局域网上若有两台主机IP地址相同,则两台主机相互报警,造成应用混乱。因此,IP地址盗用成了网管员最头疼的问题。当几百台、甚至上千台主机同时上网,如何控制IP地址盗用?
引入问题
对于集团用户而言,多数都用专线方式接入互联网。网络治理部门在规划的网段中,为注册用户分配并制定了相应的网络IP地址资源,以保证通信数据的正常传输。这里,静态的IP地址是必不可少的配置项目之一,它享有“网络通信身份证”的特权。网络治理员在配置IP地址资源时,对其正确性有非凡的要求,表现在下面两个方面:分配的地址应在规划的子网网段范围内;分配的IP地址对任何联网的主机必须是惟一的,即无二义性。
在实际中,网络治理员为入网用户分配和提供的IP地址,只有通过客户进行正确地注册后才有效。 这为终端用户直接接触IP地址提供了一条途径。由于终端用户的介入,入网用户有可能自由修改IP地址。改动后的IP地址在联网运行时可导致三种结果:1.非法的IP地址,自行修改的IP地址不在规划的网段内,网络呼叫中断;2.重复的IP地址,与已经分配且正在联网运行的合法的IP地址发生资源冲突,无法链接;3.非法占用已分配的资源,盗用其它注册用户的合法IP地址(且注册该IP地址的机器未通电运行)联网通讯。前两种情况可被网络系统自行识别而屏蔽,导致运行中断,第三种情况操作系统则不能有效判别。假如系统治理员未采取防范措施,第三种情况将涉及到注册用户的合法权益,危害很大。
工作原理
TCP/IP协议模型由四层结构组成。其中的网络接口层位于网络层与物理层之间,由NIC和设备驱动程序组成。该层上的数据可以通过单一而特定的网络被发送和接受。这种单一性和特定性由NIC的物理地址MAC决定。每个Ethernet NIC厂家的MAC都必须严格遵守IEEE组织的规定,保证世界上任何NIC的MAC都是惟一而无二义性的。因此,MAC固化在每个NIC中,且只被授予访问权限。
在Ethernet中,MAC地址存在于每个Ethernet包的头部,Ethernet交换设备依据Ethernet包头中的MAC源地址和MAC的目的地址实现数据包的交换和传输。
网络层在把高层协议中的网络地址转换成Ethernet、FDDI、Token Ring等协议使用的地址时,需要将IP地址映射到物理接口,以实现网络节点间的通讯。为实现这种映射,TCP/IP协议族在网络接口层中提供地址解析协议(ARP),实现将IP地址转换成硬件地址。在网络通信时,提出硬件地址解析请求的机器会发送广播报文给本网中其它联网的机器,其中与目标IP地址匹配的机器,会响应地址解析请求,将其硬件地址返回给源机器。而网络中的其它机器则不响应此请求,但它们监听这些请求数据包,并将源机器的IP地址及硬件地址记录存入。值得注重的是:ARP的运行机制具有动态的特点,当IP地址和硬件地址随时间的推移发生变化时,能及时地提供修正。
实际中,用户因某种原因有改动客户端的IP地址和更换网络适配器的可能性。这种改动有时具有随意性,尤其当这种改动不在网络治理员的监控之内时,将直接影响网络IP地址的治理、通信流量的计算等网络资源环境的安全运行。为了有效地防止和杜绝这类问题的发生,保证IP地址的惟一性,网络治理员必须建立规范的IP地址分配表、IP地址和硬件地址(MAC)登记表,并且做到完备备案。
解决途径
可以通过下面三种方法制定相应的IP地址治理措施和对策,来监测和防止IP地址的随意改动问题,提高网络治理的科学性和安全性。
方法1:利用UNIX、Windows系统提供的ARP功能,定时收集信息,定向输出存入数据库或文档文件,形成实时的IP地址与网卡硬件地址的对应表。并结合编写查询程序实现与历史纪录自动排查,确定问题的发生点及原因。
方法2:利用网络交换设备的网络治理功能,完善检测手段,提高网络故障的清查能力。目前有许多种网络交换机内置网络治理功能。如3Com SUPERSTACK II系列交换机,具备寻找IP地址设置冲突对应交换机端口的功能,可以迅速准确地定位和查找故障主机点。
方法3:根据接入互联网Internet的IP地址治理是通过IP地址分配和路由器的配置来实现的原理,可以通过设置静态路由表,完成IP地址和硬件地址的严格对应,保证已分配IP地址的完全惟一性。
三种方法比较
方法1 无需借助额外的网络设备,检测结果需人工判读,对非冲突、非分配IP地址的故障处理具有一定的滞后性。
方法2 测效果快速准确。需要具有网络治理功能的交换设备,交换机自动跟踪IP冲突地址,监测冲突需要人工完成。对非冲突、非分配IP地址的故障处理具有一定的滞后性。
方法3 对接入Internet的IP地址治理效果明显。它能自动锁定任何非法IP地址的路由出口,使之仅能访问内部IP地址,运行于局域网内,并对非冲突、非分配IP地址的故障处理具有实时性。它还有效制止了非法IP地址用户的访问空间,保证了注册用户的合法权益,也给系统维护提供了更多的便利。
