校园网ip地址管理(共12篇)
校园网ip地址管理 篇1
摘要:局域网的一大特点就是拥有一定数量的终端用户。作为省属重点中学, 本人所在学校局域网的终端用户有600多个, 为了区分各类不同用户, 我们采用的是终端固定IP设置的方法。和其他许多学校的网管一样, 我们也一直被终端用户私改IP地址造成的网络冲突问题困扰着。
关键词:防火墙,ip地址,mac地址,arp协议,端口,绑定
本人采用了基于防火墙的IP地址与MAC地址绑定+基于交换机的MAC地址与端口绑定的二级管理方法, 双管齐下, 较好地解决了这个问题。现将实现方法阐述如下:
一、基于防火墙的IP地址与MAC地址绑定
1、根据用户的类别统一命名计算机, 并给定IP地址。
这样一看机器名, 就知道是哪个部门哪台机器, 便于管理。比如语文组1号机器, 我们就将其命名为“yuwen01”。
同时, 统一规划分配IP地址给每台终端机器, 并建立IP地址分配登记表。
江西省上饶县中学局域网ip地址管理登记表
序号机器名Ip地址Mac地址备注
01 Yuwen01 172.21.3.1 00-90-f5-d6-16-04
……………………
……………………
2、统计每个终端机器网卡的MAC地址, 建立IP地址与MAC地址对应表
我们知道, 在MS-DOS方式下键入命令“Winipcfg”就可以获得本机IP地址和MAC地址 (Windows 98系统下) ;在win2000系统下, 在“开始”菜单中的“运行”中键入“cmd”命令, 然后键入命令“Ipconfig-all”也可以获得本机IP地址和MAC地址 (如图1-1) 。我们可以将此方法公布一下, 然后要求相关用户将本机MAC地址抄录上报到网管中心, 再进行登记汇总。也可在设定机器名和IP地址时一并统计好。
3、将IP地址与MAC地址绑定
这要根据局域网接入互联网的方式不同而采用不同的办法。如果是采用代理服务器接入互联网, 那就使用命令:
ARP-s IP地址MAC地址
例:ARP-s 172.21.3.1-00-90-f5-d6-16-04
(1) 关于ARP协议
我们知道, 当我们在浏览器里面输入网址时, DNS服务器会自动把它解析为IP地址, 浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址 (即MAC地址) 的呢?在局域网中, 这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗, 能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议。
ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写。在局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址的。在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。
在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的。我们以主机A (172.21.3.1) 向主机B (192.168.1.1) 发送数据为例。当发送数据时, 主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了, 也就知道了目标MAC地址, 直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址, 主机A就会在网络上发送一个广播, 目标MAC地址是“FF.FF.FF.FF.FF.FF”, 这表示向同一网段内的所有主机发出这样的询问:“172.21.3.2的MAC地址是什么?”网络上其他主机并不响应ARP询问, 只有主机B接收到这个帧时, 才向主机A做出这样的回应:“172.21.3.2的MAC地址是00-aa-00-62-c6-09”。这样, 主机A就知道了主机B的MAC地址, 它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表, 下次再向主机B发送信息时, 直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制, 在一段时间内如果表中的某一行没有使用, 就会被删除, 这样可以大大减少ARP缓存表的长度, 加快查询速度。
(2) 如何查看ARP缓存表
ARP缓存表是可以查看的, 也可以添加和修改。在命令提示符下, 输入“arp-a”就可以查看ARP缓存表中的内容了, 如附图所示。
用“arp-d”命令可以删除ARP表中某一行的内容;用“arp-s”可以手动在ARP表中指定IP地址与MAC地址的对应。
这样, 就将静态IP地址172.21.3.1与网卡地址为00-90-f5-d6-16-04的计算机绑定在一起了, 即使别人盗用您的IP地址172.21.3.1也无法通过代理服务器上网。
如果是通过路由器直接接入互联网, 最好通过硬件防火墙来实现IP与MAC地址的绑定。此方法根据不同的防火墙具体设置, 这里就不一一说明。
到这里似乎可以大功告成了, 但事情并不像我们想象的那么简单。花了相当多的精力构筑起来的防线不到一个月就又冲突依旧了。原来, 有的终端用户通过修改注册表、下载专用小工具等方法, 没费多少力气就更改了本机的MAC地址, 甚至于将本机的MAC地址和IP地址改得和主服务器一模一样, 搞得局域网内又鸡犬不宁了。
二、基于交换机的MAC地址与端口绑定
1、什么是mac地址
MAC地址与IP地址有相同和相似的地方, 具体是在OSI (Open System Interconnection, 开放系统互连) 7层网络协议参考模型中 (如图) , 第二层为数据链路层 (Data Link) 。MAC地址也叫物理地址、硬件地址或链路地址, 由网络设备制造商生产时写在硬件内部。IP地址与MAC地址在计算机里都是以二进制表示的, IP地址是32位的, 而MAC地址则是48位的。MAC地址的长度为48位 (6个字节) , 通常表示为12个16进制数, 每2个16进制数之间用冒号隔开, 如:08:00:20:0A:8C:6D就是一个MAC地址, 其中前6位16进制数08:00:20代表网络硬件制造商的编号, 它由IEEE (电气与电子工程师协会) 分配, 而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品 (如网卡) 的系列号。只要你不去更改自己的MAC地址, 那么你的MAC地址在世界是惟一的。
2、MAC地址的作用
无论是局域网, 还是广域网中的计算机之间的通信, 最终都表现为将数据包从某种形式的链路上的初始节点出发, 从一个节点传递到另一个节点, 最终传送到目的节点。数据包在这些节点之间的移动都是由ARP (Address Resolution Protocol:地址解析协议) 负责将IP地址映射到MAC地址上来完成的。数据包在传送过程中会不断询问相邻节点的MAC地址, 这个过程就好比是人类社会的口信传送过程。
3、MAC地址的应用
我们为了防止IP地址被盗用, 就通过简单的交换机端口绑定 (端口的MAC表使用静态表项) , 可以在每个交换机端口只连接一台主机的情况下防止修改MAC地址的盗用, 如果是三层设备还可以提供:交换机端口/IP/MAC三者的绑定, 防止修改MAC的IP盗用。一般绑定MAC地址都是在交换机和路由器上配置的。
为了进一步解决这个问题, 本人又想到了基于交换机的MAC地址与端口绑定。这样一来, 终端用户如果擅自改动本机网卡的MAC地址, 该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现, 自然也就不会对局域网造成干扰了。
以avaya P5500 R交换机为例, 登录进入交换机, 输入管理口令进入配置模式, 敲入命令
(config) arp ip address mac address, 也可以以web方式进入配置模式。
这样按“Make Static”命令将每个端口与相应的计算机MAC地址绑定, 保存并退出。其他品牌的交换机只要是可以网管的, 大多可以仿此操作。任何人在终端上任意更改ip地址, 都不能使其登陆互连网, 这样就便于网络管理员更好的维护整个网络的正常、安全的运行。
参考文献
[1]王伟光:《局域网管理》, 中国电脑教育报。
[2]宏科、苏伟、武勇:《络处理器原理与技术》, 北京邮电大学出版社。
校园网ip地址管理 篇2
关于重新规划分配 我校校园网IP地址的通知
各单位,各部门:
按照学校的统一部署,近期我校将进行校区布局调整工作,完成本科教学、行政中心向临潼校区转移,各单位、各部门校园网的IP地址也将发生较大的变化,目前的配置及方案将不再适用于新的校区布局,因此我部门已经开始着手对全校的IP地址进行重新规划及分配。由于该项工作涉及面广,工作量大,需各单位积极协助配合,为保证各单位校园网正常使用,特通知如下:
1.请各单位、各部门(含维持现状的单位与部门)尽快统计两校区预计需上网的计算机数量,于7月15日前填报并提交纸质及电子版“IP地址预申请表”。
2.我部门按照IP地址预申请表分配新的IP地址段,各单位、各部门的信息化工作联系人负责本单位IP地址具体分配工作,并与我部门联系开通事宜。
3.各部门与单位信息化工作联系人按照IP地址具体分配情况,于9月30日前填报并提交纸质及电子版“IP地址申请表”,届时未报,将会影响到该部门网络的正常使用。
4.本次IP地址规划调整工作完成后,目前所有IP地址设置均无法正常使用。
5.“IP地址预申请表”及“IP地址申请表”电子版可到网络中心主页下载。
联系人:梁宏 85583127 *** QQ : 120625316
特此通知。
网络中心
不够用的IP地址 篇3
不够用的地址
你很可能见过譬如192.168.1.1这样的数字串,这样的数字就是所谓的“IP地址”。这是你平常访问的那些网站的“真实地址”,例如,当你输入www.guokr.com(域名)时,网络会把它转换成真正的地址111.13.57.142,然后才能找到这个网站在哪里。如果这个转换系统(也就是所谓的“DNS”)出了问题,那网络就要出现问题。
常见的IP地址里的数字是有规定的:四个数字,每个可以从0到255,这被称为“IPv4”(互联网协议第四版)。那么一共就会有2^32次方个不同的地址,也就是将近43亿。而且这43亿地址还有不少是保留的,比如所有以9开头的原则上都是IBM的,12开头的都是AT&T的,17开头的是苹果的,18开头的则归麻省理工……有些厚道的组织,比如斯坦福,本来占据了所有36开头的,现在正把多余的地址拿出来回馈社会,但人并不都这么好心。
所以,那帮技术人员实在太目光短浅了?这还真不是,IPv4协议诞生于1981年,早在20世纪80年代末他们就预料到了这个不够用的问题,可是新一代协议IPv6——可以提供3.4×10^38个地址——直到1998年才出台。现在,IPv6已经走过整整十六个年头。互联网上使用IPv6的人数大概为4%(该数值基于访问google的人统计,真实数字应为更低,见图1)。
耍花招的后果
为了推迟IPv4挤爆的同时又不用去辛辛苦苦换新协议,各方在抓紧时间利用每一点残存的IP空间碎片。以前大手大脚一整块几万地址分给一个组织的好日子一去不复返,现在就连一小撮256个地址都要寸土必争。但是,这对路由器来说就辛苦了。路由器依靠一个名为“路由表”的东西来快速找到方向,每一个机构拿到一段IP之后都会希望在路由表里加一句规则来加快自己的访问速度。但是每一条规则都要占据同样大小的空间,所以网上的地址越碎,需要的路由表就越大。
路由表是个很重要的东西,所以路由器会专门留出一块高速存储器来存它。譬如某款路由器足够存一百万个条目,想来应该是足够了,而且眼看IPv6必将征服市场,我留一半(512k)给v4,另一半给v6,事实上大部分路由器生产商都想当然认为给v4留了512k足够用,这算是行业标准。不幸的是,对于互联网碎片化的程度,他们显然又低估了。
多年的增长已经让路由表突破了50万大关,而在2014年8月12日,美国通信公司Verizon又一口气往v4路由表里加了15000个条目,使总数抵达了约515000个,超过了上限(相比之下,v6还只有可怜的2万个条目)。這些多出来的信息必须存在更慢的普通存储器里,导致了速度变慢甚至局部网络不稳定。Verizon很快发现了这个问题并把多出来的条目削了回去,但是余波至少持续了数小时。这个事件就是所谓的“512k”事件,也许就是你那天觉得网络慢了的元凶。但这不是问题的结束,只是开始。路由表里的条目数字肯定要自然增长的,早晚会自己超过这个数字。而这些问题都出在路由器上,换路由器可是要花钱的。
诚然,我们可以继续拆东墙补西墙,来一次广泛的固件升级,把更多的快速存储器留给v4。而代价可想而知,就是进一步削减了留给v6的空间。要是早用v6取代v4,IP地址够用的话,现在就不会出现地址碎片化、路由表过大的问题了。
事实上,想想之前人们还以为内存640k就足够,两位数字存储年份就足够,32位储存秒数就足够,现在又一个想当然的上限被突破带来了麻烦,就是理所应当的事情了。
高校校园网IP地址的编址与管理 篇4
计算机技术和Internet的飞速发展, 为信息处理、信息共享提供了有力的保障, 校园是信息流通最为活跃的场所之一,高速、可靠、安全的校园网络可以使学校日常的教学、办公、管理工作变得简单而有效。
当前, 各高校已经实现了教学区、实验区、办公区、宿舍区等职能区域网络的建设, 教学电脑、办公电脑、个人笔记本等不断增加的工作站使网络规模不断扩大, 网络管理问题也就日益凸现。维护网络稳定、高效运行是网络管理工作的根本任务。IP地址做为每一个连接到Internet上的主机在网络中的唯一标识, 如何合理地为校园中成千上万的主机进行编址以及对这些地址采取有效的管理是网络稳定的前提。下面以揭阳职业技术学院校园网为实例, 谈谈IP地址的编址与管理的解决方案。
2 校园网建设需求
按照揭阳职业技术学院发展规划, 若实现在校生1万人的规模, 学生计算机普及率按照80%计算, 则学生计算机数量达到8000台, 加上学校办公、公共机房、教学等用机, 计算机数量将达到1万台。如此大量的计算机使用, 如不采取一定措施将占用大量公网IP地址。
在公网IP地址及其紧缺的情况下, 为提高IP地址的利用效率, 采取了以下方式:
(1) 根据学院校园网网络拓扑 , 分区域采取不同的IP地址编址方案。
(2) 在IP地址分配方案选择方面, 利用了静态IP地址和动态IP地址相结合的方式。
(3) 利用绑定技术实现对IP的跟踪管理。
校园网网络拓扑图如图1所示。
3 校园网 IP 编址方案设计
3.1 交换模块 IP 编址方案
揭阳职业技术学院交换模块的设计主要分为两大区域,分别为教学办公区以及宿舍生活区。其中教学办公区分别由教师宿舍楼、行政综合大楼、慈云教学楼、 实训楼、图书馆、计算机中心6个主要区域组成, 宿舍生活区由6幢学生宿舍分为六个区域组成, 根据大楼的具体物理位置和用户群, 每个区域放置一台第三层交换机, 在教学办公区和宿舍生活区各放置汇聚交换机连接到学校网络中心的核心交换机, 在接入层采用了交换机的堆叠的技术, 堆叠技术的实施一方面使其在有限的空间内提供尽可能多的端口, 提高端口密度; 另一方面多台交换机在网络中可视为一个逻辑设备, 便于统一管理。
在教学办公区的IP编制方案上, 由于计算机中心、行政楼、图书馆等区域中信息点的数量相差大小不一, 因此在计算机中心的IP编制上使用了CIDR技术, 分配了一个1024个地址的网段, 使其信息点的数量远超一个C类IP地址数。而除了行政楼、图书馆、实训楼等区域信息点的数量都不会超过一个C类IP的地址数, 所以在以上每幢大楼中各分配一个C类IP网段, 并划分成一个VLAN, 设置一个管理VLAN, 命名为VLAN1, 以方便对交换机、路由器等网络设备的管理[1]。具体编址方案如表1所示。
宿舍生活区的IP编址上, 6幢学生宿舍楼每层有32间寝室, 每个寝室有6个同学即有6个信息点, 这样每层楼大约有190个信息点, 将每层楼划分成一个VLAN, 每幢楼设置一个管理VLAN, 该VLAN为VLAN1。为了便于通过IP地址来确定物理位置, 将学生宿舍A幢的第一层设置为11, 第二层设置为12, 依次类推F幢第一层为61, 第二层为62等。具体编址方案如表2所示。
3.2 广域网接入模块 IP 编址方案
由于校园网用户数量庞大, 直接使用公网IP分配上网,将面临IP地址不足等问题。该校充分利用NAT地址转换技术, 实现外部公网IP地址与内部网络私有地址之间的转换机制, 实现公网IP地址多次循环复用。一方面可以解决公网IP地址缺乏等问题, 同时对校园网内部而言, 将对网络起到隐藏保护作用[2]。
3.3 DMZ 服务器群模块 IP 编址方案
DMZ区域位于企业内部网络和外部网络之间, 通常用于部署各类服务器。DMZ区域也是非安全系统与安全系统之间的隔离区域, 其IP地址编制方案通常是将其配置为内网IP地址, 在这里设置为172.18.0.0/24, 最终利用静态地址转换技术实现外部用户对各类服务器的正常访问, 不断提高系统安全性和可靠性[3]。
4 校园网 IP 管理方案论证
合理的IP编址为校园网具有稳定性、安全性和可扩展性,而IP地址的管理是校园网成功运行的关键因素, 是网络规划的重要组成部分。高效有序的IP地址管理可以确保网络的最优化运行, 发挥网络的最佳效益。在这里, 采用两方面的措施。
4.1 静态与动态 IP 地址结合的使用方式
完全静态的IP地址管理方式在理想状态下当然要比动态的IP地址管理方式可靠, 但是静态IP地址管理需要投入大量的人力和时间应对各种IP地址变更的情况, 如新计算机接入、计算机搬动到一个新的地点工作等, 在数量不大的情况下可以处理, 但面对几千台计算机 (以该校8000学生80%的计算机普及率算就是6400台) 时, 操作起来便显得低效。所以首先要人为地确定用户的IP地址分配方式, 再根据网络用户的类别不同使用不同的IP分配方式。像行政综合大楼、慈云教学楼、实训楼、 图书馆、计算机中心这些计算机变动少的,采用静态IP地址; 学生宿舍、教师宿舍这些流动性强的采用动态IP地址。动静结合的混合IP地址管理方式可以网络管理有序化、简单化。
4.2 绑定技术
校园网中IP地址发生冲突、被盗现象时有发生, 如果不加以对其采取有效管理, 校园网随时会有崩溃的可能。这里采用绑定技术做为管理措施。传统的绑定技术主要是通过IP地址、MAC地址、VLAN与交换机端口的绑定。采用这种绑定方法的依据是用户连接交换机的物理端口具有不可改变性。根据用户的IP地址, 在交换机端口上设置IP所在的VLAN ,再将用户的IP地址、MAC地址和交换机的端口进行绑定。进行绑定后, 当用户访问网络时, 动态IP要进行“MAC—PORT”, “PORT—VLAN”的双验证 , 静态IP要进行“IP—MAC”, “MAC—PORT”, “PORT—VLAN”的三重验证 , 虽然一定程度上实现了绑定, 但是这种绑定技术并不能解决IP与MAC同时更改的问题。为了使整个网络具有更高的可靠性, 在校园网中引入应用层的认证技术, 基于radius sever的安腾认证系统, 对于静态IP用户要求6元素绑定, 即“用户名、密码、IP地址、MAC地址、交换机IP地址和端口号”的绑定, 动态IP用户要求5元素绑定, 即“用户名、密码、MAC地址、交换机IP地址和端口号”的绑定。
5 校园网编址方案的测试与验证
按照前面做出的IP编址方案和IP管理方案对各个交换机进行配置, 经过配置后在各个区域使用相关网络管理命令,验证了该方案的可行性和实用性。
利用ipconfig /all命令对各个区域工作站的IP地址进行查看, 利用ping命令检测网络配置的连通性。
6 结语
案例设计IP地址及管理 篇5
附:学生学件:“网络计算机的身份证”→《IP地址及管理》
学生课堂资料及操作表
【学生阅读材料一:】
(1)A类IP地址一般用于主机数多达160余万台的大型网络,高8位代表网络号,后3个8位代表主机号。32位的高3位为000;十进制的第1组数值范围为000~127。IP地址范围为:001.x.y.z~126.x.y.z。
(2)B类IP地址一般用于中等规模的各地区网管中心,前两个8位代表网络号,后两个8位代表主机号。32位高3位为100;十进制的第1组数值范围为128~191。IP地址范
围为:128.x.y.z~191.x.y.z。
(3)C类地址一般用于规模较小的本地网络,如校园网等。前3个8位代表网络号,低8位代表主机号。32位的前3位为110,十进制第1组数值范围为192~223。IP地址范围为:192.x.y.z~223.x.y.z。
【学生阅读材料二:】
IPv6的推出:
近年来,随着因特网用户的高速增长,有限的IP地址与迅速增长的用户需求之间的矛盾已越来越突出。以扩展IP地址为契机,新一代IP协议--------Ipv6已经推出。IPv6的地址表示使用128位二进制数,比IPv4增长了4倍,编址空间增加296倍,并可能支持更多的编址层次。它大幅度扩展了编址能力。
IPv6不仅加长了IP地址,而且在数据包的优先级、安全性方面进行了定义,这给Internet上的一些新业务打下了基础。
技术补充:
查询IP地址及其表示区域方法:
a、计算机自带的“ping”命令。(可以查找已知域名的IP地址)b、利用网站如等。(已知IP地址,查询该IP所在的地理位置。c、珊瑚虫版QQ。(查询QQ网友登录的IP地址及地理位置)
校园网ip地址管理 篇6
一、为数据嗅探进行准备
首先我们需要知道Dropbox客户端程序,在连接到互联网的时候访问了哪些域名,所以这个时候就需要通过专业软件进行嗅探。现在下载安装数据包分析工具WinPcap,以及专业的嗅探软件DNSQuerySniffer(http://www.nirsoft.net/utils/dns_query_sniffer.html)。然后重新启动一下操作系统,这么做的目的主要是将正在运行的软件彻底进行关闭,从而避免其他网络软件对嗅探数据进行干扰。
现在启动嗅探软件DNSQuerySniffer,在弹出的选项窗口选择“捕捉方式”中的“WinPcap包捕捉驱动”这项,接着在“选择网络适配器”列表中选择电脑网卡所对应的IP地址(如图1)。所有的设置完成以后点击“确定”按钮,这样软件就开始嗅探所有通过这个网卡发送的数据包信息。
二、找出软件连接的域名
接下来启动Dropbox的客户端程序,马上切换回嗅探软件的操作界面,很快就可以看到嗅探到的数据信息,其中“主机名”列表中显示的就是客户端程序访问的域名。当列表中不再出现新的数据信息后,通过鼠标选中列表中的所有信息(如图2)。然后点击“编辑”菜单中的“复制所选项”命令,将所有信息粘贴到一个文本编辑器里面。将其中不需要的信息删除掉,只保留访问过的域名信息即可。
现在用管理员身份打开命令提示符窗口,然后通过Ping命令来获得对应的IP地址(如图3)。比如输入ping www.Dropbox.com,按下回车键就可以看到对应的IP地址。接下来按照同样的方法,将其他域名的IP地址也给解析出来。需要说明的是,如果遇到请求超时的情况,可以多ping几次试一试。另外遇到解析的IP地址不一样,也不需要有任何的疑惑,因为一个域名会对应多个服务器地址。
三、直接访问设定的地址
那么如何让Dropbox的客户端程序,直接访问解析出来的IP地址呢?其实这只需要使用系统中的Hosts文件就可以了,因为它的一个功能就是加快域名的解析服务。首先通过文件管理器进入到C:\Windows\System32\Drivers\etc这个文件夹目录,由于最新的Windows系统需要权限才可以对系统目录中的文件进行修改,所以首先将其复制到其他的磁盘目录中。接着用文本编辑器打开Hosts文件,按照“IP地址 目标域名”这样的格式,一行一行地整理解析出的IP地址,比如“108.160.167.203 www.Dropbox.com”这样即可(如图4)。
校园网ip地址管理 篇7
Internet是建立在TCP/IP协议上的互联网络。在TCP/IP网络环境下,每个主机都被分配了一个IP地址。IP地址是标识主机的一种逻辑地址,用户可以任意设置和修改。如有两台或多台主机IP地址相同,则两台或多台主机将相互报警,且无法上网,造成网络混乱。
IP地址盗用是指盗用者将本机的IP地址修改为本子网内的另外一个合法用户的IP地址或未分配的IP地址,然后利用该IP地址去访问网络,以达到非法使用网络资源或隐藏身份从事非法活动的行为。
目前在各校园网内,IP地址盗用行为非常常见,许多“不法之徒”利用这种技术来进行网络欺骗。IP地址的盗用行为不但会侵害网络正常用户的权益,并且给网络安全、网络的正常运行带来了巨大的负面影响,因此研究IP地址盗用的问题,找出有效的防范措施,是当前的一个紧迫课题。
2 常见IP地址盗用方法剖析
IP地址是在网际范围标识主机的一种逻辑地址,但不管网络层使用的是什么协议,在实际网络的链路上传送数据帧时,最终还是必须使用硬件地址。所以,TCP/IP协议族提供了地址解析协议(ARP)来实现IP地址到物理地址(即MAC地址)的映射。
每一台主机都设有一个ARP高速缓存(ARP cache),里面有所在的局域网上的各主机和路由器的IP地址到硬件地址的映射表。当主机A欲向本局域网上的某个主机B发送IP数据报时,就先在其ARP高速缓存中查看有无主机B的IP地址。如有,就可查出其对应的硬件地址,再将此硬件地址写入MAC帧,然后通过局域网将该MAC帧发往此硬件地址。
如果某台主机的IP地址被非法占用,或者受到其他虚假IP数据报的欺骗,其ARP映射表里的映射关系就会出现紊乱,无法正常接收其他主机发来的数据,或者接收到虚假的数据信息,因而出现无法上网的情况。目前,有如下几种常见的IP地址盗用方法。
2.1 静态修改IP地址
由于IP地址是一个协议逻辑地址,是一个需要用户设置并可以随时修改的值,因此无法限制用户对于IP地址的静态修改。如果用户在配置TCP/IP或修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就会形成IP地址盗用,并会因为IP地址冲突造成相关主机上不了网。除非使用动态主机分配协议(DHCP)服务器分配IP地址,并在DHCP服务器上将IP地址与MAC地址绑定,限制用户设置静态IP。但这种方法会带来许多管理上的不便。
2.2 成对修改IP-MAC地址
对于静态修改IP地址的问题,可以采用静态路由技术加以解决,即IP-MAC地址绑定,在网络转发设备上建立IP-MAC地址映射表。对此,IP盗用技术又有了新的发展,出现了成对修改IP-MAC地址的技术。
MAC地址是网络设备的硬件地址,对于以太网来说,也就是网卡地址。每个网卡上的MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配,厂家在生产网卡时,固化在网卡上,一般不得随意改动。但是,一些兼容网卡的MAC地址却可以通过配置程序来修改。若将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那么静态路由技术就无能为力了。
另外,对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。
2.3 动态修改IP地址
动态修改IP地址的盗用技术也就是我们常说的IP伪地址欺骗。网络数据包的转发,是根据数据包中的IP地址进行的,只要能通过一定的方法,把数据包的非法IP地址修改为合法的IP地址,非法的数据包就会像合法的数据包一样被路由转发。修改数据包的IP地址并不是一件很困难的事情,只需要通过SOCKET编程,在发送数据包时,动态修改自己的非法IP地址为合法IP地址,就能达到IP欺骗的目的。
3 常见IP地址防盗技术
针对IP盗用问题,网络专家采用了各种防范技术,现在比较通常的防范技术主要是根据TCP/IP的层次结构,在不同的层次采用不同的方法来防止IP地址的盗用。
3.1 路由器隔离技术
采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能改变。其实现方法为通过SNMP(Simple Network Management protocol)协议定期扫描校园网各路由器的ARP表,获得当前IP和MAC的对照关系,和事先合法的IP和MAC地址比较,如不一致,则为非法访问。对于非法访问,有几种办法可以制止,如:
1)使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项;
2)向非法访问的主机发送ICMP不可达的欺骗包,干扰其数据发送;
3)修改路由器的存取控制列表,禁止非法访问。
路由器隔离的另外一种实现方法是使用静态ARP表,即路由器中IP与MAC地址的映射不通过ARP来获得,而采用静态设置。这样,当非法访问的IP地址和MAC地址不一致时,路由器根据正确的静态设置转发的帧就不会到达非法主机。
路由器隔离技术能够较好地解决IP地址的盗用问题,但是如果非法用户针对其理论依据进行破坏,成对修改IP-MAC地址,对这样的IP地址盗用它就无能为力了。
3.2 VLAN子网划分技术
采用交换机的VLAN虚拟子网技术,可控制一段IP地址在某一VLAN中使用,而在其他VLAN中无效。在不同VLAN之间采用具有三层交换功能的交换机,既能保证交换式网络的速度,又可以有效地进行网络隔离控制。这种方法可防止不同VLAN之间的IP地址盗用,但在同一VLAN的有效IP范围内,仍然会出现IP盗用。
3.3 交换机端口绑定技术
解决修改IP-MAC地址的最彻底的方法是使用交换机进行端口-MAC地址的绑定。使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问被拒绝。
交换机是局域网的主要网络设备,它工作在数据链路层上,基于MAC地址来转发和过滤数据包。因此,每个交换机均维护着一个与端口对应的MAC地址表。任何与交换机直接相连或处于同一广播域的主机的MAC地址均会被保存到交换机的MAC地址表中。通过SNMP管理站与各个交换机的SNMP代理通信可以获取每个交换机保存的与端口对应的MAC地址表,从而形成一个实时的Switch-Port-MAC对应表。将实时获得的Switch-Port-MAC对应表与事先获得的合法的完整表格对照,就可以快速发现交换机端口是否出现非法MAC地址,进一步即可判定是否有IP地址盗用的发生。如果同一个MAC地址同时出现在不同的交换机的非级联端口上,则意味着IP-MAC成对盗用。
发现了地址盗用行为后,实际上也已经将盗用行为定位到了交换机的端口。再通过查询事先建立的完整的Switch-Port-MAC对应表,就可以立即定位出发生盗用行为的位置并加以阻断。
结合IP-MAC绑定技术,通过交换机端口管理,可以在实际使用中迅速发现并阻断IP地址的盗用行为,尤其是解决了IP-MAC成对盗用的问题,同时也不影响网络的运行效率。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入,这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。
3.4 防火墙与代理服务器技术
使用防火墙与代理服务器相结合,也能较好地解决IP地址盗用问题。防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决,变IP管理为用户身份和口令的管理,因为用户对于网络的使用归根结底是要使用网络应用。这样实现的好处是,盗用IP地址只能在子网内使用,失去盗用的意义;合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无权用户即使盗用IP,也没有身份和密码,不能使用外部网络。
使用防火墙和代理服务器的缺点也是明显的,由于使用代理服务器访问外部网络对用户不是透明的,增加了用户操作的麻烦;另外,对于大数量的用户群(如高校的学生)来说,用户管理也是一个问题。
4 结束语
虽然通过上述几种方法,可以在很大程度上解决IP地址盗用的问题,但是盗用和防盗的过程仍然会造成网络资源的极大损耗,包括人为使用未经授权的IP地址也会给网络管理造成不小的麻烦。所以,我们除了针对不同的IP地址盗用技术,采取相应的防范措施之外,还应加强用户的网络安全与网上职业道德教育,提高用户的网络安全意识和上网素质,共同建设一个良好的网络环境。
摘要:IP地址盗用行为是目前校园网管理所面对的一大难题。该文以IP地址盗用的概念及常见盗用方法为出发点,着重介绍了如何针对不同的盗用方式实施有效的防范措施,并对各种防盗措施进行了适用性分析。
关键词:校园网,IP地址,盗用技术,防范技术
参考文献
[1]谢希仁.计算机网络[M].5版.北京:电子工业出版社,2008.
[2]陈庆章,赵小敏.TCP/IP网络原理与技术[M].北京:高等教育出版社,2006.
[3]褚建立.基于多元绑定的校园网IP盗用解决方案探讨[J].计算机系统应用,2007(3):83-85.
[4]黄沛芳.局域网IP地址定位技术及应用[J].计算机安全,2008(11):77-79.
[5]黄家林,孟炜,黄烟波.利用MAC地址的动态配置防止IP地址盗用的方法[J].计算机工程,2002(8):176-177.
校园网ip地址管理 篇8
网络地址规划需要如图1所示进行。
私有IP地址与内部网络地址规划方法如表1所示。
在使用私有IP地址设计的内网中, 如果内网的主机要访问Internet或外部网络的主机时, 也需要使用网络地址转换NAT技术。
在内部网络主机之间的访问就使用私有IP地址, 而公网IP是只有在离开内部网络对外部网络进行访问的时候才使用。当LAN用户想访问互联网的某个站点时, 那么它的访问请求到达连接Internet的路由器时, 执行NAT协议的路由器就可以从它公用的IP地址池中为用户临时分配一个全局IP地址。将内部用户的私有IP地址转换成公用地址, 完成用户访问Internet的请求后, 路由器收回全局IP地址。
2 IP地址划分原则
2.1 可扩展性
IP地址的可扩展特性是所有设计要求中最重要的原则。因为高校在办学的过程中, 都会逐渐扩大规模或扩充用地, 在增加学生的同时, 设备也要相应的增加, 这就需要网络地址的扩充配合。这里所说的可扩展不是仅仅单纯地预留一些暂时不用的IP地址, 实际上更需要对现有地址池进行扩容, 以防出现地址短缺的局面。现实中, 很多高校会设立不同的校区, 在规划设计之初还需要让各校区直接的地理位置显现在IP的划分中, 这些IP之间最好有潜在的联系, 这样预留的IP地址与现存的IP地址之间可以进行无缝对接, 有利于日后对网络的扩展。例如目前某校教学楼某层的计算机教室使用的IP地址空间是172.16.1.0——172.16.10.0, 保留的IP地址空间为172.16.11.0——172.16.15.0。这样以后增加设备时就可以把现有的IP地址空间与预留的IP地址空间组成一个172.16.0.0/20的路由, 如此的地址划分就具备了扩展性, 如图2所示。
设计时需要尽量避免出现VLAN过于分散的情况, 例如预留的IP地址为172.16.150.0——172.16.160.0, 和上述现有的IP地址无法产生直接联系, 无法进行无缝对接。
2.2 可汇总性
可汇总性原则是在设计校园网IP地址时, 设计的IP地址可以汇聚成某几条路由。这样设计的IP地址既减少了路由器路由表的路由条数, 也使网络有了更好的层次性, 便于后期的维护操作。例如, 一个学校的理科楼目前分成3个区域, A区分配IP地址块是192.168.0.0/20, B区分配的IP地址块是192.168.16.0/20, C区分配的IP地址块是192.168.32.0/20, 根据前面分析的可扩展性原则, 以后建的理科楼D区可以分配192.168.48.0/20, E区可以分配192.168.64/20, 以此类推, 可以为后续的理科楼分配可扩展的IP地址, 这样现在理科楼的IP地址和待建理科楼的IP地址可以汇总为192.168.0.0/17。如图3所示。
2.3 易管理性
当一个校园网络的设计非常合理、结构清晰、分层明确时, 管理网络便不是一件令人挠头的工作, 这也得益于以上提到的可汇总和可扩展。IP地址规划明确, 网络记录清晰, 机房和汇聚都整洁有序, 有了坚实的基础, 才能让日后的工作更轻松。尤其是可以在设定VLAN时可以按照教室或者楼层做特定的设计, 例如:三楼的307机房, 可以把VLAN设计成37, 4楼的405机房可以把VLAN设计成45, 这样可以简单地从IP地址看出这台机器的地理位置, 也可以从一个机房的IP联想到其他机房的IP地址划分。这也就要求IP地址必须同网络位置或地理位置具有一定的联系。比如学校教师公寓3区2号宿舍楼5层, 为其分配的IP地址段为10.32.5.0/24, 这个地址段的第2位为32, 数字3表示是教师公寓3区, 数字2代表是2号宿舍楼。第3位为5, 表示是5楼。如果使用192.168.100.0——192.168.255.255这样的IP地址, 在考虑可扩展及可汇总原则之后, 很难作出上边那样详细的对应关系, 也就是说, 给出一个IP地址块, 很难判断出其相应的位置在哪, 较难实现易管理。因为网络布线本身不易出现问题, 网络管理员可以轻松地管理一个如上所述的校园网络。
2.4 易维护性
为了应对IP地址的不足, IETF研究出了采用可变长子网掩码 (VLSM) 的办法来解决这个问题。VLSM很好地解决了IP地址短缺的问题, 并且VLSM可以进一步提高IP地址的利用率。但是VLSM在一定程度上也增加了网络维护的难度。从前面的描述中可以看出, 如果项目中使用了192.168.0.0——192.168.255.255和172.16.0.0——172.31.255.255这样的IP专有地址段, 由于它们提供的IP地址数量有限, 所以在项目中就不得不采用可变长子网掩码技术进行子网划分及汇总。但是如果采用10.0.0.0/8这个地址段, 该地址块覆盖从10.0.0.0到10.255.255.255的地址空间, 由用户分配的子网号与主机号的总长度为24位, 可以满足各种私有网络的需要。并且A类私有地址特征比较明显, 从20世纪80年代之后, 10.0.0.1的地址已经不用了。因此, 只要出现10.0.0.0到10.255.255.255.0的地址, 人们很快就会识别出它是一个私有地址, 这样也就便于规划和管理。VLSM在网络服务器提供商 (ISP) 那里广泛应用, 而在校园进行IP地址设计时, 就应该尽量少使用VLSM进行IP地址的设计, 以增加网络的易维护性。
以上所说的易维护、易管理、可扩展、可汇总等特性都是互相有着密切联系的, 在建设一个网络的时候, 就要主动地考虑内网地址的IP分配问题, 并且要规划整体的IP地址分段与所在地理位置的特征存在关联, 设计好IP地址的预留问题。预留的IP地址与现存的IP地址之间可以进行无缝对接和汇聚, 在保证网络畅通的情况下, 设计要尽量清晰明了, 以便后期的维修维护。这正体现了上面说到的可扩展、可汇总、易维护性、易管理性。
3 NAT技术
NAT——Network Address Translation是一种用于Internet各种类型网络接入技术, 可以将原本私有的地址合法化。网络地址转换技术能够满足更多的IP地址要求, 还抵挡来自网络外部的所有攻击, 起到合理的保护隐藏作用。
NAT是可以完成地址数据报头的IP转换的一项技术, 网络地址转换的现实用途能够极好地完成私网对公网的访问功能。在IPV4极度短缺的时代, NAT这种虚拟转换IP的方式可以极大地缓解地址枯竭的状况。
摘要:文章针对高校校园网IP地址密集且易冲突的特性指出, 在设计IP地址方案之初, 应考虑以下问题:为方便管理网络计划划分多个子网;在连入因特网后是否使用真实的网络地址;每个子网信息点的计划划分多少, 将来要拓展多少;子网IP地址的分配是采用静态分配或者选择动态IP。还可以用另一个IP地址来代替TCP报头里的IP地址, 此法可以由NAT技术解决。
关键词:NAT技术,IP地址,网络地址
参考文献
[1]刘喆.基于三层交换和虚拟局域网技术的校园网的设计[J].黑龙江科技信息, 2012 (8) :110.
校园网ip地址管理 篇9
IP协议为每一台在因特网上的计算机都定义了1个32位二进制的地址, 叫IP地址。连在某个网络上的两台计算机在相互通信时, 在它们所传送的数据包里含有某些附加信息, 这些附加信息就是发送数据的计算机的地址和接受数据的计算机的地址。当网络中存在以IP协议为基础的通信时, 这些发送和接受数据的地址就是IP地址。每台连网计算机都依靠IP地址来标识自己, 就很类似于我们的电话号码样的。通过电话号码来找到相应的电话, 全世界的电话号码都是唯一的, IP地址也同样。
(一) A类IP地址。
一个A类IP地址由1字节的网络地址和3字节主机地址组成, 网络地址的最高位必须是“0”, 地址范围从1.0.0.0到126.0.0.0。可用的A类网络有126个, 每个网络能容纳1亿多个主机。
(二) B类IP地址。
一个B类IP地址由2个字节的网络地址和2个字节的主机地址组成, 网络地址的最高位必须是“10”, 地址范围从128.0.0.0到191.255.255.255。可用的B类网络有16382个, 每个网络能容纳6万多个主机。
(三) C类IP地址。
一个C类IP地址由3字节的网络地址和1字节的主机地址组成, 网络地址的最高位必须是“110”。范围从192.0.0.0到223.255.255.255。C类网络可达209万余个, 每个网络能容纳254个主机。
(四) D类地址用于多点广播 (Multicast) 。
D类IP地址第一个字节以“lll0”开始, 它是一个专门保留的地址。它并不指向特定的网络, 目前这一类地址被用在多点广播 (Multicast) 中。多点广播地址用来一次寻址一组计算机, 它标识共享同一协议的一组计算机。
(五) E类IP地址。以“llll0”开始, 为将来使用保留。
全零 (“0.0.0.0”) 地址对应于当前主机。全“1”的IP地址 (“255.255.255.255”) 是当前子网的广播地址。
在IP地址3种主要类型里, 各保留了3个区域作为私有地址, 其地址范围如下:
A类地址:10.0.0.0~10.255.255.255 (第一组表示网络, 后面三组表示主机。)
B类地址:172.16.0.0~172.31.255.255 (第一, 二组表示网络, 后面两组表示主机。)
C类地址:192.168.0.0~192.168.255.255 (第一, 二, 三组表示网络, 最后一组表示主机。)
为了确定IP地址的网络号和主机号如何划分, 使用到了掩码。也就是说在一个IP地址中, 通过掩码来决定哪部分表示网络, 哪部分表示主机。大家规定, 用“1”代表网络部分, 用“0”代表主机部分。也就是说, 计算机通过IP地址和掩码才能知道自己是在哪个网络中。
二、IP地址管理
IP地址管理是成功的逻辑设计的基础。任何一台在局域网中“活动”的工作站, 它都是通过IP地址这个“身份”与其他工作站进行沟通交流的, 只要我们能安全妥善地管理好局域网中的所有IP地址, 就能确保局域网始终处于高效运行状态之中。学校从组建校园网以来一直采用用户静态IP地址分配, 所有网络用户入网前需要事先从网络中心申请获取静态IP地址。网络中心收到申请后在用户接入的二层交换机上完成一次用户IP-MAC-接入交换机端口的绑定, 使用这种方法来确认最终用户, 消除IP地址盗用等情况。学校统一规划分配IP地址给每个终端机器, 并建立IP地址分配登记表, 统计每个终端机器网卡的MAC地址, 建立IP地址与MAC地址对照表, 并记录IP地址使用人的相关情况, 便于事后查找广播及病毒来源等。在交换机上采用V L A N (Virtual LAN, 虚拟局域网) 技术解决广播带来的不良影响。我们学校划分VLAN的方式是基于接口来划分VLAN。交换机通过接口和客户端相接, 只要通过配置命令将交换机的接口分给不同的VLAN, 就相当于把这些客户端划分到了不同的广播域。将接口划分到VLAN的方式如下:
执行上述命令, 可在交换机创建4个VLAN, 并将相应的端口划分到对应的VLAN中。
三、IP地址的绑定技术
(一) 基于交换机的IP地址、MAC地址、端口的绑定
1、MAC地址及MAC地址的作用。
MAC地址也叫物理地址、硬件地址或链路地址, 由网络设备制造商生产时写在硬件内部。MAC地址在计算机里都是以二进制表示的, MAC地址通常表示为12位16进制数, 如:00-11-D8-29-09-78就是一个MAC地址, 其中前6位16进制数00-11-D8代表网络硬件制造商的编号, 而后3位16进制数29-09-78代表该制造商所制造的某个网络产品 (如网卡) 的系列号。只要你不去更改自己的MAC地址, 那么你的MAC地址在世界上是惟一的。无论是局域网, 还是广域网中的计算机之间的通信, 最终都表现为将数据包从某种形式的链路上的初始节点出发, 从一个节点传递到另一个节点, 最终传送到目的节点。数据包在这些节点之间的移动都是由ARP协议负责将IP地址映射到MAC地址上来完成的。数据包在传送过程中会不断询问相邻节点的MAC地址。
2、交换机、端口、IP地址三者的绑定。
为了防止IP地址被盗用, 就通过简单的交换机端口绑定 (端口的MAC表使用静态表项) , 可以在每个交换机端口只连接一台主机的情况下防止修改MAC地址的盗用。第一种方法:如果是可网管交换机还可以提供:交换机、端口、IP地址三者的绑定, 一般绑定MAC地址都是在交换机和路由器上配置的。以华为3100 EI系列交换机为例, 登录进入交换机, 输入管理口令进入系统视图, 敲入命令:
执行上述命令将每个端口与相应的计算机mac地址、IP地址绑定, 保存并退出。
通过这些设置, 可以将局域网中的IP地址和MAC地址绑定, 任何人在终端上任意更改IP地址, 都不能使其登陆互连网, 这样就便于网络管理员更好的维护整个网络的正常、安全地运行。
(二) 应用ARP绑定IP地址和MAC地址
1、什么是ARP及ARP的作用。
我们知道, 当我们在浏览器里面输入网址时, DNS服务器会自动把它解析为IP地址, 浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址 (即MAC地址) 的呢?在局域网中, 这是通过ARP协议来完成的。ARP即地址解析协议, ARP协议为IP地址到对应的MAC地址之间提供动态映射。在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址可实现ARP欺骗, 能够在网络中产生大量的ARP通信量使网络阻塞。
2、使用ARP绑定IP地址和MAC地址。
在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的。我们可以在ARP表里将合法用户的IP地址和网卡的MAC地址进行绑定。当有人盗用IP地址时, 尽管盗用者修改了IP地址, 但因为网卡的MAC地址和ARP表中对应的MAC地址不一致, 所以也不能访问网络。
TCP/IP作为Internet网络协议, 已经被广泛用于各种类型的局域网络。而IP地址作为网络中的主要寻址方式, 也已经被各种操作系统广泛采用, 因此IP地址在网络管理中显得尤为重要。
参考文献
[1]梁亚声, 汪永益, 刘京菊, 汪生, 计算机网络安全技术教程[M].机械工业出版社, 2004.
[2]刘韵洁, 张智江, 《下一代网络》[M].人民邮电出版社, 2005.
《IP地址及其管理》教学设计 篇10
本课选自苏教版《网络技术应用 (选修) 》第二章第二节。I P地址是网络中计算机的身份标识, 在互联网中, 作为通信对象的计算机只有通过I P地址才能被识别, 因此本节是本章的重点, 也是全书的重点。
二、教学目标
知识与技能:掌握I P地址的概念、格式及分类;了解I P地址的管理办法;认识I P地址资源的有限性。
过程与方法:在相互探讨、团队协作中培养发现问题、分析问题、解决问题的能力, 培养集体主义精神。
情感、态度与价值观:认识到I P地址资源的有限性以及分配不平衡等问题, 体验民族危机感;在自主学习、团队合作中勇于克服困难和承担责任, 体验成功的快乐。
三、教学重点、难点
重点:I P地址的概念、格式及分类。
难点:I P地址分类, 辩证地看待I P地址分配问题。
四、教学过程
1. 创设情境, 引出概念
教师播放视频《法治在线——狂赌世界杯》剪辑片段。视频记录了2 0 0 6年德国世界杯期间, 长春市网络赌博者通过互联网参与境外赌博。在接到群众举报后, 长春市警察通过网络检测技术, 找到了参与赌博的联网计算机的I P地址, 通过I P地址锁定了参赌者的位置并一举抓获, 侦破了这起特大网络赌球案。
师:长春警方是怎样找到参赌者投注位置的?
经过小组讨论, 学生一致认为是I P地址。但有学生提出疑问:“在上一节中, 我们学习了域名, 网络间正是通过域名相互进行访问的。我们平时上网只要在地址栏中输入简化的U R L就可以了。域名与I P地址有关系吗?什么是I P地址?”
师:请同学们自己练习在I E地址栏中分别输入www.jsjdzx.com和http://192.9.206.2, 按回车键确定后比较。
生:两次访问效果一样, 都可以访问校园网主页。
师:http://192.9.206.2中所用的就是IP地址。
教师总结知识点一:I P地址的概念。
设计意图:引用网络赌球案视频有两层含义:一是利用青少年对足球运动的热爱和激情, 提高学生的学习兴趣;二是教育学生以正确的方式欣赏世界杯。让学生动手实践I P地址和域名的功能, 旨在使学生了解I P地址和域名都可以访问同一服务器。
2. 任务一:查看本机I P地址, 总结I P地址格式
师:请同学们打开“网上邻居”属性对话框, 查看个人的I P地址, 总结I P地址的格式。
生:由4段用点号分隔的十进制数字表示, 如:192.9.207.1。
师:每一段的数值是不是任意的?请同学们用任意数字修改你的I P地址最后一段。
生:有的数字超出了范围。
师:因为每段的十进制数字只能是在0~2 5 5之间选取。在计算机内部怎么表示I P地址呢?
生:用二进制表示。
师:多少位二进制呢?请同学们用“附件”中的“计算器”计算。
生:最大的2 5 5是用8个1来表示, 那其他的数字呢?如2的二进制是1 0, 还要不要用8位来表示?
师:为了方便管理, 每一段都是用8个二进制位, 4段, 一共3 2个二进制位来表示。
教师总结知识点二:I P地址的表示。
设计意图:学生自己动手查看本机I P地址, 对比组内的计算机I P地址来总结I P地址的格式, 容易激发学生的学习兴趣;学生利用“附件”中的“计算器”来计算二进制的位数, 通过自己计算来解决问题, 得到正确答案, 充分发挥了学生的主体作用。
3. 任务二:组内对比讨论, 引出I P地址分类
师:请同学们打开“网上邻居”属性对话框, 查看个人的I P地址, 与小组内的其他同学比较I P地址的异同, 请每组的组长总结发言。
生:前三段相同, 后一段不同, 且依次增加。
师:请小组讨论, 为什么前三段相同, 而后一位不同?
生:根据I P地址的概念分析, 可能是前三段表示它们是在同一个网络, 后一位表示在网络中的位置编号。
师:我们这个网络教室里最多可联多少台主机?生:256台。
师:大家有没有注意到, 有的网络非常大, 同一个网络里主机有成千上万, 怎么办呢?
教师总结知识点三:I P地址格式。
设计意图:前两个问题, 同学们根据在自己小组内比较IP地址和刚刚讲过的IP地址概念, 不难回答。后一个问题起到承上启下的作用, 可以引出I P地址分类。
4. 任务三:自主计算, 对比分析, 总结I P地址分类和特征
师:根据I P地址分类表提供的信息, 通过“计算器”计算, 完成表1。
教师给出正确答案, 共同纠正学生填表的错误。
教师总结知识点四:IP地址的分类。
设计意图:根据I P地址分类表填写表1是本节课的难点。在填表时, 学生容易出错的地方有:A类地址的“首段数字起止范围”和“可支持网络数目”, 以及三类网络的“同一个网络支持主机数目”, 在此要分析造成错误的原因。
5. 任务四:自主计算, 体会I P地址的管理与分配
师:如果I P地址中3 2位全表示主机数, 全世界有多少个I P地址?
生:计算232=4294967296, 约42.9亿多个IP地址。
师:约42亿多个IP地址, 对于全球的Internet用户来讲是不够的, 到目前为止已经全部用完了。所以I P地址是一种很宝贵的资源, 这就需要管理。请同学们参照地址分级管理图, 完成表2。
师:可见, I P地址没有合理地分配给各个国家。我国分得的大多是C类地址, A类和B类几乎没有, 而中国的互联网发展速度很快, 网民数量急剧增加, 对此中国互联网络信息中心将怎样解决这个问题, 请同学们通过互联网查阅资料和相互讨论来回答问题。
生:中国互联网用户的I P地址分配一般采用动态分配和静态分配相结合的方法。目前, 人们正在开发I P V 6技术来解决I P地址短缺和分配不均衡的问题。
师:请同学们通过互联网进一步了解“动态分配”和I P V 6技术。
教师总结知识点五:I P地址的管理。
设计意图:通过计算3 2位I P地址最大的地址总量, 得出I P地址不够用的问题, 从而引出I P地址的分配和管理。再从I P地址分配不均衡引出我国是怎样解决I P地址不够用的问题。
五、小结
(略)
六、教学反思
校园网ip地址管理 篇11
摘要:本篇文章介绍了IP地址的种类,以及子网的划分特点,同时介绍了一道经典子网划分的考题,对大家在面对思科考试以及日常工作中都有实际参考价值。
关键词:子网划分;IP
1IP地址
在Internet上有千百万台主机,为了区分这些主机。方便这些主机之间共享资源,相互访问,我们分配给每台主机使用一个专门的地址,简称为IP地址。通过访问不同的IP地址就可以实现访问到联上Internet上的不同主机。IP地址的基本结构由4部分数字组成,每一部分数字对应于一个8位二进制数字,四个二进制部分之间用小数点分开。如某一台主机的1P地址为:202 101.200.100,Internet IP地址由NIC(Internet Network Information Center)这个机构统一负责全球地址的规划、管理。同时由Inter NIc、APNIC、RIPE等网络信息中心具体负责美国及全球其他地区的IP地址分配。APNIC负责亚太地区,我国申请IP地址要通过APNIC,申请时要考虑申请哪一类的IP地址,然后向国内的代理机构提出。
(1)IP地址根据网络号和主机号的数量而分为A、B、C三类:
A类IP地址:用7位(bjc)来标识网络号,24位标识主机号,最前面一位为“0”,即A类地址的第一段取值介于1~126之间。A类地址通常为大型网络而提供,全世界总共只有126个可能的A类网络,每个A类网络最多可以连接16777214台主机。
B类IP地址:用14位来标识网络号,16位标识主机号,前面两位是“10”。B类地址的第一段取值介于128~191之间,第一段和第二段合在一起表示网络号。B类地址适用于中等规模的网络,全世界大约有16000个B类网络,每个B类网络最多可以连接65534台主机。
C类IP地址:用21位来标识网络号,8位标识主机号,前面三位是“110”。C类地址的第一段取值介于192N223之间,第一段、第二段、第三段合在一起表示网络号。最后一段标识网络上的主机号。C类地址适用于校园网等小型网络,每个c类网络最多可以有254台主机。
(2)固定IP:固定1P地址是长期固定分配给一台计算机使用的IP地址,一般是特殊的服务器才拥有固定IP地址。
(3)动态IP:目前因为IPv4地址资源非常短缺,通过电话拨号上网或普通宽带上网用户一般不具备固定IP地址,而是由ISP服务商动态分配给用户使用暂时的一个IP地址。普通人一般并不需要去了解动态IP地址,这些都是计算机系统自动完成的。
(4)公有地址(Pu DI_c address)由Inter NIC(Internet NetworkInformation Center因特网信息中心)负责。这些IP地址分配给注册并向Inter NIC提出申请的组织机构。通过它直接访问因特网。
(5)私有地址(Private address)属于非注册地址,专门为组织机构内部使用。在IP地址3种主要类型中,各自保留了3个地址段作为私有地址,以下列出留用的内部私有地址:
A类10.0.0.0~10.255.255.255
B类172.16.0.0~172.31.255.255
C类192.168.0.0-192.168.255.255
2子网划分
(1)子网划分(subnetting)的优点:
·减少网络流量
·提高网络性能
·简化管理
·易于扩大地理范围
(2)通过IP地址和子网掩码的与运算,我们可以方便地算出:
·网络地址
·广播地址
·地址范围
·本网的主机数目
3实例解析
例:IP地址为128 36199.3,子网掩码是255.255.240.0。算出网络地址、广播地址、地址范围、主机数。
解答:
(1)将IP地址和子网掩码换算为二进制,子网掩码连续全1的是网络地址,后面的是主机地址,虚线前为网络地址,虚线后为主机地址。
(4)地址范围就是含在本网段内的所有主机。
网络地址+1即为第一个主机地址,广播地址-1即为最后一个主机地址,由此可以看出:
地址范围是:网络地址+1-广播地址-1
本例的网络范围是:128.36.192.1~128.36.207.254
(5)主机的数量
主机的数量=2二进制位数的主机-2
主机的数量=212-2=4094
局域网中的IP地址管理 篇12
IP地址就像公用电话系统中的电话号码一样, 用来识别不同的用户。但基于TCP/IP网络的IP地址与电话号码又有着本质的区别。在公用电话系统中, 电话号码的使用用户是基本稳定的, 如果用户要更换号码则需要办理一系列复杂的手续, 并作详细登记。而在局域网中, 用户所使用的IP地址是不稳定的, 特别是随着办公信息化的普及和网络中计算机数量的飞速增加, IP地址冲突、IP地址盗用、ARP欺骗等问题日渐突出。
1.1 IP地址冲突与盗用
在现实工作中, 如果局域网中的IP地址是通过手工而非DHCP动态分配, 则会存在用户基于某种原因而私自更改IP地址的可能性。由于这种更改是出于用户的随意性, 中间并没有经过网络管理员的登记, 因此这种改动往往逃开了网络管理员的监控, 造成使用的IP地址不是网络管理员授权的地址。而该用户更改后的IP地址如果已被其他人使用, 则会造成IP地址冲突。
1.2 ARP欺骗
ARP (Address Resolution Protocol) 全名叫地址解析协议, 在每台装有TCP/IP协议的电脑里都存在ARP缓存表, 表里的IP地址与MAC地址是一一对应的, 在网络中正是通过此协议将IP地址转化为MAC地址。但是ARP协议存在着致命的漏洞, 在网络中主机之间的访问不是通过网络层的IP地址来传输数据, 而是通过数据链路层的MAC地址来传输。当源主机不知道它要访问的目标主机的MAC地址时, 源主机就会发送ARP广播来询问网段内的所有主机当目标主机收到源主机发来的ARP广播后, 便会发送回复消息, 告诉源主机本机的MAC地址就是正确的目标地址。而ARP协议的漏洞恰恰就在此, 因为目标主机回复源主机的消息没有经过任何的认证或其他安全措施保障, 当局域网中有一台主机试图窃取源主机的信息 (如用户名、密码等) 时, 便会伪装成目标主机回复源主机, IP地址不变, 但把目标MAC地址改成了自己的地址, 导致源主机误以为该MAC地址就是目标主机MAC地址, 而将信息错误的发送到该主机, 造成信息的泄露。
2 IP地址管理解决方案
要实现IP地址的有效管理必须要硬件和软件方案同时并行, 在硬件的实现基础上通过软件实行统一管理。
2.1 硬件解决方案
针对以上出现的问题, 防止IP地址冲突、IP地址盗用以及ARP欺骗等网络问题目前比较流行的解决方法是将IP地址与MAC地址进行绑定。用户如果想接入局域网则必须向网络管理员提出申请, 网络管理员登记这台需要接入的主机的MAC地址与使用者信息, 并分配IP地址, 实际上就是IP与用户的身份实现了绑定。目前大部分IP地址与MAC地址的绑定是在二层交换机上实现, 也就是基于交换机端口的MAC地址绑定方法。首先将用户所连的接入层交换机端口划到一个事先规划好的VLAN下, 此举的目的是为了细分广播域, 防止广播风暴的发生。而用户分到的IP地址必须与该VLAN所对应的三层IP地址所在的网段相同。以华三E352交换机为例, 划分端口VLAN的命令如下:
[H3C]VLAN 30//创建VLAN30
[H3 C-VL AN30]port Eth erne t1/0/2//把用户端口划到VLAN30
[H3C]interface vlan-interface 30//进入VLAN30的端口配置模式下
[inter-vlan30]ip address 172.18.30.1255.255.255.0//配置VLAN30的三层端口I P
[inter-vlan30]quit//退出VLAN端口配置模式
通过以上命令, 用户所在端口配置完成。接着要在交换机上实现IP地址、MAC地址、交换机端口的绑定。将这三者绑定是为了防止IP地址被盗用以及ARP欺骗。以华三E352交换机为例, 三者绑定的命令如下:
[H3C]am user–bind mac–addr mac ip–addr ip interface端口号
在交换机上通过此配置, 用户如果擅自更改自己的IP地址或者随意调换网络端口都将无法上网。这就有效防止了IP地址的冲突与欺骗, 使网络管理员能更好的维护局域网的稳定安全。
2.2 软件解决方案
IP-MAC地址的绑定必定会产生庞大的数据库, 包括IP地址表、MAC地址表、交换机端口信息表、用户信息表等。网络管理员必须能有效的管理和维护这些表, 才能保证整个网络IP规划的正确性以及网络用户管理的安全性。但面对越来越大的用户入网量, 采用传统纸质登记已经远远不能满足需要, 配合该方法必须有一套IP地址管理系统。该系统可以分以下几个功能模块。
(1) 计算机登记模块:该模块用来登记入网用户的相关信息, 包括使用者姓名、联系方式、需要接入网络的主机MAC地址、分配的IP地址、计算机所在的楼宇、房间号以及信息点编号。通过这些信息的登记, 网络管理员就能够根据IP地址或MAC地址中的任何一个找到该计算机的使用者, 起到了用户实名制上网。
(2) 交换机登记模块:此模块用来登记网络中在用的交换机的相关信息, 包括交换机编号、交换机型号、接口数、所在弱电机房、交换机端口、对应楼栋和对应房间号。通过对交换机的登记, 能清楚掌握用户接入的交换机是哪台, 方便操作管理。
(3) 关闭端口登记:该功能主要是用来登记因为中ARP病毒等原因影响网络稳定而被网络管理员关闭端口的计算机的信息。包括计算机MAC地址、所在交换机IP、对应端口号、所在楼栋以及关闭原因等。
3 结语
IP地址管理是网络管理中最基础又是最重要的一个环节, 管理效果的好坏直接影响到整个局域网的上网质量。通过硬件与软件的并行管理, 可以很好地解决IP地址管理中出现的问题, 为局域网用户提供良好的网络环境。
摘要:在局域网中, IP地址并不是永久固定的, 就用户来说, 他们会因为某种原因更改自己的IP地址, 而没有经过网络管理员审批。在局域网中像这种超出网络管理员监督之外的IP地址变更会对网络的稳定性和安全性造成影响。本文通过介绍软硬件结合的方法, 将IP地址与MAC地址绑定, 有效地解决IP地址管理中出现的问题, 为局域网用户提供良好的网络环境。
关键词:IP地址,MAC地址,ARP协议,绑定
参考文献
[1]郭云鹏.基于IP地址管理系统的网络地址管理[J].中国金融电脑, 2005, 10.
[2]顾金星, 雷蕾, 张剑寒.基于ARP欺骗的IP地址管理技术[J].网络安全技术与应用, 2009 (10) .