论文部分内容阅读
摘要:文章以龙岩市农业学校局域网为实例研究对象,介绍了IP地址的管理及IP地址的绑定技术。
关键词:IP地址;MAC地址;ARP协议;端口;绑定
中图分类号:TP393文献标识码:A文章编号:1006-8937(2009)14-0122-01
1IP地址相关知识介绍
IP地址也可以称为互联网地址或Internet地址,是用来唯一标识互联网上计算机的逻辑地址。每台连网计算机都依靠IP地址来标识自己,IP地址必须唯一。IP地址的表示: 4个以小数点隔开的十进制整数就是一个IP地址。每部分的十进制的整数实际上由8个二进制数组成。 IP的结构和分类:在IP地址的这四部分中,又可以分成两部分,一部分是网络号Network(用来标识不同的网络),一部分是主机号(标识用于特定网络区域内的某台主机)。IP地址的网络部分是由IANA(Internet地址分配机构)统一分配的,而主机位IP地址是由得到网络地址的机构或组织自行分配。我们把IP地址分成A、B、C、D、E类:A类地址,第一组表示网络,后面三组表示主机。B类地址,第一,二组表示网络,后面两组表示主机。C类地址,第一,二,三组表示网络,最后一组表示主机。为了确定IP地址的网络号和主机号如何划分,使用到了掩码。也就是说在一个IP地址中,通过掩码来决定哪部分表示网络,哪部分表示主机。大家规定,用“1”代表网络部分,用“0”代表主机部分。也就是说,计算机通过IP地址和掩码才能知道自己是在哪个网络中。IP地址的获得:有两种方式,一种是静态方式,一种是动态方式。
2IP地址及其管理
IP地址管理是成功的逻辑设计的基础。任何一台在局域网中“活动”的工作站,它都是通过IP地址这个“身份”与其他工作站进行沟通交流的,只要我们能安全妥善地管理好局域网中的所有IP地址,就能确保局域网始终处于高效运行状态之中。学校从组建校园网以来一直采用用户静态IP地址分配。所有网络用户入网前需要事先从网络中心申请获取静态IP地址。网络中心收到申请后在用户接入的二层交换机上完成一次用户IP-MAC-接入交换机端口的绑定,使用这种方法来确认最终用户,消除IP地址盗用等情况。学校统一规划分配IP地址给每个终端机器,并建立IP地址分配登记表,统计每个终端机器网卡的MAC地址,建立IP地址与MAC地址对照表。在交换机上采用VLAN(Virtual LAN,虚拟局域网)技术解决广播带来的不良影响。我们学校划分VLAN的方式是基于接口来划分VLAN。交换机通过接口和客户端相接,只要通过配置命令将交换机的接口分给不同的VLAN,就相当于把这些客户端划分到了不同的广播域。将接口划分到VLAN的方式如下:以华为3100 EI系列交换机为例,登录进入交换机,输入管理口令进入系统视图,敲入命令:
[H3C]VLAN 1
[H3C-VLAN1]quit
[H3C]VLAN 2to4//创建VLAN
[H3C]VLAN 2
[H3C-VLAN2]port Ethernet1/0/9 to Ethernet1/0/16 //添加9到16口到VLAN2
执行上述命令,可在3100 EI交换机创建4个VLAN,并将相应的端口划分到对应的VLAN中。
3IP地址的绑定技术
3.1基于交换机的IP地址、MAC地址、端口的绑定
①MAC地址及MAC地址的作用。MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。MAC地址在计算机里都是以二进制表示的, MAC地址通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:00-11-D8-29-09-78就是一个MAC地址,其中前6位16进制数00-11-D8代表网络硬件制造商的编号,它由IEEE(电气与电子工程师协会)分配,而后3位16进制数29-09-78代表该制造商所制造的某个网络产品(如网卡)的系列号。只要你不去更改自己的MAC地址,那么你的MAC地址在世界是惟一的。 无论是局域网,还是广域网中的计算机之间的通信,最终都表现为将数据包从某种形式的链路上的初始节点出发,从一个节点传递到另一个节点,最终传送到目的节点。数据包在这些节点之间的移动都是由ARP(address resolution protocol:地址解析协议)负责将IP地址映射到MAC地址上来完成的。数据包在传送过程中会不断询问相邻节点的MAC地址。
②交换机、端口、IP地址 三者的绑定。为了防止IP地址被盗用,就通过简单的交换机端口绑定(端口的MAC表使用静态表项),可以在每个交换机端口只连接一台主机的情况下防止修改MAC地址的盗用。第一种方法:如果是可网管交换机还可以提供:交换机、端口、IP地址三者的绑定,一般绑定MAC地址都是在交换机和路由器上配置的。以华为3100 EI系列交换机为例,登录进入交换机,输入管理口令进入系统视图,敲入命令:
[h3c]am user-bind mac-addr mac ip-addr ip interface 端口号
执行上述命令将每个端口与相应的计算机mac地址、IP地址绑定,保存并退出。
第二种方法: 同样以华为3100 EI交换机为例,登录进入交换机,也可以基于DHCP地址检查功能实现IP地址与MAC地址的绑定。同样采用上述操作,登录进入交换机,输入管理口令进入系统视图,敲入命令:
[h3c]dhcp-security static ip mac
此命令将IP地址与MAC地址绑定。
通过这些设置,可以将局域网中的IP地址和MAC地址绑定,任何人在终端上任意更改IP地址,都不能使其登陆互连网,这样就便于网络管理员更好的维护整个网络的正常、安全的运行。
3.2应用ARP绑定IP地址和MAC地址
①什么是ARP及ARP的作用。我们知道,当我们在浏览器里面输入网址时,DNS服务器会自动把它解析为IP地址,浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址(即MAC地址)的呢?在局域网中,这是通过ARP协议来完成的。ARP(Address Resolution Protocol)即地址解析协议,ARP协议为IP地址到对应的MAC地址之间提供动态映射。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址可实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
②使用ARP绑定IP地址和MAC地址。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。我们可以在ARP表里将合法用户的IP地址和网卡的MAC地址进行绑定。当有人盗用IP地址时,尽管盗用者修改了IP地址,但由于网卡的MAC地址和ARP表中对应的MAC地址不一致,那么也不能访问网络。以华为3100 EI系列交换机为例,登录进入交换机,输入管理口令进入系统视图,敲入命令:
[h3c] arp static ipmac
执行上述命令,可将相应计算机的IP地址和MAC地址绑定。
例如:[h3c]arp static 21.90.21.1 00-80-1c-90-80-41(将IP地址21.90.21.1和网卡MAC地址00-80-1c-90-80-41绑定);
TCP/IP作为Internet网络协议,已经被广泛用于各种类型的局域网络。而IP地址作为网络中的主要寻址方式,也已经被各种操作系统广泛采用,因此IP地址在网络管理中显得尤为重要。
参考文献:
[1] 潘爱民.计算机网络(第四版)中文版[M].北京:清华大学出版社,2004.
关键词:IP地址;MAC地址;ARP协议;端口;绑定
中图分类号:TP393文献标识码:A文章编号:1006-8937(2009)14-0122-01
1IP地址相关知识介绍
IP地址也可以称为互联网地址或Internet地址,是用来唯一标识互联网上计算机的逻辑地址。每台连网计算机都依靠IP地址来标识自己,IP地址必须唯一。IP地址的表示: 4个以小数点隔开的十进制整数就是一个IP地址。每部分的十进制的整数实际上由8个二进制数组成。 IP的结构和分类:在IP地址的这四部分中,又可以分成两部分,一部分是网络号Network(用来标识不同的网络),一部分是主机号(标识用于特定网络区域内的某台主机)。IP地址的网络部分是由IANA(Internet地址分配机构)统一分配的,而主机位IP地址是由得到网络地址的机构或组织自行分配。我们把IP地址分成A、B、C、D、E类:A类地址,第一组表示网络,后面三组表示主机。B类地址,第一,二组表示网络,后面两组表示主机。C类地址,第一,二,三组表示网络,最后一组表示主机。为了确定IP地址的网络号和主机号如何划分,使用到了掩码。也就是说在一个IP地址中,通过掩码来决定哪部分表示网络,哪部分表示主机。大家规定,用“1”代表网络部分,用“0”代表主机部分。也就是说,计算机通过IP地址和掩码才能知道自己是在哪个网络中。IP地址的获得:有两种方式,一种是静态方式,一种是动态方式。
2IP地址及其管理
IP地址管理是成功的逻辑设计的基础。任何一台在局域网中“活动”的工作站,它都是通过IP地址这个“身份”与其他工作站进行沟通交流的,只要我们能安全妥善地管理好局域网中的所有IP地址,就能确保局域网始终处于高效运行状态之中。学校从组建校园网以来一直采用用户静态IP地址分配。所有网络用户入网前需要事先从网络中心申请获取静态IP地址。网络中心收到申请后在用户接入的二层交换机上完成一次用户IP-MAC-接入交换机端口的绑定,使用这种方法来确认最终用户,消除IP地址盗用等情况。学校统一规划分配IP地址给每个终端机器,并建立IP地址分配登记表,统计每个终端机器网卡的MAC地址,建立IP地址与MAC地址对照表。在交换机上采用VLAN(Virtual LAN,虚拟局域网)技术解决广播带来的不良影响。我们学校划分VLAN的方式是基于接口来划分VLAN。交换机通过接口和客户端相接,只要通过配置命令将交换机的接口分给不同的VLAN,就相当于把这些客户端划分到了不同的广播域。将接口划分到VLAN的方式如下:以华为3100 EI系列交换机为例,登录进入交换机,输入管理口令进入系统视图,敲入命令:
[H3C]VLAN 1
[H3C-VLAN1]quit
[H3C]VLAN 2to4//创建VLAN
[H3C]VLAN 2
[H3C-VLAN2]port Ethernet1/0/9 to Ethernet1/0/16 //添加9到16口到VLAN2
执行上述命令,可在3100 EI交换机创建4个VLAN,并将相应的端口划分到对应的VLAN中。
3IP地址的绑定技术
3.1基于交换机的IP地址、MAC地址、端口的绑定
①MAC地址及MAC地址的作用。MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。MAC地址在计算机里都是以二进制表示的, MAC地址通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:00-11-D8-29-09-78就是一个MAC地址,其中前6位16进制数00-11-D8代表网络硬件制造商的编号,它由IEEE(电气与电子工程师协会)分配,而后3位16进制数29-09-78代表该制造商所制造的某个网络产品(如网卡)的系列号。只要你不去更改自己的MAC地址,那么你的MAC地址在世界是惟一的。 无论是局域网,还是广域网中的计算机之间的通信,最终都表现为将数据包从某种形式的链路上的初始节点出发,从一个节点传递到另一个节点,最终传送到目的节点。数据包在这些节点之间的移动都是由ARP(address resolution protocol:地址解析协议)负责将IP地址映射到MAC地址上来完成的。数据包在传送过程中会不断询问相邻节点的MAC地址。
②交换机、端口、IP地址 三者的绑定。为了防止IP地址被盗用,就通过简单的交换机端口绑定(端口的MAC表使用静态表项),可以在每个交换机端口只连接一台主机的情况下防止修改MAC地址的盗用。第一种方法:如果是可网管交换机还可以提供:交换机、端口、IP地址三者的绑定,一般绑定MAC地址都是在交换机和路由器上配置的。以华为3100 EI系列交换机为例,登录进入交换机,输入管理口令进入系统视图,敲入命令:
[h3c]am user-bind mac-addr mac ip-addr ip interface 端口号
执行上述命令将每个端口与相应的计算机mac地址、IP地址绑定,保存并退出。
第二种方法: 同样以华为3100 EI交换机为例,登录进入交换机,也可以基于DHCP地址检查功能实现IP地址与MAC地址的绑定。同样采用上述操作,登录进入交换机,输入管理口令进入系统视图,敲入命令:
[h3c]dhcp-security static ip mac
此命令将IP地址与MAC地址绑定。
通过这些设置,可以将局域网中的IP地址和MAC地址绑定,任何人在终端上任意更改IP地址,都不能使其登陆互连网,这样就便于网络管理员更好的维护整个网络的正常、安全的运行。
3.2应用ARP绑定IP地址和MAC地址
①什么是ARP及ARP的作用。我们知道,当我们在浏览器里面输入网址时,DNS服务器会自动把它解析为IP地址,浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址(即MAC地址)的呢?在局域网中,这是通过ARP协议来完成的。ARP(Address Resolution Protocol)即地址解析协议,ARP协议为IP地址到对应的MAC地址之间提供动态映射。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址可实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
②使用ARP绑定IP地址和MAC地址。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。我们可以在ARP表里将合法用户的IP地址和网卡的MAC地址进行绑定。当有人盗用IP地址时,尽管盗用者修改了IP地址,但由于网卡的MAC地址和ARP表中对应的MAC地址不一致,那么也不能访问网络。以华为3100 EI系列交换机为例,登录进入交换机,输入管理口令进入系统视图,敲入命令:
[h3c] arp static ipmac
执行上述命令,可将相应计算机的IP地址和MAC地址绑定。
例如:[h3c]arp static 21.90.21.1 00-80-1c-90-80-41(将IP地址21.90.21.1和网卡MAC地址00-80-1c-90-80-41绑定);
TCP/IP作为Internet网络协议,已经被广泛用于各种类型的局域网络。而IP地址作为网络中的主要寻址方式,也已经被各种操作系统广泛采用,因此IP地址在网络管理中显得尤为重要。
参考文献:
[1] 潘爱民.计算机网络(第四版)中文版[M].北京:清华大学出版社,2004.