淺析計算機系統局域網網絡準入技術

韓廷輝

【摘要】本文分析了聯網IP沖突產生的原因，聯網控制技術的實現。從技術和管理層面，提出解決局域網IP地址沖突與聯網無法管控的方法，確保局域網運行效率不會受到IP沖突現象的影響。通過MAC集中認證技術，對聯網設備進行準入控制。保證信息安全和數據平穩傳輸，解決生產實際問題。

【關鍵詞】網絡安全;聯網準入;ARP綁定;MAC集中認證

1.概述

隨著互聯網的深入應用，企業內部聯網設備逐漸增多，經常出現IP地址沖突的現象，嚴重干擾正常計算機聯網。這主要是因為企業內部點多面廣，對計算機入網沒有有效管控措施，導致計算機隨意接入。為了確保局域網環境運行良好，有必要對IP地址資源進行科學管理，對未授權計算機和非法制造IP地址沖突的行為進行限制。

2.IP地址沖突原因分析與防治技術

IP地址沖突的解決方法有很多，局域網中發生IP地址沖突，不僅是簡單的技術問題，還是網絡管理員必須要認真面對的管理問題。在分析故障存在的基礎上，筆者結合實踐經驗與教訓，從技術層面提出IP地址沖突的解決辦法，為網絡管理員提供一套可行的管理策略。

2.1 IP地址沖突原因

一是重新安裝操作系統，并且隨意設置上網參數，無意中造成IP地址沖突。

二是局域網中的一些非法攻擊者企圖破壞或干擾本地局域網中重要網絡設備的穩定運行，制造IP地址沖突故障現象，造成整個局域網無法正常工作。

三是一些權限受限用戶想獲得特殊的訪問權限，冒用合法IP地址進行網絡連接，從而訪問局域網的授權IP資源。

第一種情況發生頻率較低，歸為特殊情況。第二種情況發生頻率也較低，但危害性最大。第三種情況發生頻率最高，行為發生人多為內部員工。

2.2 限制訪問網絡連接屬性

用戶可以修改本地主機的IP地址，為了屏蔽修改功能，可以通過修改本地系統組策略以禁止訪問網絡連接屬性。具體操作方法是：單擊“開始”、“運行”命令，在彈出的系統運行框中敲入“gpedit.msc”命令，打開系統的組策略編輯界面，依次點選該界面左側顯示區域中的“用戶配置”、“管理模板”、“網絡”、“網絡連接”等節點選項;之后用鼠標雙擊該節點選項下面的“禁止訪問LAN連接組件的屬性”，打開目標組策略的屬性設置窗口，選中其中的“已啟用”選項，然后單擊“確定”按鈕。這樣，用戶就不能隨意打開TCP/IP屬性設置窗口修改本地主機的IP地址，此方法適合對特殊網絡設備的保護。

2.3 IP-MAC地址綁定

在相同的局域網網段中，二層網絡尋址不是根據主機IP地址而是根據主機物理地址來進行的，而在不同網段之間通信時才會根據主機的IP地址進行網絡尋址，所以作為局域網網關的三層交換設備上通常保存有IP-MAC地址映射表，通過手工修改固化IP-MAC地址映射表表項，達到限制IP更改造成的地址沖突，從而限制非法更改IP地址行為，防止造成網絡運行不穩定現象發生。ARP綁定操作：telnet或console登陸三層交換機，輸入命令“arp static IP地址MAC地址”然后回車，保存配置即可。

3.內部入網控制

身份證起到證明身份的作用。比如去銀行提取大量現金，這時就要用到身份證。那么MAC地址與IP地址綁定就如同我們在日常生活中的本人攜帶自己的身份證去做重要事情一樣。我們為了防止IP地址被盜用，就通過上面的方法，簡單的對MAC表使用靜態表項，而有時在一個vlan內，已使用的IP地址數量多，IP剩余資源量大，雖然之前已經綁定了已使用的IP地址，但是對陌生計算機并沒有管控措施。通過ARP綁定技術并不能達到理想的效果，而MAC集中認證技術可以實現對入網計算機進行準入，達到內部聯網準入控制的目的。

3.1 MAC集中認證技術

MAC地址集中認證是一種基于端口和mac地址對用戶訪問網絡的權限進行控制的認證方法。它是一種通用的交換機安全控制技術，各個廠商設備都有支持的型號。它不需要用戶安裝任何客戶端軟件，交換機在首次檢測到用戶的mac地址以后，即啟動對該用戶的認證操作。

計算機在接入網絡前必須與交換機的MAC認證表比對，如果認證表中沒有此計算機對應的MAC地址，則按認證失敗處理，不學習此端口下連的MAC地址，從而達到未認證計算機無法轉發數據包的目的，控制其非授權入網行為的發生。

MAC集中認證與ARP綁定的區別是，MAC集中認證不需要知道對應設備的IP地址，而是對MAC進行處理。管理員通過網絡認證臺賬，即可認證本單位的聯網設備身份，對聯網設備實行準入控制。

3.2 MAC認證技術交換機配置

MAC認證交換機配置步驟（基于交換機的本地認證方法）：

telnet交換機，輸入命令如下：（“//”符號后為說明，下劃線字為參數）

system-view//進入特權模式

mac-authentication interface e1/0/1 to e1/0/48//在e1/0/1到e1/0/48端口啟用認證

mac-authentication authmode usernam easmacaddress

usernameformat without-hyphen lowercase

mac-authentication domain system//默認認證區域為system

mac-authentication timer offline-detect 10//下線檢測時間10秒

mac-authentication timer quiet 300//靜默時間300秒

mac-authentication//全局啟用認證

也可以通過web圖形界面配置交換機，啟用認證或添加刪除用戶。配置同交換機本地用戶添加相同，只要交換機支持web配置，配置本地用戶相應權限，即可實現。

交換機配置命令舉例：

添加用戶：local-user mac

password simple mac

service-type lan-access

arp static ip mac

刪除用戶：undo local-user 舊mac

undo arp 舊ip

格式說明：

僅arp命令后的mac地址格式為“XXXX-XXXX-XXXX”例：1234-5678-9abc

其他命令的mac地址皆為無“-”符號，例：123456789abc

mac地址的英文字母均小寫。

ip格式皆為點分十進制，例：

10.64.110.11

4.結語

通過ARP綁定技術與MAC集中認證技術相結合，可以有效防止非法違規入網設備獲取資源，局域網內IP地址沖突得到有效控制，同時可以更好的幫助企業管理者實施實名制終端行為審計和實名制行為管理，對于保障網絡安全和數據平穩傳輸，起到良好的應用效果。

參考文獻

[1]H3C公司著.H3C配置手冊[S].杭州：華三通信技術有限公司，2009，6.

[2]王群著.非常網管.網絡安全[M].北京：人民郵電出版社，2007，4.