IP地址管理模式

楊尉+冷小潔+欒衛平+穆芮

摘要：在威海供電公司諸多局域網安全問題中，令網絡管理員感到最頭痛的問題就是IP地址的管理；怎樣有效地管理整個網絡系統的中IP地址，地址過多和怎么有效的分配這些IP地址，成為困擾在信息化建設中的問題。如果沒有有效的管理，可能導致網絡可用性和服務質量的下降，甚至網絡的崩潰。本文將詳細闡述目前存在的幾種IP管理模式特點，并介紹應用新技術進行IP維護、安全準入管理模式以及利用交換機內部集成的安全特性，采用創新的方式在局域網上有效地進行IP地址管理。

【關鍵詞】局域網 靜態IP 地址 DHCP 智能IP 地址 管理 IP地址推送

在網絡規劃、IP地址分配設計方面，一個好的IP地址方案不僅可以減少網絡負荷，還能為以后網絡擴展打下良好的基礎。

隨著威海供電公司的網絡規模逐步發展，在內網網絡中目前也部署了較為完善的各種網絡安全設備。在而在用戶終端IP地址管理方面，日前采用傳統的手工靜態方式進行IP地址分配，IP地址管理較為繁瑣，IP地址管理審計及訪客IP授權控制方面更多是通過人工管理。

隨著網絡規模的擴大，而IP資源有限，像IP沖突，ARP干擾、新機器入網等問題會造成IP維護成本和維護難度的增加，有時候會導致整個網絡癱瘓，因此IP地址的實名管理和準入控制，成為影響網絡運行的一個非常重要的因素。

因此，如何維護一個穩固的人與IP的關系，實現智能實名制的IP分配管理審計是本文關注的主要問題。

1 幾種IP管理模式的特點

1.1 手工管理模式

傳統手工管理IP模式為網絡管理員通過手工維護Excel表格或地址登記薄，利用簡單PING命令來查詢驗證某IP地址是否有效使用，新分配IP后需手工更新Excel表格或地址登記薄。在接入端需手工配置靜態IP地址。

這種IP管理模式，存在以下管理缺陷。

1.1.1 無法有效地避免IP地址沖突和非法設備接入

威海供電公司的內部網絡都被設計成一個公用設施，其結果就是使今天大部分網絡端口對于內部都處于“開放”狀態。“開放”的網絡和共享的資源可以很輕易地得到訪問，只需要將一臺非法電腦插入一個網絡接口，按圖索驥設置一個IP地址，即可開始使用網絡資源.致使IP地址沖突成為隨時會引爆的炸彈。而此種IP管理方式對于重點業務IP的保護手段幾乎為零。

CSI/FBI計算機犯罪與安全調查顯示，信息失竊已經成為當前最主要的犯罪。在造成經濟損失的所有攻擊中，有75%都是來自于內部。

在局域網內任何用戶使用未經授權的IP地址都應視為IP非法使用。由于終端用戶可以自由修改IP地址，改動后IP地址在局域網中運行時可能出現以下情況：

（1）非法IP地址：即IP地址不在規劃的局域網范圍內；

（2）重復IP地址：與已經分配且正在局域網運行的合法IP地址發生資源沖突，使合法用戶無法上網；

（3）冒用合法用戶IP地址：當合法用戶不在線時，冒用其IP地址聯網，使合法用戶權益受到侵害；

（4）非法用戶帶來安全問題。無論是有意或無意地使用非法IP地址都可能會給信息系統帶來嚴重的后果，如重復的IP地址會干擾、破壞網絡服務器和網絡設備正常運行，甚至導致網絡不穩定，從而影響正常業務；擁有被非法使用的IP地址所擁有的特權，威脅網絡安全；利用欺騙性的IP地址進行網絡攻擊，如富有侵略性的TCP SYN洪泛攻擊來源于一個欺騙性的IP地址，它是利用TCP 3次握手會話對服務器進行顛覆的一種攻擊方式，一個IP地址欺騙攻擊者可以通過手動修改地址或者運行一個實施地址欺騙的程序來假冒一個合法地址。

1.1.2 IP/MAC跟蹤和準確定位功能欠缺

一旦出現IP地址被非法使用、IP地址沖突，或網絡出現異常流量包括由于網絡掃描、病毒感染和網絡攻擊產生的流量，為查找這些IP地址源頭，一般采用如下步驟：

（1）確定出現問題IP地址；

（2）查看當前網絡設備ARP表，從中獲得網卡MAC地址；

（3）檢查交換機MAC地址列表，確定機器位置。

這個過程往往要花費大量時間才能夠定位機器具體連接的物理端口，而對于偽造的源IP地址要查出是從哪臺機器產生的就更加困難了。如果不能及時對故障源準確地定位、迅速地隔離，將會導致嚴重后果，即使在網絡恢復正常后隱患依然存在。

1.1.3 IP地址回收問題

顯而易見，全手工管理IP地址的方式，會出現IP地址的回收問題。如果不通知網絡管理員，科室自行撤銷或報廢網內設備，必然會出現IP地址不能及時回收而新增節點無lP可用的尷尬境況，使得有限的網絡資源不能得到合理配置利用。

1.1.4 管理繁瑣

為防止非法使用IP地址，增強網絡安全，最常見的方法是采用靜態ARP命令捆綁IP地址和MAC地址，從而阻止非法用戶在不修改MAC地址的情況下冒用IP地址進行訪問，同時借助交換機的端口安全即MAC地址綁定功能可以解決非法用戶修改MAC地址以適應靜態ARP表的問題。但這種方法由于要事先收集所有機器MAC地址及相應IP地址，然后還要通過人工輸入方法來建立IP地址和MAC地址的捆綁表，不僅工作量繁重，而且日后大量繁瑣的維護和管理問題也令人十分頭疼。

1.2 DHCP分配lP地址的管理模式

由于威海供電公司信息系統不斷擴大，手工分配IP地址的模式已經不能滿足實際業務需要，從而出現DHCP動態分配IP地址的模式。這種方式可能帶來的網絡問題有：

（1）對于每位工作人員使用的電腦指定單- IP地址，要滿足相關部門對威海供電公司要有完善的IP/MAC地址的分配、綁定及定位審計等措施的要求，采用DHCP分配將會隨機分配IP地址，不能滿足上述的要求；endprint

（2）由于采用非專用DHCP服務器，在業務高峰期間會出現CPU使用過高和系統掛斷的情況，或出現用戶大量增長，過量DHCP請求導致響應不及時和服務中斷的現象；

（3）由于某些網絡設備的硬件限制，對于租約到期的IP地址無法自動釋放；記錄IP沖突的表格不能自動清除；

（4）傳統DHCP功能沒有外來用戶授權和認證安全機制，無法防止惡意偽造MAC地址，會導致IP地址的耗盡；

（5）網絡擴容工程，對于網絡管理員來說，過程相對繁瑣；

（6）此管理模式同樣存在準確定位非法接入設備的較大檢索工作量；

（7）安全性能差，易被攻擊（惡意IP地址請求、DDOS攻擊等）。

l.3

通過交換機管理IP地址模式

利用交換機內部集成的安全特性，采用創新方式在局域網內有效地進行IP地址管理模式。僅僅基于認證（如IEEE 802.lx）和訪問控制列表（ACL，Access Control Lists）的安全措施是無法防止上文中提到的來自網絡第2層即數據鏈路層的安全攻擊，這些攻擊包括：MAC地址的泛濫攻擊、DHCP服務器欺騙攻擊、ARP欺騙、IP/MAC地址欺騙等。

可以通過利用交換機內部集成的安全特性，組合運用和部署Port Securiry（端口安全）、DHCP Snooping（DHCP偵聽）、Dynamic ARP Inspection（動態ARP檢測）以及IP Source Guard（IP源地址保護）技術，防止MAC/CAM攻擊、DHCP攻擊、地址欺騙等，更具意義的是通過上面技術的部署可以簡化地址管理，直接跟蹤用戶IP和對應的交換機端口，防止IP地址沖突。同時對于大多數具有地址掃描、欺騙等特征的病毒可以有效的報警和隔離。

通過配置交換機的上述特征，不僅解決一些典型攻擊和病毒的防范問題，也為傳統IP地址管理提供了新的思路，解決以往利用DHCP服務器管理客戶端IP地址會遇到的問題：

（1）使用靜態指定IP地址造成的IP地址沖突：

（2）非法使用或盜用IP地址；

（3）配置非法DHCP服務器；

（4）不容易定位IP地址和具體交換機端口對應表；

（5）使用靜態地址的重要服務器和計算機，可以進行靜態綁定，等等。

但是，在日常工作中，對交換機進行如此功能繁復的設置，除考驗網絡管理員技術水平，同時也往往需要借助網絡公司提供技術支持，一旦出現網絡問題，網絡管理員還需與技術支持取得聯系，響應時間也往往得不到保障。

1.4 新一代智能IP安全管理模式

隨著新技術發展，新一代的智能IP地址安全管理可以實現局域網內IP自動分配管理和安全準入，同時也可以集成交換機的安全特性，如DHCP中繼、DHCP Snooping （DHCP偵聽）、Dynamic ARP Inspection（動態ARP檢測）以及IP Source Guard （IP源地址保護）技術，其管理模式具有以下特點：

（1）實現高性能DHCP服務，實現IP/MAC地址的集中管理規劃；

（2）實現IP地址的推送功能，實現IP/MAC的集中綁定；

（3）可以支持IPV4/IPV6雙協議；

（4）滿足網絡配置的冗余備份和負載均衡的能力；

（5）實時IP/MAC地址的授權管理，網絡資源的實時分析，加強設備接入時的安全控制，未授權設備需要接入許可，可以全方位保護業務網內重要站點的IP；

（6） IP地址數據實時同步管理，及時對廢棄的IP地址進行回收和再利用；

（7）與交換機DHCP SNOOPING和DAI技術整合，防止手工配置IP地址，防止非法DHCP，預防ARP病毒；

（8）無須更改現有網絡結構，無須安裝任何客戶端軟件。

相對于配置交換機，此種IP管理模式對于網絡管理員來說，技術實現的難度大大降低，工作效率能夠得到充分的提升。

2 結論

IP管理，經歷了從第1代手工靜態IP地址的分配管理模式，到第2代DHCP動態分配手工管理模式，逐漸被第3代智能IP安全管理模式所代替，既能夠節省大部分網絡地址的維護工作量，避免因手工操作導致的故障，又可以提高快速響應能力，減少維護成本，提高整體網絡的安全性能。

通過本系統的建設，可以為威海供電公司的相關業務系統提供安全、可控、強化的IP地址支撐管理平臺。endprint