基于SNMP解决校园网IP地址管理问题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于SNMP解决校园网IP地址管理问题2007年第11期福建电脑
129
基于SNMP解决校园网IP地址管理问题
林泽东,刘伟科,范晓宁
(山东科技大学现代教育中心山东青岛266510)
地址盗用、摘要】【:针对校园网中大量IP地址冲突、ARP欺骗攻击等问题,通过对比几种现有的方法,提出了利用绑定和管理系统的解决方案。
该方案经济实用并且已经在实际的环境中得SNMP技术构建了一个IP地址资源的自动分配、
到很好的检验和应用。
关键词】【:SNMP;ARP绑定;ARP欺骗;地址盗用;地址冲突随着校园网规模的不断扩大,校园网用户数量的逐步激增。
这一趋势给校园网的管理与维护带来了很多的压力。
校园网管理问题中IP地址资源的管理问题是基本问题,也一直是网络管理工作中让管理员比较头痛的问题,而最近比较猖狂的ARP欺骗攻击使这一问题变得越发严重。
因此,如何更加合理的分配IP地址资源、避免IP地址的冲突与盗用和预防ARP欺骗攻击成为一个急需待解决的问题。
1.常用的IP地址资源管理办法1.1采用人工静态绑定技术
人工的静态绑定技术主要是在路由器或交换机上人为设置静态ARP表项来防止IP地址冲突问题。
这种方法对于小型的网络还是比较方便的,但对于大型的网络,收集、维护合法的IP-MAC信息对于网络管理员是件麻烦事、容易出错而且效率不高。
所以这种方法不灵活,效率不高。
1.2采用DHCP技术
DHCP可以使网络上的客户机动态地获得配置信息,具有自动分配可用网络地址等功能。
DHCP分配的地址可以保证网络中没有冲突的地址出现,但由于此协议的局限性也使得它在应用的时候出现很多问题:首先、DHCP服务器不能查出网络上非DHCP客户机已经使用的IP地址。
如果网络中有用户使用了静态的IP配置,那么他可能与DHCP服务器分配信息相冲突;其次、是网络中的DHCP服务器之间是不通信的。
使得冒充的DHCP服务器这一问题无法解决。
最新的DHCPsnooping和ARPinspection技术虽然解决了上述问题,但是对网络设备的IOS要求比较高,这不利于保护用户投资。
1.3采用802.1x协议认证
802.1x协议是一种基于端口的网络访问控制协议。
802.1x认证体系结构
包括请求者、认证者和认证服务器。
认证过程中,请求者发起认证请求,认证者负责对请
求者进行认证,它通常是支持802.1x协议的网络设备(例如交换机和AP),认证
服务器负责提供认证服务。
只有认证通过后请求者所连接的端口才开放,网络资源对请求
者可见,否则不可见。
目前,802.1x的优势和安全性很大程度上依赖于私有拨号客
户端。
如果一旦客户端被破
这种认证同样要求用户解或者被伪造,则很多功能将形同虚设。
接入设备都必须支持802.1x协议。
2.本方案的技术原理
目前大多数的校园网都是按照核心层、汇聚层、接入层三层结构来设计的,而在汇聚
层设备上通常都维护着在线用户的ARP(IP-MAC)信息。
本方案就是一个自动维
护数据库与汇聚层设备上合法用户IP-MAC信息库的过程。
程序周期性地读取汇聚层
设备上在线用户的ARP信息,通过把这些信息与合法用户信息库中的记录进行对比来判
断用户合法性。
如果两者中的IP和MAC只有一个不同则认为是非法用户,否则认为是
合法用户。
对于合法用户的信息可以更新或添加到数据库中,而对于非法用户可以通过向
其发送ARP欺骗包阻止其使用网络。
其工作原理如图1所示。
3.本方案的功能模块组成
本方案主要包括参数配置、数据采集、数据处理及Web自助四个模块。
3.1参数配置模块
这个模块主要的功能是设置系统运行所需的参数。
参数主要包括汇聚层设备读、写共
同体名,连接数据库的帐户和密码,合法信息库中IP-MAC记录的超期周期,在线用
户ARP信息采集周期等。
3.2数据采集模块图1技术原理流程图
这个模块主要的功能是根据参数配置模块设置的采集周期等信息,利用SNMP协议,通过对汇聚层设备上的ipNetToMedi-aTable表进行读取,得到当前设
备上在线用户的ARP数据信息。
3.3数据处理模块
这个模块是整个系统的核心。
它主要对采集到的数据与合法信息库的数据进行分析比较,判断ARP信息是否合法,并根据分析结果采取一些处理动作。
此模块主要包括合法
性分析、分析结果处理和合法信息库维护。
(1)合法性分析
合法性分析根据被分析数据中的IP-MAC和合法信息库中IP-MAC的比较关
系的不同来判断被分析IP-MAC的合法性。
其可能的情况有很多中如表1。
表1:对比结果表
(2)分析结果处理
合法信息库中每条记录主要包括三个字段:IP、MAC、时间戳。
记录中IP和MAC分别是一个合法用户对应的IP地址和MAC地址。
时间戳记录的是这条IP-MAC信息被使用的最近时间,是决定记录是否有效的关键,也是数据表的关键字段。
合法性分析产生了四种情况,对于第一种情况的处理只是用系统的当前时间戳更新此IP-MAC记录的时间戳字段。
对于第四种情况,说明是有新的用户使用了新的IP地址,要将此新的IP-MAC添加到合法信息库中并更新时间戳。
然后通过对ipNetToMediaTable进行写操作将IP-MAC绑定到汇聚层设备上,这样既可以防止非法用户使用此IP地址又可以有效防止一些ARP欺骗。
而对于不合法情况,则通过向非法用户发送伪造的欺骗性的ARPReply包阻止其继续使用网络。
(3)合法信息库维护
分析处理结果部分在对每个IP-MAC进行处理时,已经对合法IP-MAC记录的时间戳进行了更新。
合法信息库维护就是删除合法信息库中超期的无用的记录,保证信(下转第128页)
感谢您的阅读,祝您生活愉快。