时在一个vlan内,已使用的IP地址数量多,IP剩余资源量大,虽然之前已经绑定了已使用的IP地址,但是对陌生计算机并没有管控措施。通过ARP绑定技术并不能达到理想的效果,而MAC集中认证技术可以实现对入网计算机进行准入,达到内部联网准入控制的目的。
3.1 MAC集中认证技术
MAC地址集中认证是一种基于端口和mac地址对用户访问网络的权限进行控制的认证方法。它是一种通用的交换机安全控制技术,各个厂商设备都有支持的型号。它不需要用户安装任何客户端软件,交换机在首次检测到用户的mac地址以后,即启动对该用户的认证操作。
计算机在接入网络前必须与交换机的MAC认证表比对,如果认证表中没有此计算机对应的MAC地址,则按认证失败处理,不学习此端口下连的MAC地址,从而达到未认证计算机无法转发数据包的目的,控制其非授权入网行为的发生。
MAC集中认证与ARP绑定的区别是,MAC集中认证不需要知道对应设备的IP地址,而是对MAC进行处理。管理员通过网络认证台账,即可认证本单位的联网设备身份,对联网设备实行准入控制。
3.2 MAC认证技术交换机配置
MAC认证交换机配置步骤(基于交换机的本地认证方法):
telnet交换机,输入命令如下:(“//”符号后为说明,下划线字为参数)
system-view//进入特权模式
mac-authentication interface e1/0/1 to e1/0/48//在e1/0/1到e1/0/48端口启用认证
mac-authentication authmode usernam easmacaddress
usernameformat without-hyphen lowercase
mac-authentication domain system//默认认证区域为system
mac-authentication timer offline-detect 10//下线检测时间10秒
mac-authentication timer quiet 300//静默时间300秒
mac-authentication//全局启用认证
也可以通过web图形界面配置交换机,启用认证或添加删除用户。配置同交换机本地用户添加相同,只要交换机支持web配置,配置本地用户相应权限,即可实现。
交换机配置命令举例:
添加用户:local-user mac
password simple mac
service-type lan-access
arp static ip mac
删除用户:undo local-user 旧mac
undo arp 旧ip
格式说明:
仅arp命令后的mac地址格式为“XXXX-XXXX-XXXX”例:1234-5678-9abc
其他命令的mac地址皆为无“-”符号,例:123456789abc
mac地址的英文字母均小写。
ip格式皆为点分十进制,例:
10.64.110.11
4.结语
通过ARP绑定技术与MAC集中认证技术相结合,可以有效防止非法违规入网设备获取资源,局域网内IP地址冲突得到有效控制,同时可以更好的帮助企业管理者实施实名制终端行为审计和实名制行为管理,对于保障网络安全和数据平稳传输,起到良好的应用效果。
参考文献
[1]H3C公司著.H3C配置手册[S].杭州:华三通信技术有限公司,2009,6.
[2]王群著.非常网管.网络安全[M].北京:人民邮电出版社,2007,4.
