IP地址管理模式分析

陳智明 陳穎聰 王遠(yuǎn)雄 丘丹

摘要：在許多局域網(wǎng)安全問(wèn)題中，在梅州供電局中，要做到對(duì)網(wǎng)絡(luò)系統(tǒng)的中IP地址進(jìn)行有效管理是網(wǎng)絡(luò)管理員認(rèn)為很困難的工作。倘若不能對(duì)IP地址進(jìn)行有效管理，可能會(huì)造成降低了網(wǎng)絡(luò)可用性與服務(wù)質(zhì)量，嚴(yán)重甚至?xí)?dǎo)致網(wǎng)絡(luò)崩潰。本文將詳細(xì)闡述目前存在的幾種IP 管理模式特點(diǎn)，并介紹應(yīng)用新技術(shù)進(jìn)行IP 維護(hù)、安全準(zhǔn)入管理模式和在局域網(wǎng)上對(duì)IP 地址進(jìn)行有效管理通過(guò)運(yùn)用創(chuàng)新的方式，借助交換機(jī)內(nèi)部集成的安全特性。

關(guān)鍵詞：局域網(wǎng)；靜態(tài)IP；智能IP；地址管理；IP地址推送

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）07-0043-02

對(duì)規(guī)劃網(wǎng)絡(luò)和分配設(shè)計(jì)IP 地址而言，IP地址方案是否設(shè)計(jì)得合理科學(xué)，對(duì)于網(wǎng)絡(luò)負(fù)荷是能起到減輕作用，對(duì)于未來(lái)擴(kuò)展網(wǎng)絡(luò)，也是能奠下良好基礎(chǔ)。

隨著網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大，現(xiàn)階段有相對(duì)完善的網(wǎng)絡(luò)設(shè)備存在于梅州供電局內(nèi)網(wǎng)絡(luò)中。在管理用戶終端IP地址上，現(xiàn)階段分配IP地址運(yùn)用的方式是傳統(tǒng)的手工靜態(tài)，IP地址管理是繁雜瑣碎，多為人工管理IP地址管理審計(jì)和進(jìn)行訪客IP授權(quán)控制。

IP資源并不是無(wú)限的，例如IP 沖突，新機(jī)器入網(wǎng)，ARP 干擾等問(wèn)題是會(huì)加大維護(hù)IP成本與維護(hù)的難度，加上網(wǎng)絡(luò)規(guī)模在不停發(fā)展，嚴(yán)重的時(shí)候整個(gè)網(wǎng)絡(luò)會(huì)出現(xiàn)癱瘓，所以，對(duì)網(wǎng)絡(luò)運(yùn)行能產(chǎn)生非常重要的影響的因素就包括IP 地址的實(shí)名管理與準(zhǔn)入控制。

所以，本文重點(diǎn)關(guān)注的問(wèn)題就是對(duì)一個(gè)穩(wěn)固的人和IP的關(guān)系進(jìn)行維護(hù)，從而使智能實(shí)名制的IP分配管理審計(jì)得以實(shí)現(xiàn)。

1 幾種IP 管理模式的特點(diǎn)

1.1 手工管理模式

網(wǎng)絡(luò)管理人員對(duì)Excel 表格或地址登記簿進(jìn)行維護(hù)是使用手工維護(hù)，對(duì)某IP 地址是不是能有效使用進(jìn)行查詢驗(yàn)證使借助簡(jiǎn)單PING 命令，當(dāng)對(duì)IP進(jìn)行新分配之后，對(duì)Excel 表格或地址登記簿需要進(jìn)行更新運(yùn)用手工方式。運(yùn)用手工方式在接入端對(duì)靜態(tài)IP地址進(jìn)行配置，這就是傳統(tǒng)手工管理IP 模式。

傳統(tǒng)手工管理IP 模式存在管理缺陷，包括以下幾個(gè)方面：

1.1.1 在IP 地址沖突與非法設(shè)備接入是不能有效避免

設(shè)計(jì)梅州供電局的內(nèi)部網(wǎng)絡(luò)為一個(gè)公用設(shè)施，也就是在當(dāng)今，對(duì)內(nèi)部而言，普遍的網(wǎng)絡(luò)端口的狀態(tài)都是“開放”的，這樣一來(lái)，網(wǎng)絡(luò)是“開放”的，而且資源又是共享，要訪問(wèn)是很容易的，一個(gè)網(wǎng)絡(luò)接口僅需要插有臺(tái)非法電腦，按圖索驥，也就是對(duì)于網(wǎng)絡(luò)資源能開始進(jìn)行使用，以至IP地址任何時(shí)候出現(xiàn)沖突的情況。對(duì)那些重點(diǎn)業(yè)務(wù)而言，這樣的IP管理方式起不到什么保護(hù)作用。

CSI/FBI 計(jì)算機(jī)犯罪和安全調(diào)查顯示，目前最主要的犯罪的表現(xiàn)形式就是偷盜信息。在內(nèi)部中，有百分之七十五是造成經(jīng)濟(jì)損失。

在局域網(wǎng)內(nèi)，非法使用IP包括那些使用沒(méi)有經(jīng)過(guò)授權(quán)的IP地址。終端用戶能對(duì)IP 地址進(jìn)行自由修改，在局域網(wǎng)中，在運(yùn)行改動(dòng)之后的IP 地址的時(shí)候或許會(huì)出現(xiàn)下面的情況：

1）出現(xiàn)在不是規(guī)劃的局域網(wǎng)范圍內(nèi)的IP地址就是非法IP地址；

2）和分配好的并且在局域網(wǎng)正在運(yùn)行的合法IP 地址出現(xiàn)資源沖突，導(dǎo)致合法用戶不能上網(wǎng)的就是重復(fù)IP 地址；

3）合法用戶不在線的時(shí)候，盜用合法用戶的IP 地址聯(lián)網(wǎng)，侵害到合法用戶權(quán)益稱為冒用合法用戶IP 地址；

4）一旦非法IP 地址被使用到，信息系統(tǒng)可能會(huì)產(chǎn)生嚴(yán)重的后果，例如：網(wǎng)絡(luò)服務(wù)器與網(wǎng)絡(luò)設(shè)備正常運(yùn)行會(huì)被重復(fù)的IP 地址干擾、破壞到，嚴(yán)重的會(huì)網(wǎng)絡(luò)的穩(wěn)定性會(huì)受到破壞，最終正常業(yè)務(wù)會(huì)受到影響；擁有被非法使用的IP 地址所擁有的特權(quán)，網(wǎng)絡(luò)安全會(huì)受到威脅；攻擊網(wǎng)絡(luò)利用欺騙性的IP 地址，例如：富有侵略性的TCP SYN 洪泛攻擊來(lái)源于一個(gè)欺騙性的IP 地址，它是利用TCP 3 次握手會(huì)話進(jìn)行顛覆服務(wù)器的一種攻擊方式，一個(gè)IP 地址欺騙攻擊者能假冒一個(gè)合法地址是通過(guò)對(duì)地址進(jìn)行手動(dòng)修改或是運(yùn)行一個(gè)實(shí)施地址欺騙的程序來(lái)達(dá)到目的。

1.1.2 IP/MAC跟蹤和準(zhǔn)確定位功能不強(qiáng)

如果出現(xiàn)非法使用IP 地址、IP 地址出現(xiàn)沖突，或者是網(wǎng)絡(luò)有流量出現(xiàn)非正常（包括病毒感染、網(wǎng)絡(luò)攻擊產(chǎn)生與網(wǎng)絡(luò)掃描這些所產(chǎn)生的流量），要對(duì)IP地址源頭進(jìn)行查找，可以適應(yīng)下面的這個(gè)幾個(gè)步驟：

1）對(duì)有問(wèn)題IP地址的出現(xiàn)進(jìn)行確定；

2）要獲取網(wǎng)卡MAC地址，要對(duì)近期的網(wǎng)絡(luò)設(shè)備ARP表進(jìn)行查看；

3）要對(duì)機(jī)器位置進(jìn)行確定，就需要對(duì)交換機(jī)MAC地址列表進(jìn)行檢查。

要對(duì)機(jī)器具體連接的物理端口進(jìn)行定位需要消耗很多時(shí)間，要查清楚偽造的源IP 地址是來(lái)自哪臺(tái)機(jī)器難度就更高了。倘若無(wú)法及時(shí)準(zhǔn)確地定位、迅速地隔離故障源，最終會(huì)帶來(lái)后果是很嚴(yán)重的，即便是恢復(fù)網(wǎng)絡(luò)了還是存在隱患。

1.1.3 IP 地址回收問(wèn)題

很明顯，對(duì)IP地址進(jìn)行管理運(yùn)用的方式是全手工，容易導(dǎo)致IP地址出現(xiàn)回收問(wèn)題。倘若科室對(duì)網(wǎng)內(nèi)設(shè)備是采取室自行撤銷或報(bào)廢的方式，而不是將情況反映給相關(guān)的網(wǎng)絡(luò)管理員，這樣導(dǎo)致無(wú)法及時(shí)回收IP地址并且增加節(jié)點(diǎn)無(wú)IP 可用的狀況，從而沒(méi)有合理配置利用有限的網(wǎng)絡(luò)資源。

1.1.4煩瑣的管理

為了提高網(wǎng)絡(luò)安全，防止對(duì)IP地址進(jìn)行非法使用，對(duì)IP 地址與MAC 地址使用靜態(tài)ARP 命令捆綁是最常見的方式，為的是能對(duì)非法用戶在對(duì)MAC 地址不修改的情況下冒用IP地址進(jìn)行訪問(wèn)這種行為進(jìn)行阻止，另外，對(duì)非法用戶MAC 地址以適應(yīng)靜態(tài)ARP 表的問(wèn)題的解決可以采用MAC地址綁定功能，也就是交換機(jī)的端口安全。但是此種方法首先要對(duì)全部機(jī)器MAC 地址和相應(yīng)IP地址進(jìn)行收集，接著就是對(duì)IP地址與MAC 地址的捆綁表進(jìn)行建立運(yùn)用人工輸入方法，這樣的工作量大，以后也是需要解決很多繁雜瑣碎的維護(hù)與管理問(wèn)題。

1.2 DHCP 分配IP 地址的管理模式

DHCP 動(dòng)態(tài)分配IP 地址的模式的出現(xiàn)是因?yàn)樵诿分莨╇娋种?，其信息系統(tǒng)規(guī)模是在變大，對(duì)于實(shí)際業(yè)務(wù)需要，手工分配IP 地址的模式已經(jīng)滿足不了了。這樣的方式會(huì)給網(wǎng)絡(luò)帶來(lái)下面一些問(wèn)題：

1）對(duì)IP地址進(jìn)行隨機(jī)分配使用DHCP分配的管理模式，各位工作人員使用電腦指定單一IP地址，實(shí)現(xiàn)不了相關(guān)部門分配、綁定梅州供電局的IP/MAC地址和審計(jì)等措施的要求；

2）使用過(guò)高CPU與系統(tǒng)掛斷的情況，或用戶的數(shù)量會(huì)大增，DHCP請(qǐng)求過(guò)高這些情況是因?yàn)槭褂昧朔菍Ｓ肈HCP 服務(wù)器最終造成出現(xiàn)不及時(shí)的相應(yīng)與出現(xiàn)中斷服務(wù)的現(xiàn)象；

3）不能自動(dòng)釋放租約到期的IP 地址；無(wú)法自動(dòng)清除記錄IP沖突的表格，這是因?yàn)橐恍┚W(wǎng)絡(luò)設(shè)備的硬件的設(shè)置的規(guī)定；

4）對(duì)傳統(tǒng)DHCP功能而言缺乏外來(lái)用戶授權(quán)與認(rèn)證安全機(jī)制，這樣一來(lái)，對(duì)MAC地址進(jìn)行惡意偽造的行為是不能做到阻止，也就會(huì)用盡IP 地址；

5）對(duì)網(wǎng)絡(luò)管理員而言，網(wǎng)絡(luò)擴(kuò)容工程的過(guò)程比較繁雜瑣碎；

6）準(zhǔn)確定位非法接入設(shè)備的大量檢索工作量也是存在這種管理模式；

7） 安全性能低，很容易被攻擊。

1.3 通過(guò)交換機(jī)管理IP 地址模式

在局域網(wǎng)內(nèi)，使用的方式是創(chuàng)新的，借助交換機(jī)內(nèi)部集成的安全特性對(duì)IP地址進(jìn)行有效管理的模式。知識(shí)按照安全措施來(lái)自認(rèn)證（如IEEE 802.1x）與訪問(wèn)控制列表對(duì)于前文提及的來(lái)自網(wǎng)絡(luò)第2層即數(shù)據(jù)鏈路層的安全攻擊（DHCP 服務(wù)器欺騙攻擊、IP/MAC 地址欺騙、MAC 地址的泛濫攻擊等等）是不能起到阻止的。

為了能對(duì)DHCP 攻擊、地址欺騙、MAC/CAM 攻擊等進(jìn)行阻防制止，能借助利用交換機(jī)內(nèi)部集成的安全特性，組合運(yùn)用與部署Port Security、動(dòng)態(tài)ARP 檢測(cè)、DHCP Snooping、IP 源地址保護(hù)技術(shù)，它的更突出的意義還能借助前文提及的技術(shù)對(duì)地址管理進(jìn)行簡(jiǎn)化，能對(duì)用戶IP 與對(duì)應(yīng)的交換機(jī)端口進(jìn)行跟蹤，阻防制止出現(xiàn)IP 地址沖突。另外，還有有效報(bào)警與隔離大部分病毒，其是帶有欺騙、地址掃描、等特征。

借助配置交換機(jī)的特征，對(duì)于部分典型攻擊與病毒的防范問(wèn)題是能起到解決作用，這也在如何更好管理傳統(tǒng)IP地址方面上給了啟示，對(duì)以前使用DHCP 服務(wù)器管理客戶端IP 地址遇到的問(wèn)題（如下提到的問(wèn)題）能起到解決作用：

1）出現(xiàn)IP地址沖突由運(yùn)用靜態(tài)指定IP 地址導(dǎo)致的；

2）對(duì)IP 地址進(jìn)行非法使用或盜用；

3）對(duì)DHCP 服務(wù)器進(jìn)行配置非法；

4）對(duì)IP 地址與具體交換機(jī)端口對(duì)應(yīng)表進(jìn)行定位比較困難；

5）運(yùn)用靜在實(shí)際態(tài)地址的重要服務(wù)器與計(jì)算機(jī)，可以進(jìn)行靜態(tài)綁定等。

然而，在實(shí)際工作上，繁多復(fù)雜地設(shè)置交換機(jī)，是對(duì)網(wǎng)絡(luò)管理員技術(shù)水平的考驗(yàn)，通常也是要離不開利用網(wǎng)絡(luò)技術(shù)的，倘若網(wǎng)絡(luò)出現(xiàn)問(wèn)題，網(wǎng)絡(luò)管理人員應(yīng)該要聯(lián)系技術(shù)支持，一般無(wú)法保障響應(yīng)時(shí)間。

1.4 新一代智能IP 安全管理模式

科學(xué)技術(shù)的快速發(fā)展促進(jìn)網(wǎng)絡(luò)技術(shù)的發(fā)展期，在局域網(wǎng)內(nèi)，對(duì)于IP 自動(dòng)分配管理與安全準(zhǔn)入，新的智能IP地址安全管理是能實(shí)現(xiàn)的，另外，對(duì)于交換機(jī)的安全特性也是能起到集成作用，例如：DHCP中繼、Dynamic ARP Inspection（動(dòng)態(tài)ARP 檢測(cè)）、和IP Source Guard（IP 源地址保護(hù)）技術(shù)、DHCP Snooping（DHCP 偵聽），它的管理模式包括下面這幾個(gè)特點(diǎn)：

1）對(duì)于DHCP服務(wù)，能做到更高性能，能進(jìn)行集中管理規(guī)劃IP/MAC地址；

2）IP地址的推送功能能得以實(shí)現(xiàn)，也能進(jìn)行集中綁定IP/MAC；

3）對(duì)于IPV4/IPV6 雙協(xié)議也是能起到支持；

4）對(duì)于網(wǎng)絡(luò)配置的多余備份與負(fù)載均衡的能力也到達(dá)到滿足；

5）授權(quán)管理IP/MAC 地址能做到實(shí)時(shí)，進(jìn)行實(shí)時(shí)分析網(wǎng)絡(luò)資源，設(shè)備接入的時(shí)候的安全控制進(jìn)一步增強(qiáng)，沒(méi)有授權(quán)設(shè)備就要接入許可，對(duì)業(yè)務(wù)網(wǎng)內(nèi)重要站點(diǎn)的IP能起到全方位保護(hù)；

6）能實(shí)時(shí)進(jìn)行同步管理IP 地址數(shù)據(jù)，及時(shí)回收與再次利用廢棄的IP地址；

7）和DAI技術(shù)、交換機(jī)DHCP SNOOPING相銜接，對(duì)IP地址要進(jìn)行配置時(shí)采用手工方式能起到防止作用，對(duì)非法DHCP，預(yù)防ARP病毒也是能起到防止作用；

（8）對(duì)現(xiàn)在的網(wǎng)絡(luò)結(jié)構(gòu)不需要進(jìn)行改變，客戶端軟件也是不需要進(jìn)行安裝。

和配置交換機(jī)相比較，對(duì)網(wǎng)絡(luò)管理員而言，這種IP管理模式很大降低了技術(shù)實(shí)現(xiàn)的難度，也更好提高了工作效率。

2 結(jié)論

IP管理的發(fā)展經(jīng)歷如下：手工靜態(tài)IP 地址的分配管理模式是第一代，DHCP 動(dòng)態(tài)分配手工管理模式是第二代，智能IP 安全管理模式是第三代，這也是目前最新的IP地址管理模式，對(duì)于大多數(shù)的網(wǎng)絡(luò)地址的維護(hù)工作任務(wù)能起到節(jié)省作用，對(duì)于出現(xiàn)故障由于手工操作造成的這種狀況也是能起到防止作用，對(duì)響應(yīng)能力也能起到快速提高，維護(hù)成本也能降低，使整體網(wǎng)絡(luò)的安全性能得到提高。

通過(guò)本系統(tǒng)的建設(shè)，能提供一個(gè)安全、可控、強(qiáng)化的IP地址支撐管理平臺(tái)給梅州供電局的相關(guān)業(yè)務(wù)系統(tǒng)。

參考文獻(xiàn)：

[1] 閆冬梅，任麗莉.校園網(wǎng)IP地址管理模式探討[J].長(zhǎng)春師范學(xué)院學(xué)報(bào)：自然科學(xué)版，2011（4）：30-32.

【通聯(lián)編輯：唐一東】