校园网络IP地址有效管理的策略研究.rtf

校园网络ip地址有效管理的策略研究 摘要 随着校园网的迅速普及，在网络管理中，越来越多的网络安全问题显露出来。本 文主要针对 ip 地址被盗用和 ip 地址冲突等相关问题，以我校实际经验，对 cisco 交换 机ip地址和mac地址、交换机端口和mac地址的绑定进行探讨，以有效解决此类问题。 关键词 校园网 ip地址 mac地址 绑定 目前，许多学校已经建成校园局域网，并与 internet 网互联互通。这给老师、学生的 工作学习带来了诸多方便，但是随之而来的，也产生了许多问题。首先，校园网络设备 均由电脑销售厂商安装，只要硬件设备安装到位，接着植入操作系统和一些应用软件， 然后就是告诉教师一些简易的使用方法，交易就算完成。至于系统的安全性如何，无可 奉告。其次，学校不会花钱请专业人员负责系统的管理和维护，留下许多漏洞，致使网 络病毒通过伪造ip 地址和 mac 地址实现arp 欺骗进行 arp 攻击，造成局域网崩溃。 再者，部分教师或学生乱改ip 地址或盗用 ip地址，导致校园网内经常产生 ip冲突， 致使其他电脑不能正常上网；许多教师大量使用 p2p 之类的下载软件（bt、emule电驴、 迅雷等），每天高流量、长时间地下载各类视频节目等，造成网络堵塞；更有甚者，个 别师生喜好黑客技术，把校园网络当成操练的场所，随意攻击网络设备、攻击网络用户 类似的网络问题举不胜举，严重影响了校园网络的正常运行，给校园网络的安全带 来极大的隐患。 在现有的网络设备中，不同厂家、不同品牌的交换机，如果能进行命令配置管理， 其采用的“命令集”基本上都是和“cisco 命令集”相同或类似。显而易见，“cisco 的命令集”是一种无形的网络设备命令标准，具备一定规模的局域网无一例外地都会或 多或少地采用 cisco 交换机和与之兼容的交换机。目前，这些可以“进行命令配置、进 行命令管理”的交换机，都可以通过 ip、mac 地址及交换机端口的绑定，避免 ip 地址 mac 地址被随意修改、肆意盗用，从而破解校园网络的管理难题，切实有效的保障校园 网络的安全高效运行。 令人担心的是，现在许多学校的网络管理教师，基本上都是属于“半路出家”，网 络技术水平参差不齐，难以对校园网络进行有效管理。而且，许多计算机图书和网上的 文章、教程，虽然详细地介绍了交换机中 ip、mac 地址、端口绑定，但是实际中的网络 问题是多种多样的，这些方法基本上不能借鉴，更不能依样画葫芦，照搬照用。有些文 章、教程根本就只是理论上的方法，实际上是一点都行不通的；再或者只讲对了一半， 还得补充一下才能使用；所以校园网络管理教师对此力不从心，难以实施 ip、mac 地址、 端口绑定，校园网络安全管理自然是无从谈起。 为使大家能少走歪路，就此把实用、简洁、高效的绑定方法介绍给大家。文中就以 我校局域网为例，针对我校 cisco 的交换机的配置情况介绍一下 ip、mac 地址及交换机 端口绑定的设置方案。 一、明确校园网络拓扑结构 本校有 1 台 cisco3550 交换机，7台cisco2950 交换机及若干普通的交换机。cisco3550 上连教科网，下接7 台cisco2950 交换机，cisco2950 下接d-link 交换机。如下图 二、设定vlan，规划 ip地址 1 1统一计算机的命名，统一计算机的命名，设定设定vlanvlan 的范围，的范围，指定指定ipip地址地址。 根据用户的类别统一命名计算机，划分不同的 vlan，并指定 ip地址。这样一看机 器名，就知道是谁在使用机器，是归属于哪个 vlan，便于管理。比如 11 号教师机，我 们就将其命名为“tea11”，划分到 vlan400，指定ip 地址为 10.61.25.11。这样，统一规 划后，建立相应的表格。 2 2记录计算机的记录计算机的macmac地址，建立地址，建立ipip地址与地址与macmac地址、端口对应表。地址、端口对应表。 我们知道，在 ms-dos 方式下键入命令“ipconfig/all”就可以获得本机 ip 地址和 mac 地址（windowsxp 系统下）。我们可以将此方法公布一下，然后要求相关用户将本 机 mac 地址抄录上报到网管中心，再进行登记汇总。也可在设定机器名和 ip 地址时一 并记录好。 当然，网络管理员也可以利用 nbtstat 命令来远程获得指定机器的 mac 地址。在 ms- dos 方式下键入命令“nbtstat -a 远程计算机名”，即可获得指定机器的 ip 地址和 mac 地址。还可以借助其它网络网络工具软件，进行远程批量获取机器的 ip地址和 mac 地址。 3 3、明确每台机器计算机所连的交换机地址和端口号等数据。、明确每台机器计算机所连的交换机地址和端口号等数据。 根据不同计算机的物理接入位置，明确每台计算机接入的交换机地址，并为每台计 算机分配一个交换机端口，记录下对应的端口编号。 经过以上三个步骤，建立“网络地址分配详案”表（举例见下表）。表格可以使用 excel，这样比较方便。 网络地址分配详案 序号房间名交换机端口vlan计算机名mac 地址ip 地址 1三年级办 110.1.1.6fa0/2vlan400tea110013.d35b.e52b10.61.25.11 2三年级办 210.1.1.6fa0/8vlan400tea120012.d350.eb0e10.61.25.12 3学生机房 110.1.1.7fa0/11vlan200stu10011.d351.eb0e10.61.30.1 4图书室10.1.1.8fa0/3vlan100book50014.d351.ea0e10.61.28.5 5科技中心 6信息中心 三、按表实施，批量绑定。 1、注意点 （1）cisco29 系列交换机可以做基于 2 层的端口安全，即 mac 地址与端口进行绑定。 （2）cisco3550 以上交换机均可做基于 2 层和 3 层的端口安全，即 mac 地址与端口绑 定以及mac 地址与 ip 地址绑定。 2、绑定的具体步骤 （1）第一步：mac地址与交换机端口绑定 （这里以 cisco2950 为例） 方法1： 格式：mac-address static (mac) vlan (vlan id) int (端口号) 实例：cisco2950(config)#mac-address static 0013.d35b.e52b vlan 400 int fa0/24 说明： a、这个网卡地址为 0013.d35b.e52b 的电脑与 fa0/24 端口绑定，只能使用 f0/24 端口。 但是，其它没有绑定过网卡地址的电脑还是能使用 fa0/24 端口。 b、这样逐一将每个端口与相应的计算机 mac 地址绑定，保存并退出。 方法2： 格式： interface interface-id /进入接口子配置模式 switchport mode access /定义接口为主机端口而不是中继端口 switchport port-security /启用端口安全措施 switchport port-security violation protect|restrict|shutdown /指定出现安全违规时应该发生的事 switchport port-security mac-address sticky /启用粘性学习特性 switchport port-security mac-address sticky mac(主机的 mac 地址) /为端口输入特定的允许通过的mac 地址 实例： cisco2950(config)#int fa0/24 cisco2950(config-if)# switchport mode access cisco2950(config-if)#switchport port-security cisco2950(config-if)#switchport port-security violation protect cisco2950(config-if)#switchport port-security mac-address sticky cisco2950(config-if)#switchport port-security mac-address sticky 0013.d35b.e52b 说明： a、这个 fa0/24 端口只能给网卡地址为 0013.d35b.e52b 的电脑所用，其它电脑无法使 用这个端口。但是，这个网卡还能使用其它的没有被绑定的端口。 b、网线接在哪个交换机，就在哪个交换机上进行配置。 c、以上两种方法可以任选一个，但笔者认为还是第一种比较简洁一点。 （2）第二步：mac地址与 ip地址的绑定。 mac 地址与交换机端口绑定后，可以通过更改新接入计算机网卡的 mac 地址，进行 破解。我们如果把mac 地址和 ip 地址也进行绑定，那么 ip 就不可能被盗用了。 mac 地址与 ip 地址绑定基本原理：在交换机内建立 mac 地址和 ip 地址对应的映射表。 端口获得的 ip 和 mac 地址将匹配该表，不符合则丢弃该端口发送的数据包。 实现方法：在三层交换机中进行配置，这里以 cisco3550 为例。 格式：arp ip mac arpa 实例：cisco3550(config)#arp 10.61.25.9 0013.d350.4b9e arpa /这样就将10.61.25.9 与 mac: 0013.d350.4b9e 绑定在一起了 说明： a、需要将网段内所有 ip 都建立 mac 地址映射，没有使用的 ip 地址可以与 0000.0000.0000 建立映射。否则该绑定对于网段内没有建立映射的ip地址无效。 例如：下面把 ip 地址为 10.61.25.18 与 mac 地址为 0013.d35b.e52b 绑定，即 这个 ip 地址只能被这个网卡使用，其它网卡均不能使用，也不能使用其它的 ip 地址。 （但 如果没有把所有的 ip 地址与网卡地址绑定的话，那么这台电脑可以使用其它可用 的ip 地址。） cisco3550(config)#arp 10.61.25.2 0000.0000.0000 arpa cisco3550(config)#arp 10.61.25.3 0000.0000.0000 arpa cisco3550(config)#arp 10.61.25.18 0013.d35b.e52b arpa cisco3550(config)#arp 10.61.25.19 0000.0000.0000 arpa cisco3550(config)#arp 10.61.25.251 0000.0000.0000 arpa cisco3550(config)#arp 10.61.25.252 0000.0000.0000 arpa cisco3550(config)#arp 10.61.25.253 0000.0000.0000 arpa cisco3550(config)#arp 10.61.25.254 0000.0000.0000 arpa b、如果在交换机上使用的命令比较多的话，由于交换机的性能问题，使后加的一些 命令不能输入，这时你要删除一些多余的命令，并使命令精简一些。 四、管理便捷，安全实效 在上述步骤完成后，校园网内所有的计算机都实现了绑定：即每台计算机的 mac 地 址与所分配的 ip 地址、所连接交换机的端口都一一对应起来了，三个条件中只要有一个 不符合要求，交换机端口就会自动屏蔽，不能上网。 比如从家里带来的笔记本电脑，要在学校上网，就必须通过申请，让网络管理员分 配一个合法的 ip 地址，指定一个合法的端口，才能通过安全验证，否则就不能连接网络。 这样就有效的必免了外来计算机给校园网络带来的安全隐患。 平时，一旦出现网络攻击，就可以迅速定位，查清攻击源头。网络病毒再也无法通 过伪造ip 地址和 mac 地址实现arp 欺骗进行 arp 攻击，确保网络的正常运行。 同时，对于大量 p2p 软件的下载，在 ip地址、mac 地址和交换机端口三者绑定的基 础上，实施流量限速，给网络中的所有计算机分配一定的带宽，完