淺談IP地址安全管理

引言：在復雜的網絡環境中，IP地址的管理與使用，并非想像中那樣簡單，網絡中的很多用戶一些有意無意之舉，常常造成整個網絡的安全、有序局面被破壞。為了讓IP地址安全如我所愿，本文從實際出發，介紹幾則安全管理IP地址的案例，但愿大家能從中受到啟發。

讓網絡安全、高效運行，是每位網絡技術人員的職責。然而，在復雜的網絡環境中，IP地址的管理與使用，并非想像中那樣簡單，網絡中的很多用戶一些有意無意之舉，造成整個網絡的安全、有序局面被破壞。為了讓IP地址安全如我所愿，本文從實際出發，介紹幾則安全管理IP地址的案例，但愿大家能從中受到啟發。

控制IP地址使用

某網絡有上百個上網節點，平均分布在大樓各層，每個節點都使用百兆雙絞線，通過各自樓層交換機接入到單位核心路由交換機上。單位所有上網節點都位于10.176.116.0工作子網中，剩余地址數量完全能夠滿足終端數量不斷升級的需求。

圖1 MAC與IP的對應

現在，這個子網中的每個上網終端都采用了固定IP地址，每次系統遇到意外不能成功啟動時，終端用戶就自行重裝系統、配置參數，這造成整個子網中不斷發生IP地址被搶用的不安全現象，該現象既影響了用戶的安全上網訪問，又給日常的網絡管理與維護帶來了麻煩。為了實現一勞永逸的效果，既要對已在使用的IP地址進行綁定，也要對空閑的IP地址進行綁定，確保普通上網用戶沒有經過批準就無法正常接入到單位網絡中。在實際進行綁定操作時，網絡技術員們先將網絡中默認網關地址10.176.116.1綁定起來，以避免網絡遭遇ARP病毒的攻擊，接著對已經上網終端的IP地址執行綁定，最后將空閑狀態IP地址集中綁定到虛擬網卡上。經過查看發現默認網關設備的物理地址為“0326.8cbe.2268”，于是在路由交換機后臺系統的全局視圖狀態下，簡單執行字符串命 令“arp 10.176.116.1 0326.8cbe.2268 arpa”，就完成了默認網關地址的綁定操作，日后其他終端用戶上網時，倘若不小心搶用了IP地址10.176.116.1來上網時，就會出現無法接入單位網絡的故障現象，整個網絡的運行安全性就得到保證了。

在對已用IP地址進行綁定時，工作人員進入到路由交換機后臺系統的全局配置狀態下，使用字符串命令“display arp”，集 中 顯示出所有已用地址的MAC與IP對應關系（如圖1所示），將其簡單編輯處理后，再拷貝粘貼到交換機ARP表中。而對剩余地址的綁定，工作人員只能通過手工方法，逐一將每個空閑IP地址綁定到一個虛擬網卡的MAC地址上，例如，在將10.176.116.12地址綁定到062e.56ea.3287上時，只要在交換機后臺系統的全局配置狀態下輸入“arp 10.176.116.12 062e.56ea.3287 arpa”命令即可。同樣地，再將其他空閑IP地址依次綁定到虛擬MAC地址062e.56ea.3287上，即可完成剩余地址綁定。

圖2 Ping命令測試結果

經過上述配置后，任何上網終端都將無法隨意搶用IP地址。如果此時恰好有人需要使用空閑的10.176.116.188地 址上網訪問時，工作人員需要進行如下設置操作，將空閑的10.176.116.188地址從交換機綁定地址列表中釋放：首先在單位路由交換機后臺系統中，使用“system”命令切換到系統全局視圖模式，在該模式下執行“display arp”命令，查看目標IP地址當前是否有被使用，一旦看到其處于空閑狀態時，就繼續執行“no arp 10.176.116.188 062e.56ea.3287 arpa”命令，這樣目標IP地址就被成功釋放出來了。之后通知終端用戶，將上網終端系統的IP地址配置成靜態地址，并輸入10.176.116.188地址，確認后終端用戶就能順利地接入到單位網絡中了。這時，工作人員返回到路由交換機后臺系統，使用“display arp| in 10.176.116.188”命令，查看獲取到使用該IP地址的網卡MAC地址，假設該MAC地址為1122.adc6.d7d6；再執 行“arp 10.176.116.188 1122.adc6.d7d6 arpa”命令，對新的已用IP地址執行綁定操作。

追查IP地址占用

近日單位網絡總是出現一些蹊蹺故障：有時某些工作子網可以上網，另外一個或多個工作子網不能上網；有時在相同工作子網中，有的用戶可以上網，有的用戶卻不能上網，極端的時候單位網絡中的所有用戶短時間內都不能上網。起初，筆者通過分析上網數據包，未發現故障產生根源，后簡單地重啟了單位網絡的核心路由交換機，整個網絡暫時恢復了正常。但時間不長，同樣的故障現象又會卷土重來。

筆者在一臺IP地址為10.176.34.116的上網故障終端系統中，使用ping命令測試了本地網關設備的連通性，從返回的如圖2所示結果界面中，看到網關地址是可以被正常ping通的，這就表示該上網終端到路由交換機之間的物理線路是正常的，但為什么該系統不能正常上網訪問呢？登錄進入路由交換機后臺系統，在該系統的全局配置狀態下，使用“dis dia”字符串命令，查看每個交換端口下的終端主機上網狀態信息，從返回的掃描結果信息中，筆者看到了類似“%2009/11/12 09:46:14 YCXZ_W_P8512 ARP/4/DUPIFIP:Slot=2；檢測到IP地址10.176.9.1與VLAN10接口地址沖突，沖突設備的MAC地址為0016-9612-a22f”這樣的提示內容（如圖3所示），該提示內容很清楚地告訴筆者，來自VLAN10子網中的某臺上網終端系統感染了ARP病毒，該終端系統使用的網卡設備MAC地址為0016-9612-a22f，正是該終端系統搶用了網關地址，引起VLAN10子網中所有終端系統都無法正常上網訪問。

為追查出IP地址占用者到底是誰，筆者使用Telnet命令登錄到VLAN10子網所連的樓層交換機后臺系統中，在系統全局視圖模式下，輸入字符串命令“dis mac”，回車后筆者發現到了連接到VLAN10子網中的所有終端計算機網卡的MAC地址，從中找出0016-9612-a22f地址所對應的終端計算機連接在VLAN10子網的e0/32交換端口上。繼續查看單位網絡的原始組網資料，了解到該端口的占用者來源。同時，筆者登錄進入對應樓層交換機的后臺管理界面，使用“inter e0/32”命令切換到端口修改模式狀態，再執行字符串命令“shutdown”，關閉目標交換端口的工作狀態。至此，IP地址占用者不但被追查出來，也被及時進行了隔離，確保了整個網絡的安全狀態得到立即恢復。

圖3 沖突提示

降低IP地址搶用

在上網終端計算機數量很多的環境下，經常需要將終端系統的IP地址分配與VLAN劃分設置結合，以樓層或辦公室為單位劃分，這樣既能有效降低IP地址搶用，又能改善網絡訪問安全。

在實際對工作子網進行劃分配置時，必須根據大樓樓層或部門劃分，最好能依照樓層或部門特點，規劃好IP地址的分配，同時將IP規劃與虛擬工作子網號進行關聯，將相同樓層或部門的計算機IP地址以VLAN接口IP為依據，劃分在一個子網范圍內，同屬于一個虛擬工作子網，同時使得一個虛擬工作子網接口IP就是一個子網關。這樣不但可以改善網絡訪問安全，而且還可以便于快速定位網絡故障出現的具體方位。而IP地址搶用現象的不斷出現，只有可能在相同的一個樓層或部門中，相同樓層或部門內的用戶也可以相互進行監督，盡可能縮小IP地址搶用的機會。

例如，現在筆者要將單位局域網Quidway_3526樓層交換機的e0/10到e0/20交換端口，劃分到VLAN10中，同時配置該虛擬工作子網的網關地址為192.168.10.1，網絡掩碼地址為255.255.255.0，那么只要先以系統管理員權限登錄進入對應樓層交換機后臺系統，之后逐一執行如下命令即可：