基于SNMP解决校园网IP地址管理问题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2007年第11期福建电脑
基于SNMP解决校园网IP地址管理问题
林泽东,刘伟科,范晓宁
(山东科技大学现代教育中心山东青岛266510)
【摘要】:针对校园网中大量IP地址冲突、地址盗用、ARP欺骗攻击等问题,通过对比几种现有的方法,提出了利用SNMP技术构建了一个IP地址资源的自动分配、绑定和管理系统的解决方案。该方案经济实用并且已经在实际的环境中得到很好的检验和应用。
【关键词】:SNMP;ARP绑定;ARP欺骗;地址盗用;地址冲突
随着校园网规模的不断扩大,校园网用户数量的逐步激增。这一趋势给校园网的管理与维护带来了很多的压力。校园网管理问题中IP地址资源的管理问题是基本问题,也一直是网络管理工作中让管理员比较头痛的问题,而最近比较猖狂的ARP欺骗攻击使这一问题变得越发严重。因此,如何更加合理的分配IP地址资源、避免IP地址的冲突与盗用和预防ARP欺骗攻击成为一个急需待解决的问题。
1.常用的IP地址资源管理办法
1.1采用人工静态绑定技术
人工的静态绑定技术主要是在路由器或交换机上人为设置静态ARP表项来防止IP地址冲突问题。这种方法对于小型的网络还是比较方便的,但对于大型的网络,收集、维护合法的IP-MAC信息对于网络管理员是件麻烦事、容易出错而且效率不高。所以这种方法不灵活,效率不高。
1.2采用DHCP技术
DHCP可以使网络上的客户机动态地获得配置信息,具有自动分配可用网络地址等功能。DHCP分配的地址可以保证网络中没有冲突的地址出现,但由于此协议的局限性也使得它在应用的时候出现很多问题:首先、DHCP服务器不能查出网络上非DHCP客户机已经使用的IP地址。如果网络中有用户使用了静态的IP配置,那么他可能与DHCP服务器分配信息相冲突;其次、是网络中的DHCP服务器之间是不通信的。使得冒充的DHCP服务器这一问题无法解决。
最新的DHCPsnooping和ARPinspection技术虽然解决了上述问题,但是对网络设备的IOS要求比较高,这不利于保护用户投资。
1.3采用802.1x协议认证
802.1x协议是一种基于端口的网络访问控制协议。802.1x认证体系结构包括请求者、认证者和认证服务器。认证过程中,请求者发起认证请求,认证者负责对请求者进行认证,它通常是支持802.1x协议的网络设备(例如交换机和AP),认证服务器负责提供认证服务。只有认证通过后请求者所连接的端口才开放,网络资源对请求者可见,否则不可见。目前,802.1x的优势和安全性很大程度上依赖于私有拨号客户端。如果一旦客户端被破解或者被伪造,则很多功能将形同虚设。这种认证同样要求用户接入设备都必须支持802.1x协议。
2.本方案的技术原理
目前大多数的校园网都是按照核心层、汇聚层、接入层三层结构来设计的,而在汇聚层设备上通常都维护着在线用户的ARP(IP-MAC)信息。本方案就是一个自动维护数据库与汇聚层设备上合法用户IP-MAC信息库的过程。程序周期性地读取汇聚层设备上在线用户的ARP信息,通过把这些信息与合法用户信息库中的记录进行对比来判断用户合法性。如果两者中的IP和MAC只有一个不同则认为是非法用户,否则认为是合法用户。对于合法用户的信息可以更新或添加到数据库中,而对于非法用户可以通过向其发送ARP欺骗包阻止其使用网络。其工作原理如图1所示。3.本方案的功能模块组成
本方案主要包括参数配置、数
据采集、数据处理及Web自助四个
模块。
3.1参数配置模块
这个模块主要的功能是设置系
统运行所需的参数。参数主要包括
汇聚层设备读、写共同体名,连接数
据库的帐户和密码,合法信息库中
IP-MAC记录的超期周期,在线用户
ARP信息采集周期等。
3.2数据采集模块
这个模块主要的功能是根据参数配置模块设置的采集周期等信息,利用SNMP协议,通过对汇聚层设备上的ipNetToMedi-aTable表进行读取,得到当前设备上在线用户的ARP数据信息。
3.3数据处理模块
这个模块是整个系统的核心。它主要对采集到的数据与合法信息库的数据进行分析比较,判断ARP信息是否合法,并根据分析结果采取一些处理动作。此模块主要包括合法性分析、分析结果处理和合法信息库维护。
(1)合法性分析
合法性分析根据被分析数据中的IP-MAC和合法信息库中IP-MAC的比较关系的不同来判断被分析IP-MAC的合法性。其可能的情况有很多中如表1。
表1:对比结果表
(2)分析结果处理
合法信息库中每条记录主要包括三个字段:IP、MAC、时间戳。记录中IP和MAC分别是一个合法用户对应的IP地址和MAC地址。时间戳记录的是这条IP-MAC信息被使用的最近时间,是决定记录是否有效的关键,也是数据表的关键字段。
合法性分析产生了四种情况,对于第一种情况的处理只是用系统的当前时间戳更新此IP-MAC记录的时间戳字段。对于第四种情况,说明是有新的用户使用了新的IP地址,要将此新的IP-MAC添加到合法信息库中并更新时间戳。然后通过对ipNetToMediaTable进行写操作将IP-MAC绑定到汇聚层设备上,这样既可以防止非法用户使用此IP地址又可以有效防止一些ARP欺骗。而对于不合法情况,则通过向非法用户发送伪造的欺骗性的ARPReply包阻止其继续使用网络。
(3)合法信息库维护
分析处理结果部分在对每个IP-MAC进行处理时,已经对合法IP-MAC记录的时间戳进行了更新。合法信息库维护就是删除合法信息库中超期的无用的记录,保证信(下转第128页)
图1技术原理流程图
129
2007年第11期
福建电脑文档中的,在组卷时,由VBA程序自动给单题WORD文档加入透明的外框表格。WORD表格具有不交错的特性,并可设置单行表格禁止跨页显示的属性见程序最后一行。因而有效地解决了各种错位跨页现象。
ow.Selection.TypeParagraphotemp=ow.Selection.Range
ow.ActiveDocument.Tables.Add(otemp,1,1,1,0)ow.Selection.SelectRowWithow.Selection.Cells.Borders(-2).LineStyle=0.Borders(-4).LineStyle=0.Borders(-1).LineStyle=0.Borders(-3).LineStyle=0.Borders(-7).LineStyle=0.Borders(-8).LineStyle=0.Borders.Shadow=.F.EndWith
Ow.Selection.Tables(1).Rows.AllowreakAcrossPages=F
5.6组卷流程
详见图3组卷流程图。
图3试卷生成流程图
5.7试卷的浏览和打印
生成的试卷是标准的WORD文档。对于教师用户不需学习
就能完成浏览和打印操作。
5.8相关源码
本软件源码量较大,无法摘录。故提供源码交流信箱:"LYHHYL@TOM.COM",感谢专家批评与指导。
6.结束语
本系统取土力学组卷为例,应用了VBA技术控制WORD的自动组卷,应用OLE技术较好解决了二次修改附图的问题。本软件是基于WORD的二次开发,教师不需要培训就能熟悉掌握,因此易用性良好。借助WORD二次开发的组卷思想可以推广到工程类大多数课程的自动组卷中,应用前景良好。
参考文献:
1.张义良.基于遗传算法的智能组卷系统研究[J].萍乡高等专科学校学报,2006,6:37-39.
2.何小松.通用试题库管理系统的开发与研究[J].淮南师范学院学报,2003,3:50-51.
3.唐晓初、
张旭、张燕.工程制图试题库建设使用发展历程[J].化工高等教育,2003,1:70-71.
4.骆惠清.基于C/S和B/S混合结构的VFP考试系统[J].郑州轻工业学院学报:自然科学版,2005,20(4):50-51,54.
5.田雨.高等教育试题库建设及图学类试题库发展概况[J].工程图学学报,2000,21(4):19-143.
6.张国珠、
戴时超.工程制图试题库开发中的关键问题的探讨[J].微型电脑应用,2000,16(1):59-63.
7.王世华.工程试题库的研制[J].水利科技.2001,1:50-51.
8.林丕源.VBA在Word文档中的应用[J].现代计算机,2001,9:85-89.9.雷霖等.基于OLE自动化技术的通用试题库管理系统[J].电子科技大学学报,2000,1:106-108.
10.郭津津、
王收军.试题库系统的开发[J].天津理工学院学报,2001,17(1):59-62.
息库的准确性。如果一个记录的时间戳落后当前时间已经超过了参数设置模块中设置的IP-MAC记录超期周期,那么这条记录就应该被从合法用户信息库中删除,同时这条IP-MAC绑定也要从汇聚层设备中删除。3.4Web自助模块
对合法信息库的维护不仅可以通过程序自动的进行,还可以通过广大用户主动地进行。通过向用户提供友好的Web管理界面,用户可以自行进行IP-MAC记录的申请、查询、注销等管理任务。既提高了网络管理人员的工作效率,又方便了用户的自行管理。4.讨论
系统参数的设置对网络设备以及系统运行的稳定性等会产生一定的影响。例如,如果采集模块的采集周期设置的太短,会对汇聚层设备产生压力。IP-MAC记录超期周期如果设置不合理也会使得合法信息库的准确性受到影响。
本系统实现中将合法用户信息的IP-MAC绑定到汇聚层网络设备上。因此,对此设备的ARP表的容量有一定的要求,这
依赖于有多少记录要被绑定。5.结束语
本文针对目前校园网中出现的IP地址冲突、
盗用、难于管理等问题,提出了基于SNMP的解决方案。本方案具有配置简单、用户投资少、实现简单、维护工作量小等特点,并在实际的环境中得到了很好的应用,具有一定的实用价值。
参考文献:
1.王松,周靖,孟纯城,译.网络管理[M].北京:清华大学出版社,2003.2.岑贤道,安常青.网络管理协议及其应用开发[M].北京:清华大学出版社,1998.
3.李霞,胡伟.基于SNMP的IP地址盗用解决方案[J].绵阳师范学院学报,2005,(2):30-32.
4.张远明,等.解决校园网中IP地址盗用问题的技术[J].吉林大学学报,2006,44(4):616-620.
5.张志军,等.基于SNMP协议的校园网IP管理与防盗系统的实现[J].现代计算机,2002,(5):35-38.
(上接第129页)
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
128