2007年第11期福建电脑
129
基于SNMP解决校园网IP地址管理问题
林泽东,刘伟科,范晓宁
(山东科技大学现代教育中心山东青岛266510)
地址盗用、摘要】【:针对校园网中大量IP地址冲突、ARP欺骗攻击等问题,通过对比几种现有的方法,提出了利用绑定和管理系统的解决方案。该方案经济实用并且已经在实际的环境中得SNMP技术构建了一个IP地址资源的自动分配、
到很好的检验和应用。
关键词】【:SNMP;ARP绑定;ARP欺骗;地址盗用;地址冲突随着校园网规模的不断扩大,校园网用户数量的逐步激增。
这一趋势给校园网的管理与维护带来了很多的压力。校园网管理问题中IP地址资源的管理问题是基本问题,也一直是网络管理工作中让管理员比较头痛的问题,而最近比较猖狂的ARP欺骗攻击使这一问题变得越发严重。因此,如何更加合理的分配IP地址资源、避免IP地址的冲突与盗用和预防ARP欺骗攻击成为一个急需待解决的问题。1.常用的IP地址资源管理办法1.1采用人工静态绑定技术
人工的静态绑定技术主要是在路由器或交换机上人为设置静态ARP表项来防止IP地址冲突问题。这种方法对于小型的网络还是比较方便的,但对于大型的网络,收集、维护合法的IP-MAC信息对于网络管理员是件麻烦事、容易出错而且效率不高。所以这种方法不灵活,效率不高。1.2采用DHCP技术
DHCP可以使网络上的客户机动态地获得配置信息,具有自动分配可用网络地址等功能。DHCP分配的地址可以保证网络中没有冲突的地址出现,但由于此协议的局限性也使得它在应用的时候出现很多问题:首先、DHCP服务器不能查出网络上非DHCP客户机已经使用的IP地址。如果网络中有用户使用了静态的IP配置,那么他可能与DHCP服务器分配信息相冲突;其次、是网络中的DHCP服务器之间是不通信的。使得冒充的DHCP服务器这一问题无法解决。
最新的DHCPsnooping和ARPinspection技术虽然解决了上述问题,但是对网络设备的IOS要求比较高,这不利于保护用户投资。
1.3采用802.1x协议认证
802.1x协议是一种基于端口的网络访问控制协议。802.1x认证体系结构包括请求者、认证者和认证服务器。认证过程中,请求者发起认证请求,认证者负责对请求者进行认证,它通常是支持802.1x协议的网络设备(例如交换机和AP),认证服务器负责提供认证服务。只有认证通过后请求者所连接的端口才开放,网络资源对请求者可见,否则不可见。目前,802.1x的优势和安全性很大程度上依赖于私有拨号客户端。如果一旦客户端被破
这种认证同样要求用户解或者被伪造,则很多功能将形同虚设。
接入设备都必须支持802.1x协议。2.本方案的技术原理
目前大多数的校园网都是按照核心层、汇聚层、接入层三层结构来设计的,而在汇聚层设备上通常都维护着在线用户的ARP(IP-MAC)信息。本方案就是一个自动维护数据库与汇聚层设备上合法用户IP-MAC信息库的过程。程序周期性地读取汇聚层设备上在线用户的ARP信息,通过把这些信息与合法用户信息库中的记录进行对比来判断用户合法性。如果两者中的IP和MAC只有一个不同则认为是非法用户,否则认为是合法用户。对于合法用户的信息可以更新或添加到数据库中,而对于非法用户可以通过向其发送ARP欺骗包阻止其使用网络。其工作原理如图1所示。
3.本方案的功能模块组成
本方案主要包括参数配置、数据采集、数据处理及Web自助四个模块。
3.1参数配置模块
这个模块主要的功能是设置系统运行所需的参数。参数主要包括汇聚层设备读、写共同体名,连接数据库的帐户和密码,合法信息库中IP-MAC记录的超期周期,在线用户ARP信息采集周期等。3.2数据采集模块图1技术原理流程图
这个模块主要的功能是根据参数配置模块设置的采集周期等信息,利用SNMP协议,通过对汇聚层设备上的ipNetToMedi-aTable表进行读取,得到当前设备上在线用户的ARP数据信息。
3.3数据处理模块
这个模块是整个系统的核心。它主要对采集到的数据与合法信息库的数据进行分析比较,判断ARP信息是否合法,并根据分析结果采取一些处理动作。此模块主要包括合法性分析、分析结果处理和合法信息库维护。
(1)合法性分析
合法性分析根据被分析数据中的IP-MAC和合法信息库中IP-MAC的比较关系的不同来判断被分析IP-MAC的合法性。其可能的情况有很多中如表1。
表1:对比结果表
(2)分析结果处理
合法信息库中每条记录主要包括三个字段:IP、MAC、时间戳。记录中IP和MAC分别是一个合法用户对应的IP地址和MAC地址。时间戳记录的是这条IP-MAC信息被使用的最近时间,是决定记录是否有效的关键,也是数据表的关键字段。
合法性分析产生了四种情况,对于第一种情况的处理只是用系统的当前时间戳更新此IP-MAC记录的时间戳字段。对于第四种情况,说明是有新的用户使用了新的IP地址,要将此新的IP-MAC添加到合法信息库中并更新时间戳。然后通过对ipNetToMediaTable进行写操作将IP-MAC绑定到汇聚层设备上,这样既可以防止非法用户使用此IP地址又可以有效防止一些ARP欺骗。而对于不合法情况,则通过向非法用户发送伪造的欺骗性的ARPReply包阻止其继续使用网络。
(3)合法信息库维护
分析处理结果部分在对每个IP-MAC进行处理时,已经对合法IP-MAC记录的时间戳进行了更新。合法信息库维护就是删除合法信息库中超期的无用的记录,保证信(下转第128页)