基于SNMP解决校园网IP地址管理问题

２００７年第１１期福建电脑

１２９

基于ＳＮＭＰ解决校园网ＩＰ地址管理问题

林泽东，刘伟科，范晓宁

（山东科技大学现代教育中心山东青岛２６６５１０）

地址盗用、摘要】【：针对校园网中大量ＩＰ地址冲突、ＡＲＰ欺骗攻击等问题，通过对比几种现有的方法，提出了利用绑定和管理系统的解决方案。该方案经济实用并且已经在实际的环境中得ＳＮＭＰ技术构建了一个ＩＰ地址资源的自动分配、

到很好的检验和应用。

关键词】【：ＳＮＭＰ；ＡＲＰ绑定；ＡＲＰ欺骗；地址盗用；地址冲突随着校园网规模的不断扩大，校园网用户数量的逐步激增。

这一趋势给校园网的管理与维护带来了很多的压力。校园网管理问题中ＩＰ地址资源的管理问题是基本问题，也一直是网络管理工作中让管理员比较头痛的问题，而最近比较猖狂的ＡＲＰ欺骗攻击使这一问题变得越发严重。因此，如何更加合理的分配ＩＰ地址资源、避免ＩＰ地址的冲突与盗用和预防ＡＲＰ欺骗攻击成为一个急需待解决的问题。１．常用的ＩＰ地址资源管理办法１．１采用人工静态绑定技术

人工的静态绑定技术主要是在路由器或交换机上人为设置静态ＡＲＰ表项来防止ＩＰ地址冲突问题。这种方法对于小型的网络还是比较方便的，但对于大型的网络，收集、维护合法的ＩＰ－ＭＡＣ信息对于网络管理员是件麻烦事、容易出错而且效率不高。所以这种方法不灵活，效率不高。１．２采用ＤＨＣＰ技术

ＤＨＣＰ可以使网络上的客户机动态地获得配置信息，具有自动分配可用网络地址等功能。ＤＨＣＰ分配的地址可以保证网络中没有冲突的地址出现，但由于此协议的局限性也使得它在应用的时候出现很多问题：首先、ＤＨＣＰ服务器不能查出网络上非ＤＨＣＰ客户机已经使用的ＩＰ地址。如果网络中有用户使用了静态的ＩＰ配置，那么他可能与ＤＨＣＰ服务器分配信息相冲突；其次、是网络中的ＤＨＣＰ服务器之间是不通信的。使得冒充的ＤＨＣＰ服务器这一问题无法解决。

最新的ＤＨＣＰｓｎｏｏｐｉｎｇ和ＡＲＰｉｎｓｐｅｃｔｉｏｎ技术虽然解决了上述问题，但是对网络设备的ＩＯＳ要求比较高，这不利于保护用户投资。

１．３采用８０２．１ｘ协议认证

８０２．１ｘ协议是一种基于端口的网络访问控制协议。８０２．１ｘ认证体系结构包括请求者、认证者和认证服务器。认证过程中，请求者发起认证请求，认证者负责对请求者进行认证，它通常是支持８０２．１ｘ协议的网络设备（例如交换机和ＡＰ），认证服务器负责提供认证服务。只有认证通过后请求者所连接的端口才开放，网络资源对请求者可见，否则不可见。目前，８０２．１ｘ的优势和安全性很大程度上依赖于私有拨号客户端。如果一旦客户端被破

这种认证同样要求用户解或者被伪造，则很多功能将形同虚设。

接入设备都必须支持８０２．１ｘ协议。２．本方案的技术原理

目前大多数的校园网都是按照核心层、汇聚层、接入层三层结构来设计的，而在汇聚层设备上通常都维护着在线用户的ＡＲＰ（ＩＰ－ＭＡＣ）信息。本方案就是一个自动维护数据库与汇聚层设备上合法用户ＩＰ－ＭＡＣ信息库的过程。程序周期性地读取汇聚层设备上在线用户的ＡＲＰ信息，通过把这些信息与合法用户信息库中的记录进行对比来判断用户合法性。如果两者中的ＩＰ和ＭＡＣ只有一个不同则认为是非法用户，否则认为是合法用户。对于合法用户的信息可以更新或添加到数据库中，而对于非法用户可以通过向其发送ＡＲＰ欺骗包阻止其使用网络。其工作原理如图１所示。

３．本方案的功能模块组成

本方案主要包括参数配置、数据采集、数据处理及Ｗｅｂ自助四个模块。

３．１参数配置模块

这个模块主要的功能是设置系统运行所需的参数。参数主要包括汇聚层设备读、写共同体名，连接数据库的帐户和密码，合法信息库中ＩＰ－ＭＡＣ记录的超期周期，在线用户ＡＲＰ信息采集周期等。３．２数据采集模块图１技术原理流程图

这个模块主要的功能是根据参数配置模块设置的采集周期等信息，利用ＳＮＭＰ协议，通过对汇聚层设备上的ｉｐＮｅｔＴｏＭｅｄｉ－ａＴａｂｌｅ表进行读取，得到当前设备上在线用户的ＡＲＰ数据信息。

３．３数据处理模块

这个模块是整个系统的核心。它主要对采集到的数据与合法信息库的数据进行分析比较，判断ＡＲＰ信息是否合法，并根据分析结果采取一些处理动作。此模块主要包括合法性分析、分析结果处理和合法信息库维护。

（１）合法性分析

合法性分析根据被分析数据中的ＩＰ－ＭＡＣ和合法信息库中ＩＰ－ＭＡＣ的比较关系的不同来判断被分析ＩＰ－ＭＡＣ的合法性。其可能的情况有很多中如表１。

表１：对比结果表

（２）分析结果处理

合法信息库中每条记录主要包括三个字段：ＩＰ、ＭＡＣ、时间戳。记录中ＩＰ和ＭＡＣ分别是一个合法用户对应的ＩＰ地址和ＭＡＣ地址。时间戳记录的是这条ＩＰ－ＭＡＣ信息被使用的最近时间，是决定记录是否有效的关键，也 …… 此处隐藏：300字，全部文档内容请下载后查看。喜欢就下载吧 ……