简论计算机系统局域网网络准入技术-JobPlus

　　1.概述

　　随着互联网的深入应用，企业内部联网设备逐渐增加，经常出现IP地址冲突的现象，严重干扰正常计算机联网。这主要是因为企业内部点多面广，对计算机入网没有有效管控措施，导致计算机随意接入。为了确保局域网环境运转良好，有必要对IP地址资源进行科学管理，对未授权计算机和非法制造IP地址冲突的行为进行限制。

　　2.IP地址冲突理由分析与防治技术

　　IP地址冲突的解决策略有很多，局域网中发生IP地址冲突，不仅是简单的技术理由，还是网络管理员必须要认真面对的管理理由。在分析故障存在的基础上，笔者结合实践经验与教训，从技术层面提出IP地址冲突的解决办法，为网络管理员提供一套可行的管理策略。

　　2.1 IP地址冲突理由

　　一是重新安装操作系统，并且随意设置上网参数，无意中造成IP地址冲突。

　　二是局域网中的一些非法攻击者企图破坏或干扰本地局域网中重要网络设备的稳定运转，制造IP地址冲突故障现象，造成整个局域网无法正常工作。

　　三是一些权限受限用户想获得特殊的访问权限，冒用合法IP地址进行网络连接，从而访问局域网的授权IP资源。

　　第一种情况发生频率较低，归为特殊情况。第二种情况发生频率也较低，但危害性最大。第三种情况发生频率最高，行为发生人多为内部员工。

　　2.2 限制访问网络连接属性

　　用户可以修改本地主机的IP地址，为了屏蔽修改功能，可以通过修改本地系统组策略以禁止访问网络连接属性。具体操作策略是：单击“开始”、“运转”命令，在弹出的系统运转框中敲入“gpedit.msc”命令，打开系统的组策略编辑界面，依次点选该界面左侧显示区域中的“用户配置”、“管理模板”、“网络”、“网络连接”等节点选项;之后用鼠标双击该节点选项下面的“禁止访问LAN连接组件的属性”，打开目标组策略的属性设置窗口，选中其中的“已启用”选项，然后单击“确定”按钮。这样，用户就不能随意打开TCP/IP属性设置窗口修改本地主机的IP地址，此策略适合对特殊网络设备的保护。

　　2.3 IP-MAC地址绑定

　　在相同的局域网网段中，二层网络寻址不是根据主机IP地址而是根据主机物理地址来进行的，而在不同网段之间通信时才会根据主机的IP地址进行网络寻址，所以作为局域网网关的三层交换设备上通常保存有IP-MAC地址映射表，通过手工修改固化IP-MAC地址映射表表项，达到限制IP更改造成的地址冲突，从而限制非法更改IP地址行为，防止造成网络运转不稳定现象发生。ARP绑定操作：telnet或console登陆三层交换机，输入命令“arp static IP地址MAC地址”然后回车，保存配置即可。

　　3.内部入网制约

　　身份证起到证明身份的作用。比如去银行提取大量，这时就要用到身份证。那么MAC地址与IP地址绑定就如同我们在日常生活中的本人携带自己的身份证去做重要事情一样。我们为了防止IP地址被盗用，就通过上面的策略，简单的对MAC表使用静态表项，而有时在一个vlan内，已使用的IP地址数量多，IP剩余资源量大，虽然之前已经绑定了已使用的IP地址，但是对陌生计算机并没有管控措施。通过ARP绑定技术并不能达到理想的效果，而MAC集中认证技术可以实现对入网计算机进行准入，达到内部联网准入制约的目的。

　　3.1 MAC集中认证技术

　　MAC地址集中认证是一种基于端口和mac地址对用户访问网络的权限进行制约的认证策略。它是一种通用的交换机安全制约技术，各个厂商设备都有支持的型号。它不需要用户安装任何客户端软件，交换机在首次检测到用户的mac地址以后，即启动对该用户的认证操作。

　　计算机在接入网络前必须与交换机的MAC认证表比对，如果认证表中没有此计算机对应的MAC地址，则按认证失败处理，不学习此端口下连的MAC地址，从而达到未认证计算机无法转发数据包的目的，制约其非授权入网行为的发生。

　　MAC集中认证与ARP绑定的区别是，MAC集中认证不需要知道对应设备的IP地址，而是对MAC进行处理。管理员通过网络认证台账，即可认证本单位的联网设备身份，对联网设备实行准入制约。

　　3.2 MAC认证技术交换机配置

　　MAC认证交换机配置步骤（基于交换机的本地认证策略）：

lnet交换机，输入命令如下：（“//”符号后为说明，下划线字为参数）

　　system-view//进入特权模式

　　mac-authentication interface e1/0/1 to e1/0/48//在e1/0/1到e1/0/48端口启用认证

　　mac-authentication authmode usernam easmacaddress

　　usernameformat without-hyphen lowercase

　　mac-authentication domain system//默认认证区域为system

　　mac-authentication timer offline-detect 10//下线检测时间10秒

　　mac-authentication timer quiet 300//静默时间300秒

　　mac-authentication//全局启用认证

　　也可以通过web图形界面配置交换机，启用认证或添加删除用户。配置同交换机本地用户添加相同，只要交换机支持web配置，配置本地用户相应权限，即可实现。

　　交换机配置命令举例：

　　添加用户：local-user mac

　　 password simple mac

　　 service-type lan-access

　　 arp static ip mac

　　删除用户：undo local-user 旧mac

　　 undo arp 旧ip

　　格式说明：

　　仅arp命令后的mac地址格式为“XXXX-XXXX-XXXX”例：1234-5678-9abc

　　其他命令的mac地址皆为无“-”符号，例：123456789abc

　　mac地址的英文字母均小写。

　　ip格式皆为点分十进制，例：

　　10.64.110.11

　　4.结语

　　通过ARP绑定技术与MAC集中认证技术相结合，可以有效防止非法违规入网设备获取资源，局域网内IP地址冲突得到有效制约，同时可以更好的帮助企业管理者实施实名制终端行为审计和实名制行为管理，对于保障网络安全和数据平稳传输，起到良好的应用效果。

1.概述　　随着互联网的深入应用，企业内部联网设备逐渐增加，经常出现IP地址冲突的现象，严重干扰正常计算机联网。这主要是因为企业内部点多面广，对计算机入网没有有效管控措施，导致计算机随意接入。为了确保局域网环境运转良好，有必要对IP地址资源进行科学管理，对未授权计算机和非法制造IP地址冲突的行为进行限制。　　2.IP地址冲突理由分析与防治技术　　IP地址冲突的解决策略有很多，局域网中发生IP地址冲突，不仅是简单的技术理由，还是网络管理员必须要认真面对的管理理由。在分析故障存在的基础上，笔者结合实践经验与教训，从技术层面提出IP地址冲突的解决办法，为网络管理员提供一套可行的管理策略。　　2.1 IP地址冲突理由　　一是重新安装操作系统，并且随意设置上网参数，无意中造成IP地址冲突。　　二是局域网中的一些非法攻击者企图破坏或干扰本地局域网中重要网络设备的稳定运转，制造IP地址冲突故障现象，造成整个局域网无法正常工作。　　三是一些权限受限用户想获得特殊的访问权限，冒用合法IP地址进行网络连接，从而访问局域网的授权IP资源。　　第一种情况发生频率较低，归为特殊情况。第二种情况发生频率也较低，但危害性最大。第三种情况发生频率最高，行为发生人多为内部员工。　　2.2 限制访问网络连接属性　　用户可以修改本地主机的IP地址，为了屏蔽修改功能，可以通过修改本地系统组策略以禁止访问网络连接属性。具体操作策略是：单击“开始”、“运转”命令，在弹出的系统运转框中敲入“gpedit.msc”命令，打开系统的组策略编辑界面，依次点选该界面左侧显示区域中的“用户配置”、“管理模板”、“网络”、“网络连接”等节点选项;之后用鼠标双击该节点选项下面的“禁止访问LAN连接组件的属性”，打开目标组策略的属性设置窗口，选中其中的“已启用”选项，然后单击“确定”按钮。这样，用户就不能随意打开TCP/IP属性设置窗口修改本地主机的IP地址，此策略适合对特殊网络设备的保护。　　2.3 IP-MAC地址绑定　　在相同的局域网网段中，二层网络寻址不是根据主机IP地址而是根据主机物理地址来进行的，而在不同网段之间通信时才会根据主机的IP地址进行网络寻址，所以作为局域网网关的三层交换设备上通常保存有IP-MAC地址映射表，通过手工修改固化IP-MAC地址映射表表项，达到限制IP更改造成的地址冲突，从而限制非法更改IP地址行为，防止造成网络运转不稳定现象发生。ARP绑定操作：telnet或console登陆三层交换机，输入命令“arp static IP地址MAC地址”然后回车，保存配置即可。　　3.内部入网制约　　身份证起到证明身份的作用。比如去银行提取大量 ，这时就要用到身份证。那么MAC地址与IP地址绑定就如同我们在日常生活中的本人携带自己的身份证去做重要事情一样。我们为了防止IP地址被盗用，就通过上面的策略，简单的对MAC表使用静态表项，而有时在一个vlan内，已使用的IP地址数量多，IP剩余资源量大，虽然之前已经绑定了已使用的IP地址，但是对陌生计算机并没有管控措施。通过ARP绑定技术并不能达到理想的效果，而MAC集中认证技术可以实现对入网计算机进行准入，达到内部联网准入制约的目的。　　3.1 MAC集中认证技术　　MAC地址集中认证是一种基于端口和mac地址对用户访问网络的权限进行制约的认证策略。它是一种通用的交换机安全制约技术，各个厂商设备都有支持的型号。它不需要用户安装任何客户端软件，交换机在首次检测到用户的mac地址以后，即启动对该用户的认证操作。　　计算机在接入网络前必须与交换机的MAC认证表比对，如果认证表中没有此计算机对应的MAC地址，则按认证失败处理，不学习此端口下连的MAC地址，从而达到未认证计算机无法转发数据包的目的，制约其非授权入网行为的发生。　　MAC集中认证与ARP绑定的区别是，MAC集中认证不需要知道对应设备的IP地址，而是对MAC进行处理。管理员通过网络认证台账，即可认证本单位的联网设备身份，对联网设备实行准入制约。　　3.2 MAC认证技术交换机配置　　MAC认证交换机配置步骤（基于交换机的本地认证策略）：　　telnet交换机，输入命令如下：（“//”符号后为说明，下划线字为参数）　　system-view//进入特权模式　　mac-authentication interface e1/0/1 to e1/0/48//在e1/0/1到e1/0/48端口启用认证　　mac-authentication authmode usernam easmacaddress　　usernameformat without-hyphen lowercase　　mac-authentication domain system//默认认证区域为system　　mac-authentication timer offline-detect 10//下线检测时间10秒　　mac-authentication timer quiet 300//静默时间300秒　　mac-authentication//全局启用认证　　也可以通过web图形界面配置交换机，启用认证或添加删除用户。配置同交换机本地用户添加相同，只要交换机支持web配置，配置本地用户相应权限，即可实现。　　交换机配置命令举例：　　添加用户：local-user mac　　 password simple mac　　 service-type lan-access　　 arp static ip mac　　删除用户：undo local-user 旧mac　　 undo arp 旧ip　　格式说明：　　仅arp命令后的mac地址格式为“XXXX-XXXX-XXXX”例：1234-5678-9abc　　其他命令的mac地址皆为无“-”符号，例：123456789abc　　mac地址的英文字母均小写。　　ip格式皆为点分十进制，例：　　10.64.110.11　　4.结语　　通过ARP绑定技术与MAC集中认证技术相结合，可以有效防止非法违规入网设备获取资源，局域网内IP地址冲突得到有效制约，同时可以更好的帮助企业管理者实施实名制终端行为审计和实名制行为管理，对于保障网络安全和数据平稳传输，起到良好的应用效果。

关于我们

法律声明

帮助中心

商务合作

相关文章

关于我们

法律声明

帮助中心

商务合作