IP地址理模式.docVIP

IP地址管理模式 　　摘要：在威海供电公司诸多局域网安全问题中，令网络管理员感到最头痛的问题就是IP地址的管理；怎样有效地管理整个网络系统的中IP地址，地址过多和怎么有效的分配这些IP地址，成为困扰在信息化建设中的问题。如果没有有效的管理，可能导致网络可用性和服务质量的下降，甚至网络的崩溃。本文将详细阐述目前存在的几种IP管理模式特点，并介绍应用新技术进行IP维护、安全准入管理模式以及利用交换机内部集成的安全特性，采用创新的方式在局域网上有效地进行IP地址管理。 中国论文网 /1/viewhtm　　【关键词】局域网 静态IP 地址 DHCP 智能IP 地址 管理 IP地址推送 　　在网络规划、IP地址分配设计方面，一个好的IP地址方案不仅可以减少网络负荷，还能为以后网络扩展打下良好的基础。 　　随着威海供电公司的网络规模逐步发展，在内网网络中目前也部署了较为完善的各种网络安全设备。在而在用户终端IP地址管理方面，日前采用传统的手工静态方式进行IP地址分配，IP地址管理较为繁琐，IP地址管理审计及访客IP授权控制方面更多是通过人工管理。 　　随着网络规模的扩大，而IP资源有限，像IP冲突，ARP干扰、新机器入网等问题会造成IP维护成本和维护难度的增加，有时候会导致整个网络瘫痪，因此IP地址的实名管理和准入控制，成为影响网络运行的一个非常重要的因素。 　　因此，如何维护一个稳固的人与IP的关系，实现智能实名制的IP分配管理审计是本文关注的主要问题。 　　1 几种IP管理模式的特点 　　1.1 手工管理模式 　　传统手工管理IP模式为网络管理员通过手工维护Excel表格或地址登记薄，利用简单PING命令来查询验证某IP地址是否有效使用，新分配IP后需手工更新Excel表格或地址登记薄。在接入端需手工配置静态IP地址。 　　这种IP管理模式，存在以下管理缺陷。 　　1.1.1 无法有效地避免IP地址冲突和非法设备接入 　　威海供电公司的内部网络都被设计成一个公用设施，其结果就是使今天大部分网络端口对于内部都处于“开放”状态。“开放”的网络和共享的资源可以很轻易地得到访问，只需要将一台非法电脑插入一个网络接口，按图索骥设置一个IP地址，即可开始使用网络资源.致使IP地址冲突成为随时会引爆的炸弹。而此种IP管理方式对于重点业务IP的保护手段几乎为零。 　　CSI/FBI计算机犯罪与安全调查显示，信息失窃已经成为当前最主要的犯罪。在造成经济损失的所有攻击中，有75%都是来自于内部。 　　在局域网内任何用户使用未经授权的IP地址都应视为IP非法使用。由于终端用户可以自由修改IP地址，改动后IP地址在局域网中运行时可能出现以下情况： 　　（1）非法IP地址：即IP地址不在规划的局域网范围内； 　　（2）重复IP地址：与已经分配且正在局域网运行的合法IP地址发生资源冲突，使合法用户无法上网； 　　（3）冒用合法用户IP地址：当合法用户不在线时，冒用其IP地址联网，使合法用户权益受到侵害； 　　（4）非法用户带来安全问题。无论是有意或无意地使用非法IP地址都可能会给信息系统带来严重的后果，如重复的IP地址会干扰、破坏网络服务器和网络设备正常运行，甚至导致网络不稳定，从而影响正常业务；拥有被非法使用的IP地址所拥有的特权，威胁网络安全；利用欺骗性的IP地址进行网络攻击，如富有侵略性的TCP SYN洪泛攻击来源于一个欺骗性的IP地址，它是利用TCP 3次握手会话对服务器进行颠覆的一种攻击方式，一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。 　　1.1.2 IP/MAC跟踪和准确定位功能欠缺 　　一旦出现IP地址被非法使用、IP地址冲突，或网络出现异常流量包括由于网络扫描、病毒感染和网络攻击产生的流量，为查找这些IP地址源头，一般采用如下步骤： 　　（1）确定出现问题IP地址； 　　（2）查看当前网络设备ARP表，从中获得网卡MAC地址； 　　（3）检查交换机MAC地址列表，确定机器位置。 　　这个过程往往要花费大量时间才能够定位机器具体连接的物理端口，而对于伪造的源IP地址要查出是从哪台机器产生的就更加困难了。如果不能及时对故障源准确地定位、迅速地隔离，将会导致严重后果，即使在网络恢复正常后隐患依然存在。 　　1.1.3 IP地址回收问题 　　显而易见，全手工管理IP地址的方式，会出现IP地址的回收问题。如果不通知网络管理员，科室自行撤销或报废网内设备，必然会出现IP地址不能及时回收而新增节点无lP可用的尴尬境况，使得有限的网络资源不能得到合理配置利用。 　　1.1.4 管理繁琐 　　为防止非法使用IP地址，增强网络安全，最常见的方法是采用静态ARP命令捆绑IP地址和MAC地址，从而阻