论文部分内容阅读
摘 要:局域网网络采用TCP/IP协议,IP地址规划为静态IP地址。随着局域网络应用的大力推广,网络用户数量不断增加,IP地址冲突相继而来。文章通过对局域网IP冲突分析和解决方法研究,提出局域网IP冲突的原因和常见IP盗用方法,着重从PVLAN划分的角度出发给出IP冲突解决的方法。该方法可以实现用户的惟一性确定,为维护局域网络健康、安全运行起到重要作用。
关键词:局域网;IP冲突;PVLAN
中图分类号:TP393.1 文献标识码:A 文章编号:1000-8136(2011)30-0152-02
1 引言
局域网作为典型的网络架构,其网络拓扑结构大致分为三级:第一级由核心交换机组成,网络服务器等工作在主干网络上;第二级由对第三级桌面提供高密度端口的交换机构成,并根据划分出的VLAN(Vitual Local Area Network)提供实际的VLAN端口。网络协议采用TCP/IP,IP地址规划为静态IP地址。随着局域网络应用的大力推广,网络用户数量不断增加,由于静态IP地址分配,IP地址冲突相继而来。因此,解决IP冲突,实现用户的惟一性确定,成为维护局域网络健康、安全运行的重要任务。
2 IP地址冲突的机理及常见IP盗用方法
局域网中的计算机在启动时,首次初始化TCP/IP,广播ARP请求,以便为IP地址请求IP地址解析。如果另一个主机回答此ARP请求分组中的任何一个,就表示该主机已经在使用此IP地址,地址发生了冲突。检测到地址冲突时,计算机照样引导,但禁用此广播ARP请求计算机上的重复IP地址,并显示一条IP地址冲突的错误信息。此时计算机就不能享用计算机网络资源了。
根据有关统计,网络上的错误有50%以上是直接或间接由IP盗用引起的,因此有必要阐述其原理。IP地址盗用大致可分为3种情况:静态修改IP地址、成对修改MAC地址和IP地址、IP欺骗。
2.1 静态修改IP地址
对于任何一个TCP/IP实现来说,IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就形成了IP地址盗用。由于IP地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改,除非使用动态主机配置协议(DHCP)服务器分配IP地址,动态主机配置协议(DHCP)是一种使网络管理员能够集中管理和自动分配IP网络地址的通信协议。在IP网络中,每个连接网络的设备都需要分配唯一的IP地址。DHCP使网络管理员能从中心结点监控和分配IP地址。当某台计算机移到网络中的其他位置时,能自动收到新的IP地址。但又会带来其他管理问题。
2.2 成对修改MAC地址和IP地址
对于静态修改IP地址的问题,现在很多单位都采用静态路由技术加以解决。针对静态路由技术,IP盗用技术又有了新的发展,即成对修改MAC地址和IP地址。MAC地址是设备的硬件地址,对于我们常用的以太网来说,即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配,是固化在网卡上的,一般不能随意改动。但是,现在的一些兼容网卡,其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。
2.3 IP欺骗
对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。动态修改IP地址对于一些黑客高手来说,直接编写程序在网络上收发数据包,绕过上层网络软件,动态修改自己的IP地址(或成对修改MAC地址和IP地址),达到IP欺骗并不是一件困难的事。
3 IP地址冲突解决方法
通过IP地址与MAC地址绑定,MAC、IP地址与交换机端口绑定,以及网络规划管理策略、对用户进行安全教育并进行相应的IP地址入网申请登记制度、主动监督等。可有效地防止用户更改IP地址和MAC地址的现象,较好地解决网络中IP冲突问题。
3.1 交换机端口与MAC绑定
解决IP地址冲突最彻底的方法是,使用交换机进行控制,使用交换机提供的端口的单地址工作模式,即交换机的每一个端口,只允许一台主机通过该端口访问网络,如将交换机端口与MAC和IP绑定,任何其他地址的主机的访问都将被拒绝。网卡的MAC地址通常是唯一确定的,在路由器中建立一个IP地址与MAC地址的对应表,只有IP-MAC地址相对应的合法注册机器才能得到正确的ARP应答,来控制IP-MAC不匹配的主机与外界通讯,达到防止IP地址的盗用。比如局域网某一用户的IP地址为:202. 100.181. 160,MAC地址为:0010. 80EC. B64D,在Cisco的路由器或交换机的路由模块上使用命令:router (config)# arp 202. 100. 181. 160 00 10 80 EC B6 4D arpa把该IP地址与MAC地址进行绑定,若有人盗用该IP地址,因其MAC地址的唯一性,使得IP地址与MAC地址不匹配而盗用失败。但此方案的最大缺点在于,它需要网络上全部采用交换机提供用户接入,这在交换机相对昂贵的今天,不是一个能够普遍采用的解决方案。
3.2 采用PVLAN(虚拟局域网)技术
虚拟局域网是在二层交换机上实现对端口数据的隔离,把原本的广播域进行隔离,把一个大的广播域划分成若干个小的广播域。这种隔离是一种逻辑隔离,不是一种物理隔离。这样的划分使得广播只能局限在单个的小广播域内,广播报文不会跨越到其他的广播域中。这样网络规划人员可以根据实际的需要灵活的对网络进行逻辑划分,这样的隔离在网络规模较小的环境中较容易实现。PVLAN的应用对于保证接入网络的数据通信的安全性非常有效,用户只需与自己的默认网关连接,一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接,所有的用户都接入PVLAN,从而实现了所有用户与默认网关的连接,而与PVLAN内的其他用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信,但可以穿过Trunk端口。这样即使同一VLAN中的用户,相互之间也不会受到广播的影响。
4 结束语
通过以上方法,我们在“技术为主,管理为辅”总方针的指导下用较低的成本解决了IP地址冲突问题。其中,PVLAN其实就是在原本一层VLAN划分的基础上所进行的二次VLAN的划分,这样的划分能够把广播域隔离得更小,抑制了IP冲突、广播风暴在全局网络中的产生,把冲突范围压缩的最小,增强局域网络的稳定性,保障了局域网通信的安全,也增强了虚拟局域网配置的灵活性,在很大程度上能够满足不断扩大的局域网络发展的需求。
参考文献
1 吴亚榕.校园网IP地址冲突解决方法[J].软件导刊,2008(9)
2 吴建军.IP地址冲突的分析与对策[J].云南师范大学学报,2008(6)
3 陈明.PVLAN技术在虚拟局域网中的应用[J].漳州职业技术学院学报,2009(1)
4 [美]Todd Lammle著.CCNA学习指南[M].北京:电子工业出版社,2008.2
Research on IP address conflict analysis and solutions in Local area network
Gao Junfeng, Gao Xinwei
Abstract:Local area network use TCP/IP protocol, IP address plan for a static IP. With the local area network applications is promoted energetically, and the increasing number of network users, IP address conflict come one after another. The thesis research on IP address conflict analysis and solutions in Local area network. The thesis put forward the reasons for conflict and common methods of IP theft. The solutions that have been given are put emphasis upon divisiory PVLAN. This solutions can determine the user’s uniqueness, can plays an important role on safeguarding the health, safety movemen of local area network.
Key words:local area network; IP address conflict; PVLAN
关键词:局域网;IP冲突;PVLAN
中图分类号:TP393.1 文献标识码:A 文章编号:1000-8136(2011)30-0152-02
1 引言
局域网作为典型的网络架构,其网络拓扑结构大致分为三级:第一级由核心交换机组成,网络服务器等工作在主干网络上;第二级由对第三级桌面提供高密度端口的交换机构成,并根据划分出的VLAN(Vitual Local Area Network)提供实际的VLAN端口。网络协议采用TCP/IP,IP地址规划为静态IP地址。随着局域网络应用的大力推广,网络用户数量不断增加,由于静态IP地址分配,IP地址冲突相继而来。因此,解决IP冲突,实现用户的惟一性确定,成为维护局域网络健康、安全运行的重要任务。
2 IP地址冲突的机理及常见IP盗用方法
局域网中的计算机在启动时,首次初始化TCP/IP,广播ARP请求,以便为IP地址请求IP地址解析。如果另一个主机回答此ARP请求分组中的任何一个,就表示该主机已经在使用此IP地址,地址发生了冲突。检测到地址冲突时,计算机照样引导,但禁用此广播ARP请求计算机上的重复IP地址,并显示一条IP地址冲突的错误信息。此时计算机就不能享用计算机网络资源了。
根据有关统计,网络上的错误有50%以上是直接或间接由IP盗用引起的,因此有必要阐述其原理。IP地址盗用大致可分为3种情况:静态修改IP地址、成对修改MAC地址和IP地址、IP欺骗。
2.1 静态修改IP地址
对于任何一个TCP/IP实现来说,IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就形成了IP地址盗用。由于IP地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改,除非使用动态主机配置协议(DHCP)服务器分配IP地址,动态主机配置协议(DHCP)是一种使网络管理员能够集中管理和自动分配IP网络地址的通信协议。在IP网络中,每个连接网络的设备都需要分配唯一的IP地址。DHCP使网络管理员能从中心结点监控和分配IP地址。当某台计算机移到网络中的其他位置时,能自动收到新的IP地址。但又会带来其他管理问题。
2.2 成对修改MAC地址和IP地址
对于静态修改IP地址的问题,现在很多单位都采用静态路由技术加以解决。针对静态路由技术,IP盗用技术又有了新的发展,即成对修改MAC地址和IP地址。MAC地址是设备的硬件地址,对于我们常用的以太网来说,即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配,是固化在网卡上的,一般不能随意改动。但是,现在的一些兼容网卡,其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。
2.3 IP欺骗
对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。动态修改IP地址对于一些黑客高手来说,直接编写程序在网络上收发数据包,绕过上层网络软件,动态修改自己的IP地址(或成对修改MAC地址和IP地址),达到IP欺骗并不是一件困难的事。
3 IP地址冲突解决方法
通过IP地址与MAC地址绑定,MAC、IP地址与交换机端口绑定,以及网络规划管理策略、对用户进行安全教育并进行相应的IP地址入网申请登记制度、主动监督等。可有效地防止用户更改IP地址和MAC地址的现象,较好地解决网络中IP冲突问题。
3.1 交换机端口与MAC绑定
解决IP地址冲突最彻底的方法是,使用交换机进行控制,使用交换机提供的端口的单地址工作模式,即交换机的每一个端口,只允许一台主机通过该端口访问网络,如将交换机端口与MAC和IP绑定,任何其他地址的主机的访问都将被拒绝。网卡的MAC地址通常是唯一确定的,在路由器中建立一个IP地址与MAC地址的对应表,只有IP-MAC地址相对应的合法注册机器才能得到正确的ARP应答,来控制IP-MAC不匹配的主机与外界通讯,达到防止IP地址的盗用。比如局域网某一用户的IP地址为:202. 100.181. 160,MAC地址为:0010. 80EC. B64D,在Cisco的路由器或交换机的路由模块上使用命令:router (config)# arp 202. 100. 181. 160 00 10 80 EC B6 4D arpa把该IP地址与MAC地址进行绑定,若有人盗用该IP地址,因其MAC地址的唯一性,使得IP地址与MAC地址不匹配而盗用失败。但此方案的最大缺点在于,它需要网络上全部采用交换机提供用户接入,这在交换机相对昂贵的今天,不是一个能够普遍采用的解决方案。
3.2 采用PVLAN(虚拟局域网)技术
虚拟局域网是在二层交换机上实现对端口数据的隔离,把原本的广播域进行隔离,把一个大的广播域划分成若干个小的广播域。这种隔离是一种逻辑隔离,不是一种物理隔离。这样的划分使得广播只能局限在单个的小广播域内,广播报文不会跨越到其他的广播域中。这样网络规划人员可以根据实际的需要灵活的对网络进行逻辑划分,这样的隔离在网络规模较小的环境中较容易实现。PVLAN的应用对于保证接入网络的数据通信的安全性非常有效,用户只需与自己的默认网关连接,一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接,所有的用户都接入PVLAN,从而实现了所有用户与默认网关的连接,而与PVLAN内的其他用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信,但可以穿过Trunk端口。这样即使同一VLAN中的用户,相互之间也不会受到广播的影响。
4 结束语
通过以上方法,我们在“技术为主,管理为辅”总方针的指导下用较低的成本解决了IP地址冲突问题。其中,PVLAN其实就是在原本一层VLAN划分的基础上所进行的二次VLAN的划分,这样的划分能够把广播域隔离得更小,抑制了IP冲突、广播风暴在全局网络中的产生,把冲突范围压缩的最小,增强局域网络的稳定性,保障了局域网通信的安全,也增强了虚拟局域网配置的灵活性,在很大程度上能够满足不断扩大的局域网络发展的需求。
参考文献
1 吴亚榕.校园网IP地址冲突解决方法[J].软件导刊,2008(9)
2 吴建军.IP地址冲突的分析与对策[J].云南师范大学学报,2008(6)
3 陈明.PVLAN技术在虚拟局域网中的应用[J].漳州职业技术学院学报,2009(1)
4 [美]Todd Lammle著.CCNA学习指南[M].北京:电子工业出版社,2008.2
Research on IP address conflict analysis and solutions in Local area network
Gao Junfeng, Gao Xinwei
Abstract:Local area network use TCP/IP protocol, IP address plan for a static IP. With the local area network applications is promoted energetically, and the increasing number of network users, IP address conflict come one after another. The thesis research on IP address conflict analysis and solutions in Local area network. The thesis put forward the reasons for conflict and common methods of IP theft. The solutions that have been given are put emphasis upon divisiory PVLAN. This solutions can determine the user’s uniqueness, can plays an important role on safeguarding the health, safety movemen of local area network.
Key words:local area network; IP address conflict; PVLAN