国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

基于DHCP SNOOPING的中小型企業(yè)網(wǎng)絡(luò)接入系統(tǒng)研究

2014-07-14 04:56李果果劉志權(quán)
關(guān)鍵詞:IP地址

李果果 劉志權(quán)

摘要:本文針對(duì)中小企業(yè)存在的IP地址管理問題,提出了搭建基于IP DHCP SNOOPING、DAI(Dynamic ARP Inspection)的B/S架構(gòu)園區(qū)IP地址集中管理系統(tǒng),從根本上解決中小企業(yè)園區(qū)網(wǎng)絡(luò)IP地址管理問題。

關(guān)鍵詞:DHCP SNOOPING IP地址 ARP攻擊 DHCP

1 概述

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)以幾何級(jí)的增長(zhǎng)方式不斷發(fā)展,企業(yè)的網(wǎng)絡(luò)規(guī)模不斷壯大,為應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)環(huán)境,各種新技術(shù)不斷涌現(xiàn)。然而,中小企業(yè)出于成本考量,網(wǎng)絡(luò)設(shè)備一般隨著企業(yè)規(guī)模增長(zhǎng)而逐步增多,設(shè)備型號(hào)、品牌較多,而且往往忽視、缺乏對(duì)相應(yīng)的網(wǎng)絡(luò)管理軟件及系統(tǒng)的投入。用戶非法DHCP服務(wù)器、IP地址沖突和ARP攻擊引起的IP地址類故障層出不窮,對(duì)于企業(yè)內(nèi)部的IP地址管理問題,網(wǎng)管人員往往也束手無策。智能化工具的廣泛使用,對(duì)于IP地址,如果依然采用手工方式或者EXCEL表格登記的方式進(jìn)行分配,顯然不能適應(yīng)信息化的要求。利用交換機(jī)中的DHCP SNOOPING技術(shù)和DHCP服務(wù)器配合,通過簡(jiǎn)單的編程開發(fā),建立B/S架構(gòu)的IP地址管理系統(tǒng),可以高效的管理IP地址,為網(wǎng)絡(luò)管理員節(jié)省大量寶貴時(shí)間。

2 DHCP服務(wù)器

通過手動(dòng)設(shè)置IP地址的方式,可以對(duì)數(shù)量比較少的計(jì)算機(jī)進(jìn)行管理。但是,如果劃分了多個(gè)子網(wǎng),并且計(jì)算機(jī)數(shù)量較多時(shí),通過手動(dòng)方式,為計(jì)算機(jī)配置和管理IP地址,其工作量和復(fù)雜程度就會(huì)成倍地增加,而且搬遷到新位置也需要更換IP地址,不符合目前移動(dòng)辦公的需要。由于這些問題存在于局域網(wǎng)中,于是人們提出使用DHCP 服務(wù)器,客戶端主機(jī)借助DHCP服務(wù)器可以在每次啟動(dòng)并加入網(wǎng)絡(luò)時(shí),上網(wǎng)所需的IP地址、網(wǎng)關(guān)和DNS服務(wù)器地址等信息就可以自動(dòng)獲得,進(jìn)而在一定程度上減少了配置管理的工作量。受自身局限性的影響,DHCP協(xié)議并不能解決非法DHCP服務(wù)器、設(shè)置固定IP地址所引起的IP地址沖突、ARP攻擊等IP地址類故障。

3 DHCP SNOOPING

通過對(duì)不可信DHCP消息進(jìn)行過濾,DHCP SNOOPING可以進(jìn)一步增強(qiáng)其安全性,同時(shí)建立并維護(hù)DHCP綁定數(shù)據(jù)庫。DAI(dynamic arp inspect)、Source IP Lockdown等功能需要以該數(shù)據(jù)庫為基礎(chǔ)。DHCP SNOOPING 技術(shù)就像是將一道防火墻安裝在非信任端口的主機(jī)和DHCP服務(wù)器之間,DHCP Offer報(bào)文通過信任端口可以進(jìn)行正常接收和轉(zhuǎn)發(fā),而不信任端口會(huì)丟棄接收到的DHCP Offer報(bào)文,對(duì)于DHCP攻擊及私設(shè)DHCP服務(wù)器等,在一定程度上可以起到防止作用。在啟用了DHCP SNOOPING功能的接口下,DAI/Source IP Lockdown只允許通過DHCP方式獲取到IP地址的主機(jī)與網(wǎng)絡(luò)進(jìn)行通信。這樣,對(duì)于通過受信任DHCP服務(wù)器分配到IP地址的用戶可以接入網(wǎng)絡(luò),其他包括使用固定IP地址的用戶數(shù)據(jù)包都將被交換機(jī)所丟棄。DHCP SNOOPING及DAI、Source IP Lockdown等技術(shù)很好的彌補(bǔ)了DHCP協(xié)議的局限性,使得在DHCP環(huán)境下基于DHCP SNOOPING搭建IP地址管理系統(tǒng)能夠取得良好成效。

4 系統(tǒng)功能實(shí)現(xiàn)

4.1 IP地址管理

在IP地址管理平臺(tái)的控制下,通過編程開發(fā)使DHCP服務(wù)器上的配置文件,進(jìn)一步與后臺(tái)MYSQL數(shù)據(jù)庫同步,DHCP服務(wù)器中所用到的網(wǎng)段配置參數(shù)、IP地址租約時(shí)間等各種參數(shù)和數(shù)據(jù)全部存放在后臺(tái)的MYSQL數(shù)據(jù)庫中。這種方式一方面保留了傳統(tǒng)DHCP的優(yōu)點(diǎn),大大減少園區(qū)網(wǎng)IP地址管理的復(fù)雜度,另一方面加強(qiáng)了DHCP方式管理的可控性。

在DHCP服務(wù)器上,通過對(duì)配置文件/etc/dhcpd.conf進(jìn)行修改,可以對(duì)地址段進(jìn)行配置,同時(shí)實(shí)現(xiàn)對(duì)MAC地址訪問的控制。以區(qū)域或者VLAN為類別,將園區(qū)網(wǎng)絡(luò)內(nèi)各主機(jī)的MAC地址添加到相應(yīng)的類別中,只有被添加了MAC地址的主機(jī)才能夠在對(duì)應(yīng)的區(qū)域或者VLAN內(nèi)通過合法的DHCP服務(wù)器獲取IP地址配置信息,進(jìn)而對(duì)網(wǎng)絡(luò)進(jìn)行訪問。對(duì)于網(wǎng)絡(luò)設(shè)備來說,由于啟用了DHCP SNOOPING及DAI等功能,用戶不可能通過自行修改IP地址進(jìn)而獲得訪問權(quán)限。對(duì)于打印機(jī)、考勤機(jī)及其它需要使用固定IP地址的服務(wù)器,也可以在配置文件中指定固定IP地址,并不需要在網(wǎng)絡(luò)設(shè)備上再配置靜態(tài)的DAI條目,達(dá)到集中管理IP地址分配的目的,降低維護(hù)復(fù)雜度。顯然,直接由網(wǎng)管人員修改配置文件存在很高的安全風(fēng)險(xiǎn),通過IP地址管理系統(tǒng)維護(hù)數(shù)據(jù)庫,系統(tǒng)后臺(tái)再根據(jù)相應(yīng)情況對(duì)DHCP服務(wù)器配置文件進(jìn)行修改,既降低了風(fēng)險(xiǎn),也降低了對(duì)于管理人員的技術(shù)要求。

在配置DHCP服務(wù)器的過程中,將DHCP服務(wù)器中所用到的各種數(shù)據(jù)和參數(shù)保存到數(shù)據(jù)庫中,進(jìn)而組成整個(gè)園區(qū)網(wǎng)絡(luò)的IP地址使用數(shù)據(jù)庫。園區(qū)網(wǎng)每個(gè)地址段中有多少用戶在使用DHCP服務(wù)器分配的固定地址上網(wǎng),以及每個(gè)網(wǎng)段有多少個(gè)地址用于自動(dòng)分配等,在管理平臺(tái)上,管理人員都可以查詢到。

4.2 上網(wǎng)日志及用戶定位

在每次下發(fā)客戶端DHCP請(qǐng)求的IP地址資源時(shí),DHCP服務(wù)器會(huì)形成一條記錄。所請(qǐng)求IP的客戶端MAC地址、分配給客戶的IP地址、客戶端的機(jī)器名、租約時(shí)間范圍等一系列信息都包含在這條記錄中。在數(shù)據(jù)庫保存這樣的記錄,構(gòu)建一個(gè)IP地址分配情況的數(shù)據(jù)庫。DHCP服務(wù)器借助這個(gè)數(shù)據(jù)庫,對(duì)于所分發(fā)的IP地址資源提供了完善的日志記錄功能。通過記錄,在某個(gè)時(shí)間段內(nèi)特定IP與MAC的對(duì)應(yīng)關(guān)系很容易查詢到,然后對(duì)某個(gè)IP對(duì)應(yīng)的MAC地址進(jìn)行查詢。結(jié)合SNMP協(xié)議,通過用戶IP地址,查詢?cè)贗P地址管理功能中的數(shù)據(jù)庫可以獲取此用戶IP所對(duì)應(yīng)的接入交換機(jī)列表,再通過SNMP指令查詢這些交換機(jī)的MAC地址表,可以進(jìn)一步得到用戶上線時(shí)所在的交換機(jī)接口信息,這對(duì)于管理人員管理維護(hù)網(wǎng)絡(luò)是非常有幫助的。

5 小結(jié)

本文基于真實(shí)環(huán)境,提出以部署DHCPSnooping 為基礎(chǔ),建立B/S架構(gòu)的IP地址管理系統(tǒng),對(duì)IP地址進(jìn)行集中管理。DHCP SNOOPING技術(shù)目前已基本成為各大主流設(shè)備廠商可網(wǎng)管交換機(jī)的基礎(chǔ)功能,部署方式非常靈活。系統(tǒng)開發(fā)簡(jiǎn)單,投入小,可以直接部署在DHCP服務(wù)器上。系統(tǒng)部署后,基本可以杜絕非法DHCP服務(wù)器、用戶私設(shè)固定地址引起的IP地址沖突及APR攻擊等問題,并能對(duì)園區(qū)網(wǎng)絡(luò)中的IP地址做到統(tǒng)一、靈活的管理,極大的提高了管理人員的工作效率,使網(wǎng)絡(luò)管理趨于規(guī)范化、科學(xué)化。

參考文獻(xiàn):

[1]李果果.多廠商設(shè)備環(huán)境下校園網(wǎng)統(tǒng)一接入控制管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].華南理工大學(xué),2011.

[2]崔亞軍.IP Source Guard配合DHCP在校園信息化建設(shè)中的應(yīng)用[J].職業(yè)技術(shù),2013(10).

[3]任斌.攻擊分析及防御解決方法[J].長(zhǎng)春工程學(xué)院學(xué)報(bào)自然科學(xué)版,2008(9).

作者簡(jiǎn)介:

李果果(1982-),男,湖南長(zhǎng)沙人,助理工程師,碩士研究生,研究方向:計(jì)算機(jī)網(wǎng)絡(luò)。

猜你喜歡
IP地址
鐵路遠(yuǎn)動(dòng)系統(tǒng)幾種組網(wǎng)方式IP地址的申請(qǐng)和設(shè)置
解決局域網(wǎng)IP地址沖突故障
IP地址便捷修改器
IP地址切換器(IPCFG)
基于SNMP的IP地址管理系統(tǒng)開發(fā)與應(yīng)用
公安網(wǎng)絡(luò)中IP地址智能管理的研究與思考
通過PE查電腦IP地址
《IP地址及其管理》教學(xué)設(shè)計(jì)
《IP地址及其管理》教學(xué)設(shè)計(jì)
淺談互聯(lián)網(wǎng)IP地址稀缺問題
南城县| 德安县| 防城港市| 新丰县| 潜山县| 昂仁县| 武夷山市| 库尔勒市| 广饶县| 临桂县| 晋州市| 台前县| 广丰县| 松滋市| 汝州市| 从江县| 富顺县| 大邑县| 肇庆市| 金堂县| 天长市| 西盟| 界首市| 平罗县| 马鞍山市| 景谷| 武陟县| 阿图什市| 固始县| 广南县| 建昌县| 宁远县| 大关县| 徐水县| 宝山区| 龙泉市| 福州市| 图们市| 徐汇区| 定兴县| 永胜县|