IP地址管理模式分析

陳智明 陳穎聰 王遠(yuǎn)雄 丘丹

摘要：在許多局域網(wǎng)安全問題中，在梅州供電局中，要做到對網(wǎng)絡(luò)系統(tǒng)的中IP地址進(jìn)行有效管理是網(wǎng)絡(luò)管理員認(rèn)為很困難的工作。倘若不能對IP地址進(jìn)行有效管理，可能會造成降低了網(wǎng)絡(luò)可用性與服務(wù)質(zhì)量，嚴(yán)重甚至?xí)?dǎo)致網(wǎng)絡(luò)崩潰。本文將詳細(xì)闡述目前存在的幾種IP 管理模式特點(diǎn)，并介紹應(yīng)用新技術(shù)進(jìn)行IP 維護(hù)、安全準(zhǔn)入管理模式和在局域網(wǎng)上對IP 地址進(jìn)行有效管理通過運(yùn)用創(chuàng)新的方式，借助交換機(jī)內(nèi)部集成的安全特性。

關(guān)鍵詞：局域網(wǎng)；靜態(tài)IP；智能IP；地址管理；IP地址推送

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2019）07-0043-02

對規(guī)劃網(wǎng)絡(luò)和分配設(shè)計(jì)IP 地址而言，IP地址方案是否設(shè)計(jì)得合理科學(xué)，對于網(wǎng)絡(luò)負(fù)荷是能起到減輕作用，對于未來擴(kuò)展網(wǎng)絡(luò)，也是能奠下良好基礎(chǔ)。

隨著網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大，現(xiàn)階段有相對完善的網(wǎng)絡(luò)設(shè)備存在于梅州供電局內(nèi)網(wǎng)絡(luò)中。在管理用戶終端IP地址上，現(xiàn)階段分配IP地址運(yùn)用的方式是傳統(tǒng)的手工靜態(tài)，IP地址管理是繁雜瑣碎，多為人工管理IP地址管理審計(jì)和進(jìn)行訪客IP授權(quán)控制。

IP資源并不是無限的，例如IP 沖突，新機(jī)器入網(wǎng)，ARP 干擾等問題是會加大維護(hù)IP成本與維護(hù)的難度，加上網(wǎng)絡(luò)規(guī)模在不停發(fā)展，嚴(yán)重的時候整個網(wǎng)絡(luò)會出現(xiàn)癱瘓，所以，對網(wǎng)絡(luò)運(yùn)行能產(chǎn)生非常重要的影響的因素就包括IP 地址的實(shí)名管理與準(zhǔn)入控制。

所以，本文重點(diǎn)關(guān)注的問題就是對一個穩(wěn)固的人和IP的關(guān)系進(jìn)行維護(hù)，從而使智能實(shí)名制的IP分配管理審計(jì)得以實(shí)現(xiàn)。

1 幾種IP 管理模式的特點(diǎn)

1.1 手工管理模式

網(wǎng)絡(luò)管理人員對Excel 表格或地址登記簿進(jìn)行維護(hù)是使用手工維護(hù)，對某IP 地址是不是能有效使用進(jìn)行查詢驗(yàn)證使借助簡單PING 命令，當(dāng)對IP進(jìn)行新分配之后，對Excel 表格或地址登記簿需要進(jìn)行更新運(yùn)用手工方式。運(yùn)用手工方式在接入端對靜態(tài)IP地址進(jìn)行配置，這就是傳統(tǒng)手工管理IP 模式。

傳統(tǒng)手工管理IP 模式存在管理缺陷，包括以下幾個方面：

1.1.1 在IP 地址沖突與非法設(shè)備接入是不能有效避免

設(shè)計(jì)梅州供電局的內(nèi)部網(wǎng)絡(luò)為一個公用設(shè)施，也就是在當(dāng)今，對內(nèi)部而言，普遍的網(wǎng)絡(luò)端口的狀態(tài)都是“開放”的，這樣一來，網(wǎng)絡(luò)是“開放”的，而且資源又是共享，要訪問是很容易的，一個網(wǎng)絡(luò)接口僅需要插有臺非法電腦，按圖索驥，也就是對于網(wǎng)絡(luò)資源能開始進(jìn)行使用，以至IP地址任何時候出現(xiàn)沖突的情況。對那些重點(diǎn)業(yè)務(wù)而言，這樣的IP管理方式起不到什么保護(hù)作用。

CSI/FBI 計(jì)算機(jī)犯罪和安全調(diào)查顯示，目前最主要的犯罪的表現(xiàn)形式就是偷盜信息。在內(nèi)部中，有百分之七十五是造成經(jīng)濟(jì)損失。

在局域網(wǎng)內(nèi)，非法使用IP包括那些使用沒有經(jīng)過授權(quán)的IP地址。終端用戶能對IP 地址進(jìn)行自由修改，在局域網(wǎng)中，在運(yùn)行改動之后的IP 地址的時候或許會出現(xiàn)下面的情況：

1）出現(xiàn)在不是規(guī)劃的局域網(wǎng)范圍內(nèi)的IP地址就是非法IP地址；

2）和分配好的并且在局域網(wǎng)正在運(yùn)行的合法IP 地址出現(xiàn)資源沖突，導(dǎo)致合法用戶不能上網(wǎng)的就是重復(fù)IP 地址；

3）合法用戶不在線的時候，盜用合法用戶的IP 地址聯(lián)網(wǎng)，侵害到合法用戶權(quán)益稱為冒用合法用戶IP 地址；

4）一旦非法IP 地址被使用到，信息系統(tǒng)可能會產(chǎn)生嚴(yán)重的后果，例如：網(wǎng)絡(luò)服務(wù)器與網(wǎng)絡(luò)設(shè)備正常運(yùn)行會被重復(fù)的IP 地址干擾、破壞到，嚴(yán)重的會網(wǎng)絡(luò)的穩(wěn)定性會受到破壞，最終正常業(yè)務(wù)會受到影響；擁有被非法使用的IP 地址所擁有的特權(quán)，網(wǎng)絡(luò)安全會受到威脅；攻擊網(wǎng)絡(luò)利用欺騙性的IP 地址，例如：富有侵略性的TCP SYN 洪泛攻擊來源于一個欺騙性的IP 地址，它是利用TCP 3 次握手會話進(jìn)行顛覆服務(wù)器的一種攻擊方式，一個IP 地址欺騙攻擊者能假冒一個合法地址是通過對地址進(jìn)行手動修改或是運(yùn)行一個實(shí)施地址欺騙的程序來達(dá)到目的。

1.1.2 IP/MAC跟蹤和準(zhǔn)確定位功能不強(qiáng)

如果出現(xiàn)非法使用IP 地址、IP 地址出現(xiàn)沖突，或者是網(wǎng)絡(luò)有流量出現(xiàn)非正常（包括病毒感染、網(wǎng)絡(luò)攻擊產(chǎn)生與網(wǎng)絡(luò)掃描這些所產(chǎn)生的流量），要對IP地址源頭進(jìn)行查找，可以適應(yīng)下面的這個幾個步驟：

1）對有問題IP地址的出現(xiàn)進(jìn)行確定；

2）要獲取網(wǎng)卡MAC地址，要對近期的網(wǎng)絡(luò)設(shè)備ARP表進(jìn)行查看；

3）要對機(jī)器位置進(jìn)行確定，就需要對交換機(jī)MAC地址列表進(jìn)行檢查。

要對機(jī)器具體連接的物理端口進(jìn)行定位需要消耗很多時間，要查清楚偽造的源IP 地址是來自哪臺機(jī)器難度就更高了。倘若無法及時準(zhǔn)確地定位、迅速地隔離故障源，最終會帶來后果是很嚴(yán)重的，即便是恢復(fù)網(wǎng)絡(luò)了還是存在隱患。

1.1.3 IP 地址回收問題

很明顯，對IP地址進(jìn)行管理運(yùn)用的方式是全手工，容易導(dǎo)致IP地址出現(xiàn)回收問題。倘若科室對網(wǎng)內(nèi)設(shè)備是采取室自行撤銷或報廢的方式，而不是將情況反映給相關(guān)的網(wǎng)絡(luò)管理員，這樣導(dǎo)致無法及時回收IP地址并且增加節(jié)點(diǎn)無IP 可用的狀況，從而沒有合理配置利用有限的網(wǎng)絡(luò)資源。

1.1.4煩瑣的管理

為了提高網(wǎng)絡(luò)安全，防止對IP地址進(jìn)行非法使用，對IP 地址與MAC 地址使用靜態(tài)ARP 命令捆綁是最常見的方式，為的是能對非法用戶在對MAC 地址不修改的情況下冒用IP地址進(jìn)行訪問這種行為進(jìn)行阻止，另外，對非法用戶MAC 地址以適應(yīng)靜態(tài)ARP 表的問題的解決可以采用MAC地址綁定功能，也就是交換機(jī)的端口安全。但是此種方法首先要對全部機(jī)器MAC 地址和相應(yīng)IP地址進(jìn)行收集，接著就是對IP地址與MAC 地址的捆綁表進(jìn)行建立運(yùn)用人工輸入方法，這樣的工作量大，以后也是需要解決很多繁雜瑣碎的維護(hù)與管理問題。

1.2 DHCP 分配IP 地址的管理模式

DHCP 動態(tài)分配IP 地址的模式的出現(xiàn)是因?yàn)樵诿分莨╇娋种校湫畔⑾到y(tǒng)規(guī)模是在變大，對于實(shí)際業(yè)務(wù)需要，手工分配IP 地址的模式已經(jīng)滿足不了了。這樣的方式會給網(wǎng)絡(luò)帶來下面一些問題：

1）對IP地址進(jìn)行隨機(jī)分配使用DHCP分配的管理模式，各位工作人員使用電腦指定單一IP地址，實(shí)現(xiàn)不了相關(guān)部門分配、綁定梅州供電局的IP/MAC地址和審計(jì)等措施的要求；

2）使用過高CPU與系統(tǒng)掛斷的情況，或用戶的數(shù)量會大增，DHCP請求過高這些情況是因?yàn)槭褂昧朔菍Ｓ肈HCP 服務(wù)器最終造成出現(xiàn)不及時的相應(yīng)與出現(xiàn)中斷服務(wù)的現(xiàn)象；

3）不能自動釋放租約到期的IP 地址；無法自動清除記錄IP沖突的表格，這是因?yàn)橐恍┚W(wǎng)絡(luò)設(shè)備的硬件的設(shè)置的規(guī)定；

4）對傳統(tǒng)DHCP功能而言缺乏外來用戶授權(quán)與認(rèn)證安全機(jī)制，這樣一來，對MAC地址進(jìn)行惡意偽造的行為是不能做到阻止，也就會用盡IP 地址；

5）對網(wǎng)絡(luò)管理員而言，網(wǎng)絡(luò)擴(kuò)容工程的過程比較繁雜瑣碎；

6）準(zhǔn)確定位非法接入設(shè)備的大量檢索工作量也是存在這種管理模式；

7） 安全性能低，很容易被攻擊。

1.3 通過交換機(jī)管理IP 地址模式

在局域網(wǎng)內(nèi)，使用的方式是創(chuàng)新的，借助交換機(jī)內(nèi)部集成的安全特性對IP地址進(jìn)行有效管理的模式。知識按照安全措施來自認(rèn)證（如IEEE 802.1x）與訪問控制列表對于前文提及的來自網(wǎng)絡(luò)第2層即數(shù)據(jù)鏈路層的安全攻擊（DHCP 服務(wù)器欺騙攻擊、IP/MAC 地址欺騙、MAC 地址的泛濫攻擊等等）是不能起到阻止的。

為了能對DHCP 攻擊、地址欺騙、MAC/CAM 攻擊等進(jìn)行阻防制止，能借助利用交換機(jī)內(nèi)部集成的安全特性，組合運(yùn)用與部署Port Security、動態(tài)ARP 檢測、DHCP Snooping、IP 源地址保護(hù)技術(shù)，它的更突出的意義還能借助前文提及的技術(shù)對地址管理進(jìn)行簡化，能對用戶IP 與對應(yīng)的交換機(jī)端口進(jìn)行跟蹤，阻防制止出現(xiàn)IP 地址沖突。另外，還有有效報警與隔離大部分病毒，其是帶有欺騙、地址掃描、等特征。

借助配置交換機(jī)的特征，對于部分典型攻擊與病毒的防范問題是能起到解決作用，這也在如何更好管理傳統(tǒng)IP地址方面上給了啟示，對以前使用DHCP 服務(wù)器管理客戶端IP 地址遇到的問題（如下提到的問題）能起到解決作用：

1）出現(xiàn)IP地址沖突由運(yùn)用靜態(tài)指定IP 地址導(dǎo)致的；

2）對IP 地址進(jìn)行非法使用或盜用；

3）對DHCP 服務(wù)器進(jìn)行配置非法；

4）對IP 地址與具體交換機(jī)端口對應(yīng)表進(jìn)行定位比較困難；

5）運(yùn)用靜在實(shí)際態(tài)地址的重要服務(wù)器與計(jì)算機(jī)，可以進(jìn)行靜態(tài)綁定等。

然而，在實(shí)際工作上，繁多復(fù)雜地設(shè)置交換機(jī)，是對網(wǎng)絡(luò)管理員技術(shù)水平的考驗(yàn)，通常也是要離不開利用網(wǎng)絡(luò)技術(shù)的，倘若網(wǎng)絡(luò)出現(xiàn)問題，網(wǎng)絡(luò)管理人員應(yīng)該要聯(lián)系技術(shù)支持，一般無法保障響應(yīng)時間。

1.4 新一代智能IP 安全管理模式

科學(xué)技術(shù)的快速發(fā)展促進(jìn)網(wǎng)絡(luò)技術(shù)的發(fā)展期，在局域網(wǎng)內(nèi)，對于IP 自動分配管理與安全準(zhǔn)入，新的智能IP地址安全管理是能實(shí)現(xiàn)的，另外，對于交換機(jī)的安全特性也是能起到集成作用，例如：DHCP中繼、Dynamic ARP Inspection（動態(tài)ARP 檢測）、和IP Source Guard（IP 源地址保護(hù)）技術(shù)、DHCP Snooping（DHCP 偵聽），它的管理模式包括下面這幾個特點(diǎn)：

1）對于DHCP服務(wù)，能做到更高性能，能進(jìn)行集中管理規(guī)劃IP/MAC地址；

2）IP地址的推送功能能得以實(shí)現(xiàn)，也能進(jìn)行集中綁定IP/MAC；

3）對于IPV4/IPV6 雙協(xié)議也是能起到支持；

4）對于網(wǎng)絡(luò)配置的多余備份與負(fù)載均衡的能力也到達(dá)到滿足；

5）授權(quán)管理IP/MAC 地址能做到實(shí)時，進(jìn)行實(shí)時分析網(wǎng)絡(luò)資源，設(shè)備接入的時候的安全控制進(jìn)一步增強(qiáng)，沒有授權(quán)設(shè)備就要接入許可，對業(yè)務(wù)網(wǎng)內(nèi)重要站點(diǎn)的IP能起到全方位保護(hù)；

6）能實(shí)時進(jìn)行同步管理IP 地址數(shù)據(jù)，及時回收與再次利用廢棄的IP地址；

7）和DAI技術(shù)、交換機(jī)DHCP SNOOPING相銜接，對IP地址要進(jìn)行配置時采用手工方式能起到防止作用，對非法DHCP，預(yù)防ARP病毒也是能起到防止作用；

（8）對現(xiàn)在的網(wǎng)絡(luò)結(jié)構(gòu)不需要進(jìn)行改變，客戶端軟件也是不需要進(jìn)行安裝。

和配置交換機(jī)相比較，對網(wǎng)絡(luò)管理員而言，這種IP管理模式很大降低了技術(shù)實(shí)現(xiàn)的難度，也更好提高了工作效率。

2 結(jié)論

IP管理的發(fā)展經(jīng)歷如下：手工靜態(tài)IP 地址的分配管理模式是第一代，DHCP 動態(tài)分配手工管理模式是第二代，智能IP 安全管理模式是第三代，這也是目前最新的IP地址管理模式，對于大多數(shù)的網(wǎng)絡(luò)地址的維護(hù)工作任務(wù)能起到節(jié)省作用，對于出現(xiàn)故障由于手工操作造成的這種狀況也是能起到防止作用，對響應(yīng)能力也能起到快速提高，維護(hù)成本也能降低，使整體網(wǎng)絡(luò)的安全性能得到提高。

通過本系統(tǒng)的建設(shè)，能提供一個安全、可控、強(qiáng)化的IP地址支撐管理平臺給梅州供電局的相關(guān)業(yè)務(wù)系統(tǒng)。

參考文獻(xiàn)：

[1] 閆冬梅，任麗莉.校園網(wǎng)IP地址管理模式探討[J].長春師范學(xué)院學(xué)報：自然科學(xué)版，2011（4）：30-32.

【通聯(lián)編輯：唐一東】