论文部分内容阅读
摘要:文章通过对局域网中IP地址的冲突问题进行研究,分析了常见的IP地址的冲突原因,在此基础上提出了IP地址冲突的解决应在管理上和技术上加以防范,保证校园网安全运行。
关键词:校园网;IP;地址冲突;防范
中图分类号:TP3文献标识码:A文章编号:1007-9599 (2011) 24-0000-01
Campus Network IP Address Conflict Causes Analysis and Prevention
—Qinghai University for Nationalities As Example
Ma Lijun
(Qinghai University for Nationalities School of Computer Science,Xining810007,China)
Abstract:Through research,analysis of the IP address causes of conflict,on the basis of IP address conflicts should be resolved in the management and technical guard against them,to ensure the safety of the campus network on the LAN IP address conflict operation.
Keywords:Campus network;IP;Address conflicts;Prevention
当今社会,网络已经成为师生获取信息的主要手段,然而随着计算机网络的飞速发展和广泛应用,学校的主机数每年以百位数增加,使得IP地址资源相对匮乏,静态修改和盗取IP所引起的IP地址冲突已成为影响网络正常运行的主要问题。以青海民族大学为例,2004年建校园网之初IP地址只有16个C,完全可以满足整个学校的网络正常运行,到2011年IP地址达到40个C,尽管如此,整个校园网中IP地址发生冲突、被盗现象仍时有发生,如果不加以对IP地址实施规范、有效管理,校园网随时会有崩溃的可能。为了确保校园网整个网络及信息系统的安全运行,应加大对整个校区IP地址资源进行合理规划和分配,从网络基础管理和技术实战等多方面入手,彻底解决IP地址冲突、被盗用的问题。
一、校园网IP地址冲突的原因
目前,校园网络上的计算机遵循TCP/IP协议,每台主机具有唯一的IP地址,以实现网内的计算机间相互通讯,并与Internet互联互通。如果在计算机使用过程中出现“IP地址与网络上的其它系统有冲突”的提示时,说明在同一个局域网内有2个以上的用户同时使用了相同的IP地址或者一个用户已经通过DHCP得到了一个IP地址,而此时又有其他用户以手工分配方式设定了与此相同的IP地址,这将造成IP地址冲突,网络中IP地址被占用,计算机就无法正常使用网络了。造成IP地址冲突的情况有以下几种:
(一)使用者无意或工作失误造成IP冲突
(二)人为恶意攻击造成IP地址冲突
IP地址恶意攻击是指盗用者使用未经IEEE或授权机构授权的IP地址来配置网上的计算机,以达到隐藏身份从事破坏活动或非法使用网络资源的行为。恶意攻击不仅侵害了网络用户的合法权益,而且给网络安全、网络运行带来很大的影响。恶意攻击主要有以下两种形式:
1.局域网中的一些非法攻击者企图破坏或干扰本地局域网中重要网络设备的稳定运行,制造IP地址冲突故障,以达到破坏局域网中服务器或交换机等重要设备的稳定运行,最终造成整个局域网无法正常工作。
2.一些非法用户想获得特殊的访问权限,冒用合法的IP地址进行网络连接,从而在局域网中进行各种恶意破坏活动。
二、IP地址冲突的防范
从IP地址冲突产生的原因,我们不难发现IP地址冲突不仅仅是简单的技术问题,同时还是一个管理问题。为此,要从管理上和技术上下工夫,才能较好地防范IP地址冲突带来的网络故障。
(一)加强管理
1.做好校园网IP地址规划、登记和管理。在校园网中,做好校园网IP地址规划、登记和管理是维护网络正常、高效运转的前提。首先作好子网IP地址规划,将那些网络访问权限比较接近或者物理位置较接近的工作站划分到同一子网中,校园网中可按教学、办公、教师划分子网,划定IP段。
2.做好IP地址冲突查找工作。对于局域网来讲,用户规模越大,IP地址冲突查找工作就越困难,所以网络管理员必须深思加以解决。目前有两种方案,一是使用动态IP地址分配(DHCP)另一种方案是使用静态地址分配。
3.用操作系统提供的ARP功能。
4.利用网络交换设备的网络管理功能。
5.根据接入互联网Internet的IP地址管理是通过IP地址分配和路由器的配置原理来实现。
(二)加强技术防范
1.划分基于端口的VLAN。基于端口的VLAN就是将基于交换机中的一个或多个端口定义为一个VLAN。VLAN可以将不同的工作组隔离开来进行分组管理,便于实现可控的相互访问。
2.基于静态ARP表的路由器隔离技术。检测和保护网络免受IP欺骗的最好办法是安装过滤路由器。路由器隔离技术,主要是以MAC作为以太网卡地址的全球唯一性为依据,在路由器中建立一个IP与MAC对应的静态ARP表,只有IP与MAC匹配的合法注册的主机才能得到正确的ARP应答。
3.IP、MAC、VLAN与交换机端口的绑定。采用这种绑定方法的依据是用户连接交换机的物理端口具有不可改变性。根据用户的IP地址,在交换机端口上设置IP所在的VLAN,再将用户的IP、MAC和交换机的端口进行绑定。进行绑定后,当用户访问网络时,要进行“IP-MAC”,“MAC-PORT”,“PORT-VLAN”的三重验证,提高了网络安全性能。
4.防火墙与代理服务器。使用防火墙与代理服务器相结合,也能较好地解决IP地址盗用问题。这是一种在应用层上解决IP盗用的办法。防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无帐户的用户即使盗用IP,没有用户名和密码,也不能使用外部网络。
5.结合应用层的身份认证。用户认证的管理策略是指在网络用户连网的同时,综合运用用户名、口令、加密及其他应用层的身份认证机制,构成多层次的严密的安全体系。简单来说,如果将合法的用户帐号和密码与IP地址建立对应关系,用户上网前必须要提供合法的帐号及相应的密码。
三、结束语
综合以上的防范措施,校园网IP地址冲突、盗用问题可以在一定程度上得到解决。可以坚信,随着网络设备功能的日趋完善和网络管理人员管理水平的不断提高,会有更多更好的防止IP地址冲突的方法,对非法接入行为在一定程度上可以起到遏制作用,从而加强网络的整体安全性。
[作者简介]马丽君(1967-),女,河北保定人,实验师,硕士,主要研究方向:计算机基础、网络信息安全。
关键词:校园网;IP;地址冲突;防范
中图分类号:TP3文献标识码:A文章编号:1007-9599 (2011) 24-0000-01
Campus Network IP Address Conflict Causes Analysis and Prevention
—Qinghai University for Nationalities As Example
Ma Lijun
(Qinghai University for Nationalities School of Computer Science,Xining810007,China)
Abstract:Through research,analysis of the IP address causes of conflict,on the basis of IP address conflicts should be resolved in the management and technical guard against them,to ensure the safety of the campus network on the LAN IP address conflict operation.
Keywords:Campus network;IP;Address conflicts;Prevention
当今社会,网络已经成为师生获取信息的主要手段,然而随着计算机网络的飞速发展和广泛应用,学校的主机数每年以百位数增加,使得IP地址资源相对匮乏,静态修改和盗取IP所引起的IP地址冲突已成为影响网络正常运行的主要问题。以青海民族大学为例,2004年建校园网之初IP地址只有16个C,完全可以满足整个学校的网络正常运行,到2011年IP地址达到40个C,尽管如此,整个校园网中IP地址发生冲突、被盗现象仍时有发生,如果不加以对IP地址实施规范、有效管理,校园网随时会有崩溃的可能。为了确保校园网整个网络及信息系统的安全运行,应加大对整个校区IP地址资源进行合理规划和分配,从网络基础管理和技术实战等多方面入手,彻底解决IP地址冲突、被盗用的问题。
一、校园网IP地址冲突的原因
目前,校园网络上的计算机遵循TCP/IP协议,每台主机具有唯一的IP地址,以实现网内的计算机间相互通讯,并与Internet互联互通。如果在计算机使用过程中出现“IP地址与网络上的其它系统有冲突”的提示时,说明在同一个局域网内有2个以上的用户同时使用了相同的IP地址或者一个用户已经通过DHCP得到了一个IP地址,而此时又有其他用户以手工分配方式设定了与此相同的IP地址,这将造成IP地址冲突,网络中IP地址被占用,计算机就无法正常使用网络了。造成IP地址冲突的情况有以下几种:
(一)使用者无意或工作失误造成IP冲突
(二)人为恶意攻击造成IP地址冲突
IP地址恶意攻击是指盗用者使用未经IEEE或授权机构授权的IP地址来配置网上的计算机,以达到隐藏身份从事破坏活动或非法使用网络资源的行为。恶意攻击不仅侵害了网络用户的合法权益,而且给网络安全、网络运行带来很大的影响。恶意攻击主要有以下两种形式:
1.局域网中的一些非法攻击者企图破坏或干扰本地局域网中重要网络设备的稳定运行,制造IP地址冲突故障,以达到破坏局域网中服务器或交换机等重要设备的稳定运行,最终造成整个局域网无法正常工作。
2.一些非法用户想获得特殊的访问权限,冒用合法的IP地址进行网络连接,从而在局域网中进行各种恶意破坏活动。
二、IP地址冲突的防范
从IP地址冲突产生的原因,我们不难发现IP地址冲突不仅仅是简单的技术问题,同时还是一个管理问题。为此,要从管理上和技术上下工夫,才能较好地防范IP地址冲突带来的网络故障。
(一)加强管理
1.做好校园网IP地址规划、登记和管理。在校园网中,做好校园网IP地址规划、登记和管理是维护网络正常、高效运转的前提。首先作好子网IP地址规划,将那些网络访问权限比较接近或者物理位置较接近的工作站划分到同一子网中,校园网中可按教学、办公、教师划分子网,划定IP段。
2.做好IP地址冲突查找工作。对于局域网来讲,用户规模越大,IP地址冲突查找工作就越困难,所以网络管理员必须深思加以解决。目前有两种方案,一是使用动态IP地址分配(DHCP)另一种方案是使用静态地址分配。
3.用操作系统提供的ARP功能。
4.利用网络交换设备的网络管理功能。
5.根据接入互联网Internet的IP地址管理是通过IP地址分配和路由器的配置原理来实现。
(二)加强技术防范
1.划分基于端口的VLAN。基于端口的VLAN就是将基于交换机中的一个或多个端口定义为一个VLAN。VLAN可以将不同的工作组隔离开来进行分组管理,便于实现可控的相互访问。
2.基于静态ARP表的路由器隔离技术。检测和保护网络免受IP欺骗的最好办法是安装过滤路由器。路由器隔离技术,主要是以MAC作为以太网卡地址的全球唯一性为依据,在路由器中建立一个IP与MAC对应的静态ARP表,只有IP与MAC匹配的合法注册的主机才能得到正确的ARP应答。
3.IP、MAC、VLAN与交换机端口的绑定。采用这种绑定方法的依据是用户连接交换机的物理端口具有不可改变性。根据用户的IP地址,在交换机端口上设置IP所在的VLAN,再将用户的IP、MAC和交换机的端口进行绑定。进行绑定后,当用户访问网络时,要进行“IP-MAC”,“MAC-PORT”,“PORT-VLAN”的三重验证,提高了网络安全性能。
4.防火墙与代理服务器。使用防火墙与代理服务器相结合,也能较好地解决IP地址盗用问题。这是一种在应用层上解决IP盗用的办法。防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无帐户的用户即使盗用IP,没有用户名和密码,也不能使用外部网络。
5.结合应用层的身份认证。用户认证的管理策略是指在网络用户连网的同时,综合运用用户名、口令、加密及其他应用层的身份认证机制,构成多层次的严密的安全体系。简单来说,如果将合法的用户帐号和密码与IP地址建立对应关系,用户上网前必须要提供合法的帐号及相应的密码。
三、结束语
综合以上的防范措施,校园网IP地址冲突、盗用问题可以在一定程度上得到解决。可以坚信,随着网络设备功能的日趋完善和网络管理人员管理水平的不断提高,会有更多更好的防止IP地址冲突的方法,对非法接入行为在一定程度上可以起到遏制作用,从而加强网络的整体安全性。
[作者简介]马丽君(1967-),女,河北保定人,实验师,硕士,主要研究方向:计算机基础、网络信息安全。