(国电电力发展股份有限公司和禹水电开发公司 辽宁本溪 117201)
关键词:信息系统;水电企业;网络安全
和禹公司局域网内包括核心交换机一台(cisco6506)、汇聚交换机一台(cisco4506)、接入交换机19台(cisco2900)等,PC终端近250台。由于办公地点分布广、PC终端多且PC机用户权限不同,因此就造成了盗用IP地址的情况。结合和禹公司此次网络标示规范及IP地址重新分配工作,我提出对公司办公系统用PC机进行MAC地址与IP地址绑定,从而解决IP地址盗用现象。作为此次工作的负责人,现将MAC地址与IP地址绑定在和禹公司网络中的应用总结如下:
一、调研、学习过程:
随着网络技术的飞速发展和应用日益普及。在给人们带来工作上的快捷和便利的同时,也出现了非法人员利用正常用户IP获取网络资源的现象。
1.1 MAC地址与IP地址
现行的TCP/IP网络是一个4层协议族结构,从下往上依次为链路层、网络层、传输层 和应用层。以太网协议是链路层协议,使用的地址是MAC地址。MAC地址是以太网网卡在以太网中的硬件标志,网卡生产时将其存于网卡的EPROM中。网卡的MAC地址各不相同,MAC 地址可以惟一标志一块网卡。在以太网上传输的每个报文都含有发送该报文的网卡的MAC地址。以太网根据以太网报文头中的源MAC地址和目的MAC来识别报文的发送端和接收端。MAC地址在设计初期是要求全球惟一的。IP协议应用于网络层,使用的地址为IP地址。使用IP协议进行通讯,每个IP报文头中必须含有源IP和目的IP地址,用以标志该IP报文的发送端和接收端。在以太网上使用IP协议传输报文时,IP报文作为以太网报文的数据。IP地址对于以太网交换机或处理器是透明的,用户可以根据实际网络的需要为网卡配置一个或多个IP地址,MAC地址和IP地址之间并不存在一一对应的关系。IP地址的修改非常容易,而MAC地址存储在网卡的EPROM中,且网卡的MAC 地址是惟一确定的。将内部网络的IP地址与MAC地址绑定。盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败。而且由于网卡MAC地址的惟一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。将MAC地址与IP地址的绑定运用于和禹公司局域网的安全管理不仅能针对具体的用户,还能针对具体的计算机硬件进行访问控制。
1.2 IP地址获得方法
要想绑定MAC地址与IP地址并用于和禹公司局域网的安全管理,首先获得IP地址是最重要的一步。由于和禹公司是采用静态IP地址,已经为每个合法用户规划好了IP地址和网络标示。
1.3 MAC地址的获得方法
MAC地址的获得则相对要复杂许多。一般可以有3种方式获得MAC地址。
第一种:通过ARP地址解析协议获得。ARP是将IP地址与网络物理地址一一对应的协议。他拥有一张ARP表,用于记录IP地址与MAC地址一一对应的关系。他的工作原理是:当传送过来的包要传向一个子网段的主机时,网关根据ARP程序找到与IP地址相对应的MAC地址。ARP程序先是在缓存里查找,若找不到,则在网上广播一个特殊格式的信息,看哪台主机知道与这个IP地址相对应的MAC地址。如果主机发现那个是自己的IP地址,则发送回应。这样通过刚才获得的IP地址和ARP协议即可得到需要的MAC地址。这种方法的缺点是ARP协议不是可路由的协议,所以无法获得不同网段的MAC地址。
第二种方法:通过SNMP简单网络管理协议获得。SNMP简单网络管理协议提供监视和控制网络设备、管理和配置网络、以及网络信息的统计收集、性能和安全的一种方式。几乎所有的TCP/IP协议都支持SNMP协议。一般的路由器要准确的投递网络数据包,必须拥有网络上最完整ARP地址识别表,该表存放于路由器上的SNMP MIB管理信息库中,所以可以由这些网络设备入手获取MAC地址。路由器中的路由表 MI B中就有网络中工作站IP地 址与 MAC地址的对应表,这种信息一般放 在树型结构的{1.3.6.1.2.1.3.1.1.2.0.0.1.47)位置中,比如:一个 IP地址为10.160.32.12的机器的MAC地址就存放在MIB表中{1.3.6.1.2.1.3.1.1.2.0.0.1.47}+{10.160.32.12}的这个位置上。这种方法可 以获得不同网段的MAC地址,但是如果路由器不带或不支持远程管理模式的话,也得不到想要的MAC地址。
第三种方法:通过核心交换机进行MAC地址查找,具体命令及方法见下图:
以查找一个合法的IP地址(10.160.32.12)为例:图中框内即为IP 10.160.32.12 的MAC地址。
二、具体实现
1、通过SNMP简单网络管理协议获得MAC地址的方式可以通过好几种方法来调用 SNMP代理,如用C++来调用WINT下SNMP自带的SNMP API FOR WIN32的动态链接库,还可以利用 SNM P PERL来编写CGI程序完成这种功能,也可以用SNMP JAVA程序来编写, SNMP JAVA程序类似于SNMP PERL程序,SNMP JAVA是JAVA程序类的扩展库,他提供了JAVA语言与SNMP代理接口的类库,使程序员够通过调用这个类库很容易地操纵SNMP代理,获取网络路由表中储存的网络设备的各种信息包括IP地址与 MAC地址映射表。
2、根据和禹公司局域网自身情况我们采取第三种方法来实现MAC地址与IP地址绑定,具体命令实现方法见下图:
三、访问控制的过程
当一个PC终端注册入网时,必须指明他所在的部门以及级别、级别代码等并进行否绑定主机IP地址和MAC地址。用户提交时,交换机端获得这些资料的同时获得用户主机的IP地址和MAC地址,并将这些数据插入数据库保存。管理员查看用户提交的相关数据,核实以后给用户发放相关的权限,比如文件的浏览权限和发布权限。用户得到权限以后就可以进行相关的操作了。在这里绑定主机IP地址和MAC地址好象没有必要,可是当非法的用户窃取了合法用户的IP地址以后,要想在其他的主机上登陆进行相关的操作是会被禁止的,因为你的IP地址和MAC地址不合法,即你使用的计算机是不合法的。
四、结束语
IP地址用户是可以随意修改的,因此网络上出现了许多IP地址被盗用的情况。在现实中,许多网络应用是基于IP的,比如流量统计、账号控制等都将IP地址作为标志用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户,网络上传输的数据就可能被破坏、窃听,甚至盗用,造成无法弥补的损失。而MAC地址存储在网卡的EPROM中,而且网卡的MAC地址是惟一确定的。将IP地址和MAC地址绑定以后,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败。而且由于网卡MAC地址的惟一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。即便是非法用户通过某种手段获得了合法用户主机的IP地址和MAC地址,利用专门的软件修改MAC地址,来假冒是合法的主机,也会因为地址上冲突而不能登陆网络。经一段时间的检测,证明了IP地址和MAC地址绑定符合和禹公司局域网安全的要求,从根本上解决了局域网内盗用IP地址的现象,确保了和禹公司局域网的安全稳定运行。
参考文献:
[1]《MAC地址与IP地址绑定在电子政务系统中的运用》
[2]《IP地址与MAC地址绑定方法的研究》
作者简介:王雷(1978—)男,吉林东丰县人,职称:工程师,研究方向:信息工程
论文作者:王雷
论文发表刊物:《电力设备》2019年第8期
论文发表时间:2019/9/15
标签:地址论文; 网卡论文; 绑定论文; 报文论文; 协议论文; 网络论文; 用户论文; 《电力设备》2019年第8期论文;