網絡IP技術在電力企業(yè)中的應用*—— 以IP地址管理為例

2013-03-09 07:13:02郭一兵

湖州師范學院學報 2013年1期

張騁，郭一兵

（國網浙江安吉縣供電公司，浙江安吉 313300）

現代社會發(fā)展進步非常迅速.近年來，為了適應社會主義市場經濟發(fā)展的需要，全面加強縣級供電企業(yè)管理，按照國網公司及省公司智能電網工作部署，圍繞建設“一強三優(yōu)”現代企業(yè)的發(fā)展目標，縣級供電企業(yè)的生產設施得到了一定的改善.在省公司加強規(guī)范化管理的背景下，隨著信息通信技術的高速發(fā)展和普及，縣級供電企業(yè)開始了較大力度的信息化建設.OA系統(tǒng)、協(xié)同辦公、MIS系統(tǒng)等辦公軟件也相應的通過企業(yè)網絡平臺進行了推廣及應用.可以說，網絡的普及切實地帶動了電力企業(yè)工作效率的提升.

不管之前對IP地址是否熟悉，一旦接觸到了Internet網絡，那么就會直接或間接地與IP地址產生聯(lián)系.因為無論用何種方式訪問Internet資源，歸根究底都需要用IP地址來實現.毫不夸張地講，IP地址其實就是網絡的根基.越來越多的辦公軟件都是基于網絡平臺，在這個前提下，如何管理和維護好網絡，確保網絡時時暢通，如何有效地分配好全局的IP地址，保證地址不沖突，成為局信息部門的首要工作問題.

網絡中斷是網絡事故中最常見的問題之一，而此問題的產生多與IP地址有關.只要有一臺個人電腦的地址設置不正確，網絡的傳輸就會受到影響，甚至整個網絡都會癱瘓.對于在Internet和Intranet網絡上，使用TCP／IP協(xié)議時每臺主機必須具有獨立的IP地址，有了IP地址的主機才能與網絡上的其它主機進行通訊.隨著網絡應用普及，網絡客戶急劇膨脹，由于靜態(tài)IP地址分配，IP地址沖突和IP地址篡改的麻煩相繼而來.IP地址篡改，網絡能正常運行，但是網絡傳輸質量發(fā)生了變化，改變的原因是路由改變了.IP地址沖突也會造成很壞的影響，以安吉縣供電局為例，全局的內網機有516臺，外網機有60臺，如果中間有任意兩臺IP地址沖突，那么都會給雙方的正常辦公造成一定影響.

1 造成IP地址沖突的原因

只要網絡上存在沖突的機器，網絡客戶不能正常工作.因為只要有沖突的網絡終端一啟動，在客戶機上都會頻繁出現地址沖突的提示：“如果網絡上某項應用的安全策略是基于IP地址進行的，這種非法的IP用戶會對應用系統(tǒng)的安全造成了嚴重威脅.出現問題有時并不能及時發(fā)現，只有在相互沖突的網絡客戶同時都在開機狀態(tài)時才能顯露出問題，所以具有相當的隱蔽性.一般而言，下列幾種情況有可能造成IP地址沖突：

（1）很多用戶對TCP／IP并不了解，不知道“IP地址”、“子網掩碼”、“默認網關”等參數如何設置，有時用戶不是從管理員處得到的上述參數的信息，或者是用戶無意修改了這些信息.

（2）管理員或用戶根據管理員提供的上述參數進行設置時，由于失誤造成參數輸錯.

（3）在客戶機維修調試時，維修人員使用臨時IP地址應用造成.

（4）有人竊用他人的IP地址.

2 解決IP地址沖突的辦法

2.1 使用Dos自帶命令

如果導入網絡管理軟件，比如電力企業(yè)都要求安裝的桌面終端標準化管理系統(tǒng)（簡稱桌面管控系統(tǒng)），也許就能夠更加輕松地發(fā)現并解決問題.但是利用ping等命令，基本上也可以解決簡單的問題.當發(fā)生故障以后，首先使用ping命令.如果使用得當，其作用堪與昂貴的軟件相媲美.當出現IP地址沖突時候，我們首先要確定沖突發(fā)生的VLAN.

通過IP規(guī)劃的VLAN定義，和沖突的IP地址，找到沖突地址所在的網段.這對成功地找到網卡MAC地址很關鍵，因為有些網絡命令不能跨網段存取.將客戶機與網絡隔離，讓非法的IP地址的微機在網上運行，網管員便可以設法找到它了.應用網絡測試命令有ping命令和arp命令.使用ping命令，假設沖突的IP地址為10.147.142.75，在Dos窗口，命令格式如下，其中斜體部分是命令結果.

之所以要ping這臺機器，是出于兩個目的：首先要知道要找的機器確實在網絡上；其次，要知道這臺機器網卡的MAC地址，那么如何知道它的MAC地址呢？這就需要使用第二個命令arp.arp命令只能在某一個VLAN中使用有效，它是低層協(xié)議，并不能跨路由.

以上列表表示出沖突IP地址10.147.142.75處網卡的 MAC地址為00－30－88－02－dc－5c.接下來就可以通過其他記錄方式找到MAC地址為00－30－88－02－dc－5c的網卡的具體物理位置.

2.2 使用桌面管控軟件

當然，如果在發(fā)現自己機器IP地址出現沖突的提示后，大多數人的反應是先跟局信息部門聯(lián)系.在信息部門的相關人員了解情況后，便可以登錄到桌面管控系統(tǒng)進行檢查，來判斷該IP是否存在多臺機器使用的情況，只要之前有過桌面管控注冊，那么在軟件里都可以查到相應的機器記錄以及設備使用人，便于工作人員第一時間為你排除障礙.假設沖突的IP地址為10.147.142.130，在桌面管控軟件里，通過查詢如下（見圖1）：

圖1 通過桌面管控軟件來查詢該IP的占用1況

但是以上辦法也有一定局限性，因為畢竟不是人人都可以通過桌面管控軟件進行IP監(jiān)測.同時如果信息部門處理人員不在計算機旁，也就無法在第一時間處理此問題.

2.3 提前預防，做好地址備份

當然，任何事物，防范沖突永遠比解決沖突更重要，因此也就對電力企業(yè)信息部門日常工作提出了新的要求.

做好預防IP地址沖突，是問題的根本.解決這種問題并不是很難，需要信息部門網絡管理員做到以下幾點：

首先，做好整個局域網終端用戶計算機的桌面管控注冊，指定IP地址，根據用戶的類別統(tǒng)一命名計算機，并給定IP地址.這樣一看機器名，就知道是哪個部門哪臺機器，便于管理.同時，統(tǒng)一規(guī)劃分配IP地址給每臺終端機器，并建立IP地址分配登記表.

其次，統(tǒng)計每個終端機器網卡的MAC地址，建立IP地址與MAC地址對應表.在MS－DOS方式下鍵入命令“ipconfig／all”就可以獲得本機IP地址和MAC地址.可以將此方法公布一下，然后要求相關用戶將本機MAC地址抄錄上報到企業(yè)信息部門，再進行登記匯總.也可在設定機器名和IP地址時一并統(tǒng)計好.信息部門網絡管理員也可以利用Nbtstat命令來遠程獲得指定機器的MAC地址.在MS－DOS方式下鍵入命令“Nbtstat－a遠程計算機名”，即可獲得指定機器的IP地址和MAC地址（見圖2）.

圖2 局省外網的數據備份庫

最后，將IP地址與MAC地址綁定.這要根據局域網接入互聯(lián)網的方式不同而采用不同的辦法.

方法一：交換機控制.解決IP地址的最徹底的方法是使用交換機進行控制，即在TCP／IP第二層進行控制.使用交換機提供的端口的單地址工作模式，即交換機的每一個端口只允許一臺主機通過該端口訪問網絡，任何其它地址的主機的訪問被拒絕.但此方案的最大缺點在于它需要網絡上全部采用交換機提供用戶接入，這在交換機相對昂貴的當下不是一個能夠普遍采用的解決方案.

方法二：路由器隔離.采用路由器隔離的辦法的主要依據是MAC地址作為以太網卡地址全球唯一不能改變.其實現方法為通過SNMP協(xié)議定期掃描各路由器的ARP表，獲得當前IP和MAC的對照關系，和事先合法的IP和MAC地址比較，如不一致，則為非法訪問.對于非法訪問，有幾種辦法可以制止，如：

（1）使用正確的IP與MAC地址映射覆蓋非法的IP－MAC表項；

（2）向非法訪問的主機發(fā)送ICMP不可達的欺騙包，干擾其數據發(fā)送；

（3）修改路由器的存取控制列表，禁止非法訪問.

路由器隔離的另外一種實現方法是使用靜態(tài)ARP表，即路由器中IP與MAC地址的映射不通過ARP來獲得，而采用靜態(tài)設置.這樣，當非法訪問的IP地址和MAC地址不一致時，路由器根據正確的靜態(tài)設置轉發(fā)的幀就不會到達非法主機.

在使用該方法之前，首先需要將指定網卡的物理地址查找到；要是只有少量的工作站地址需要綁定時，那么可以在Win2000或Win XP系統(tǒng)中，通過“ipconfig／all”命令，來得到指定工作站網卡的MAC地址，在Win98環(huán)境中通過“msconfig”命令，得到指定網卡的物理地址.

查找到指定網卡的物理地址后，可以依次單擊“開始”／“運行”命令，在彈出的系統(tǒng)運行框中，執(zhí)行“cmd”命令，將系統(tǒng)切換到Ms－dos工作方式，并在DOS命令行中執(zhí)行“arp－s ip mac”格式的字符串命令，這樣就能將指定IP地址限制在指定網卡中了.例如，要是希望將“10.147.142.75”這樣的IP地址，限制在MAC地址“00－21－30－E7－86－BB”的網卡上時，那么可以在 DOS命令行中輸入“arp－s 10.147.142.75 00－21－30－E7－86－BB”字符串命令，單擊回車鍵后，該工作站的IP地址就無法隨意更改了；倘若此時強行更改IP地址時，工作站無論如何都是連不上網的.這種方法雖然操作起來有點簡單，但它只對通過代理服務器方式上網的工作站有效，而對其他類型的工作站卻無效.在電力企業(yè)中，一般通過使用SecureCRT軟件來方便地實現此功能（見圖3）.

圖3 通過Secu reCRT軟件來綁定IP與MAC地址

使用靜態(tài)IP地址分配可以對各部門進行合理的IP地址規(guī)劃，能夠在第三層上方便地跟蹤管理，如果通過加強對MAC地址的管理，同樣也會有效地解決這一問題.

總之，在網絡用戶連網的同時，建立IP地址和MAC地址的信息檔案，自始至終地對局域網客戶執(zhí)行嚴格的管理、登記制度.通過桌面管控系統(tǒng)將每個用戶的IP地址、MAC地址、物理位置和用戶身份等信息記錄在信息部門網絡管理員的數據庫中.試想，在上面說到的情況中，如果知道了非法用戶的MAC地址后，即使不通過桌面管控軟件，也可以從信息部門網絡管理員的數據庫中進行查尋.如果對MAC地址記錄全面，便可以立即找到具體的使用人的信息，這會節(jié)省大量寶貴時間.同時對于某些應用應避免使用IP地址來進行權限限制，如果從MAC地址上進行限制相對來說要安全的多，這樣可以有效地防止有人竊取IP地址的僥幸行為.