返回首页

用虚网技术防止IP盗用

时间:2004-08-05 来源: 作者: 点击:
许多网络设备都支持虚网功能,这个功能并不是说说而已的,它有许多实际用处。比如:中科院广州分院就是利用VLAN解决了令所有网管员头疼的IP地址管理问题。 作为中科院中国科技网(CSTNET)的二级节点,广州分院网络中心于1998年初完成设备安装,并投入运行。随着接入的
    许多网络设备都支持虚网功能,这个功能并不是说说而已的,它有许多实际用处。比如:中科院广州分院就是利用VLAN解决了令所有网管员头疼的IP地址管理问题。

  作为中科院中国科技网(CSTNET)的二级节点,广州分院网络中心于1998年初完成设备安装,并投入运行。随着接入的用户单位增多和网络应用的开展,在管理中碰到了不少问题,尤其是对防止某些用户使用未授权IP地址上网这方面,一直没有有效预防措施,网管人员为此花费了不少精力。以前曾想在边界路由器上做IP-MAC绑定,但出于网络整体安全角度考虑,CSTnet的边界路由器管理权归院网络中心,如果作为二级节点的广州分院网把IP-MAC绑定在边界路由器上,将不利于网络监控及管理,使院网络中心对一些突发事件无法作出快速反应。因此该方案实际并不可行,解决问题只能在广州分院网络中心设备上着手,使用虚网技术是一个很好的办法。


  广州分院网络中心拓扑图

  广州分院网络中心设备的主交换机、路由器为思科公司的Catalyst3200及Cisco4500。

  由于4500只配高速口f0,其余为串口,使得边界路由器Cisco2514只能接入Catalyst3200,和所有局域网形成“平构式”结构,对防止IP盗用问题有些先天不足。

  其实,Cisco产品的虚网功能完全可以被利用来解决这一问题。从分析Catalyst3200虚网功能上可见,除了其本身的优点外,Catalyst3200交换机与Cisco4500路由器的高速口支持ISL(InterSwitchLink)及VTP(VLANTrunkProtocol),这对强化网络管理提供了有力的技术保证。通过对Catalyst3200的端口进行虚网设置,再根据网络用户所在的物理位置、工作性质、网络通信负载均衡原则,把所有网络用户纳入不同虚拟子网,各子网通过Catalyst3200与Cisco4500的高速口连接,再把IP-MAC绑定在Cisco4500上就可能达到预期目的。

  虚拟子网VLAN的配置
  首先,经超级终端进入Catalyst3200控制台,进入“SetVTPAnd····”,选“VTPAdministrationConfiguration”,设置VALN管理域名为“Gietnet”、VTP方式为“Server”。

  第二步,设置VLAN及Trunk,将所有子网的交换机、Hub上连至Catalyst3200的10M或100M口,将这些端口进行虚网划分如表一。

表一子网号
子网ip及路由口
3200端口
子网名

2
192.168.111.0192.168.111.1
1,17,15
vlan1

3
192.168.111.64192.168.111.65
6,7,8
vlan2

4
192.168.111.128192.168.111.129
9,11,3
vlan3

catalyst3200的19口被指定为trunk口与cisco4500的f0连接


  从控制台的Configuration项选定“LocalVLANProtConfiguration”,进行VLAN及Trunk口的指定,并把所有的3个VLAN填入Trunk口的配置单中,最后显示如表二。

表二localvlanprotconfigurationprot
mode
vlanname

1
static
vlan1

2
static
default(未用)

3
static
vlan3









7
static
vlan2

8
static
vlan2

9
static
vlan3

10
static
default(未用)

11
static
vlan3









19
trunk
defaultvlan1vlan2vlan3


  把Cisco4500的f0口按子网数“分割”成相应的“子口”,根据其设置的ISL(InterSwitchLink)号,与相应子网进行逻辑连接。在本例中,f0被分割为f0.1、f0.2、f0.3与VLAN1、VLAN2、VLAN3连接,其配置命令如下:

  router(config)#intf0.1

  router(config-subif)#DescriptionVLAN1_GIET

  router(config-subif)#ipaddress192.168.111.1255.255.255.192

  router(config-subif)#encapsulationisl2.

  router(config)#intf0.2

  router(config-subif)#DescriptionVLAN2_gzbnic

  router(config-subif)#ipaddess192.168.111.65255.255.255.192

  router(config-subif)#encapsulationisl3

  设置完毕,再请北京网络中心把边界路由器中有关子网路由项全部指向Cisco4500,用户的网关按其子网路由器地址设定。

  为强化网络管理,防止IP盗用,在Cisco4500路由器上建立ARP表,将所有子网的IP地址与相应的用户网卡MAC地址进行绑定,对于未用的IP地址也进行绑定,如:

  当注册网络用户需更换网卡时,需得到网管人员的确认、同意,使非法盗用无法进行;另外可按具体情况设置访问控制列表等安全管理措施(如配合ProxyServer的IPaccesslist设置)。

  ARP192.168.111.1300800.3c5d.419fARPA(已分配的IP有网卡地址)

  ARP192.168.111.1690000.0000.0000ARPA(未分配的IP无网卡地址)

  系统特点
  经过虚网设置和IP-MAC绑定结合,目前,网络系统具有如下优点:

  1)发挥出VLAN的优势,改变了网络结构,合理分配网络资源,均衡网络负载,有效降低网上广播信息,方便对用户的分组管理。

  2)增强了网络安全性。由于网络中各子网相互隔离,网络通信限制在子网内,子网间的交通或出境的通信全部通过其相应的路由端口,加强了Cisco4500对全网的控制能力,并由4500上的ARP表进行用户IP地址的合法性核查。

  3)强化了网络管理。如2)所述,由于虚网的配置加上Cisco4500的IP-MAC的匹配检查,使得即使想盗用IP地址,其通信也只限于本子网内,活动范围大大减小,被当场抓获可能性加大;Cisco4500上的IP-MAC的匹配核查,使得对有计费记录的IP地址无法盗用,从而提高了计费合理性和网络管理、控制能力。


--------------------------------------------------------------------------------

  名词解释
  1)VLANTrunkProtocol(VTP):用VTP设置和管理整个域内的VLAN,在管理域内VTP自动发布配置信息,其范围包括所有TRUNK连接,如交换互连(ISL)、802.10和ATMLAN(LANE)

  当交换机加电时,它会周期性地送出VTP配置请求,直至接到近邻的配置(summary)广播信息,从而进行结构配置必要的更新。

  交换机的VTP配置有三种模式:服务器、客户和透明模式。

  2)ISLTrunk

  ISL中继不同的VLAN多路包,包头带有“ISLVLAN数”标志(VTPVLANID)。

------分隔线----------------------------
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
最新评论 查看所有评论
发表评论 查看所有评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 密码: 验证码:
推荐内容