荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: hellsolaris (qq), 信区: Security
标 题: 一篇防盗用ip的文章(转载)
发信站: 荔园晨风BBS站 (Sat Oct 25 18:53:15 2003), 站内信件
用虚网技术防止IP盗用
(作者:李绪忠、陈晓斌、梁娟娟、冯国义 2001年01月18日 10:45)
许多网络设备都支持虚网功能,这个功能并不是说说而已的,它有许多实际用处。
比如:中科院广州分院就是利用VLAN解决了令所有网管员头疼的IP地址管理问题。
作为中科院中国科技网(CSTNET)的二级节点,广州分院网络中心于1998年初完成
设备安装,并投入运行。随着接入的用户单位增多和网络应用的开展,在管理中碰到了
不少问题,尤其是对防止某些用户使用未授权IP地址上网这方面,一直没有有效预防措
施,网管人员为此花费了不少精力。以前曾想在边界路由器上做IP-MAC绑定,但出于网
络整体安全角度考虑,CSTnet的边界路由器管理权归院网络中心,如果作为二级节点的
广州分院网把IP-MAC绑定在边界路由器上,将不利于网络监控及管理,使院网络中心对一
些突发事件无法作出快速反应。因此该方案实际并不可行,解决问题只能在广州分院网
络中心设备上着手,使用虚网技术是一个很好的办法。
广州分院网络中心拓扑图
广州分院网络中心设备的主交换机、路由器为思科公司的Catalyst 3200及Cisco 4
500。
由于4500只配高速口f0,其余为串口,使得边界路由器Cisco 2514只能接入Cataly
st3200,和所有局域网形成“平构式”结构,对防止IP盗用问题有些先天不足。
其实,Cisco产品的虚网功能完全可以被利用来解决这一问题。从分析Catalyst 32
00虚网功能上可见,除了其本身的优点外,Catalyst 3200交换机与Cisco 4500路由器的
高速口支持ISL(InterSwitch Link)及VTP(VLAN Trunk Protocol),这对强化网络管理
提供了有力的技术保证。通过对Catalyst 3200的端口进行虚网设置,再根据网络用户所
在的物理位置、工作性质、网络通信负载均衡原则,把所有网络用户纳入不同虚拟子网
,各子网通过Catalyst 3200与Cisco 4500的高速口连接,再把IP-MAC绑定在Cisco 4500
上就可能达到预期目的。
虚拟子网VLAN的配置
首先,经超级终端进入Catalyst 3200控制台,进入“Set VTP And···· ”,选
“VTP Administration Configuration”,设置VALN管理域名为“Gietnet”、VTP方式
为“Server”。
第二步,设置VLAN及Trunk,将所有子网的交换机、Hub上连至Catalyst 3200的10M
或100M口,将这些端口进行虚网划分如表一。
表一 子网号
子网ip及路由口
3200端口
子网名
2
192.168.111.0 192.168.111.1
1,17,15
vlan1
3
192.168.111.64 192.168.111.65
6,7,8
vlan2
4
192.168.111.128 192.168.111.129
9,11,3
vlan3
catalyst 3200的19口被指定为trunk口与cisco 4500的f0连接
从控制台的Configuration项选定“Local VLAN Prot Configuration”,进行VLAN
及Trunk口的指定,并把所有的3个VLAN填入Trunk口的配置单中,最后显示如表二。
表二local vlan prot configuration prot
mode
vlan name
1
static
vlan1
2
static
default(未用)
3
static
vlan3
●
●
●
●
7
static
vlan2
8
static
vlan2
9
static
vlan3
10
static
default(未用)
11
static
vlan3
●
●
●
●
19
trunk
default vlan1 vlan2 vlan3
把Cisco 4500的f0口按子网数“分割”成相应的“子口”, 根据其设置的ISL(In
terSwitch Link)号,与相应子网进行逻辑连接。在本例中,f0被分割为f0.1、f0.2、f
0.3与VLAN1、VLAN2、VLAN3连接,其配置命令如下:
router(config)#int f0.1
router(config-subif)#Description VLAN1_GIET
router(config-subif)#ip address 192.168.111.1 255.255.255.192
router(config-subif)#encapsulation isl 2 .
router(config)#int f0.2
router(config-subif)#Description VLAN2_gzbnic
router(config-subif)#ip addess 192.168.111.65 255.255.255.192
router(config-subif)#encapsulation isl 3
设置完毕,再请北京网络中心把边界路由器中有关子网路由项全部指向Cisco 4500,
用户的网关按其子网路由器地址设定。
为强化网络管理,防止IP盗用,在Cisco 4500路由器上建立ARP表,将所有子网的I
P地址与相应的用户网卡MAC地址进行绑定,对于未用的IP地址也进行绑定,如:
当注册网络用户需更换网卡时,需得到网管人员的确认、同意,使非法盗用无法进
行;另外可按具体情况设置访问控制列表等安全管理措施(如配合Proxy Server的IP a
ccess list设置)。
ARP 192.168.111.130 0800.3c5d.419f ARPA (已分配的IP有网卡地址)
ARP 192.168.111.169 0000.0000.0000 ARPA (未分配的IP无网卡地址)
系统特点
经过虚网设置和IP-MAC绑定结合, 目前,网络系统具有如下优点:
1) 发挥出VLAN的优势,改变了网络结构,合理分配网络资源,均衡网络负载,有效
降低网上广播信息,方便对用户的分组管理。
2) 增强了网络安全性。由于网络中各子网相互隔离,网络通信限制在子网内,子网
间的交通或出境的通信全部通过其相应的路由端口,加强了Cisco 4500对全网的控制能力
,并由4500上的ARP表进行用户IP地址的合法性核查。
3) 强化了网络管理。如2)所述,由于虚网的配置加上Cisco 4500的IP-MAC的匹配检
查,使得即使想盗用IP地址,其通信也只限于本子网内,活动范围大大减小,被当场抓获
可能性加大;Cisco 4500上的IP-MAC的匹配核查,使得对有计费记录的IP地址无法盗用
,从而提高了计费合理性和网络管理、控制能力。
----------------------------------------------------------------------------
----
名词解释
1)VLAN Trunk Protocol(VTP):用VTP设置和管理整个域内的VLAN,在管理域内V
TP自动发布配置信息,其范围包括所有TRUNK连接,如交换互连(ISL)、802.10和ATML
AN(LANE)
当交换机加电时,它会周期性地送出VTP配置请求,直至接到近邻的配置(summary
)广播信息,从而进行结构配置必要的更新。
交换机的VTP配置有三种模式:服务器、客户和透明模式。
2)ISL Trunk
ISL中继不同的VLAN多路包,包头带有“ISL VLAN数”标志(VTP VLAN ID)。
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.223]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店