基于SNMP解决校园网IP地址管理问题

更新时间：2023-06-12 03:40:01 阅读量：实用文档文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

基于SNMP协议的网络安全管理系统推荐度：
相关推荐

２００７年第１１期福建电脑

１２９

基于ＳＮＭＰ解决校园网ＩＰ地址管理问题

林泽东，刘伟科，范晓宁

（山东科技大学现代教育中心山东青岛２６６５１０）

地址盗用、摘要】【：针对校园网中大量ＩＰ地址冲突、ＡＲＰ欺骗攻击等问题，通过对比几种现有的方法，提出了利用绑定和管理系统的解决方案。该方案经济实用并且已经在实际的环境中得ＳＮＭＰ技术构建了一个ＩＰ地址资源的自动分配、

到很好的检验和应用。

关键词】【：ＳＮＭＰ；ＡＲＰ绑定；ＡＲＰ欺骗；地址盗用；地址冲突随着校园网规模的不断扩大，校园网用户数量的逐步激增。

这一趋势给校园网的管理与维护带来了很多的压力。校园网管理问题中ＩＰ地址资源的管理问题是基本问题，也一直是网络管理工作中让管理员比较头痛的问题，而最近比较猖狂的ＡＲＰ欺骗攻击使这一问题变得越发严重。因此，如何更加合理的分配ＩＰ地址资源、避免ＩＰ地址的冲突与盗用和预防ＡＲＰ欺骗攻击成为一个急需待解决的问题。１．常用的ＩＰ地址资源管理办法１．１采用人工静态绑定技术

人工的静态绑定技术主要是在路由器或交换机上人为设置静态ＡＲＰ表项来防止ＩＰ地址冲突问题。这种方法对于小型的网络还是比较方便的，但对于大型的网络，收集、维护合法的ＩＰ－ＭＡＣ信息对于网络管理员是件麻烦事、容易出错而且效率不高。所以这种方法不灵活，效率不高。１．２采用ＤＨＣＰ技术

ＤＨＣＰ可以使网络上的客户机动态地获得配置信息，具有自动分配可用网络地址等功能。ＤＨＣＰ分配的地址可以保证网络中没有冲突的地址出现，但由于此协议的局限性也使得它在应用的时候出现很多问题：首先、ＤＨＣＰ服务器不能查出网络上非ＤＨＣＰ客户机已经使用的ＩＰ地址。如果网络中有用户使用了静态的ＩＰ配置，那么他可能与ＤＨＣＰ服务器分配信息相冲突；其次、是网络中的ＤＨＣＰ服务器之间是不通信的。使得冒充的ＤＨＣＰ服务器这一问题无法解决。

最新的ＤＨＣＰｓｎｏｏｐｉｎｇ和ＡＲＰｉｎｓｐｅｃｔｉｏｎ技术虽然解决了上述问题，但是对网络设备的ＩＯＳ要求比较高，这不利于保护用户投资。

１．３采用８０２．１ｘ协议认证

８０２．１ｘ协议是一种基于端口的网络访问控制协议。８０２．１ｘ认证体系结构包括请求者、认证者和认证服务器。认证过程中，请求者发起认证请求，认证者负责对请求者进行认证，它通常是支持８０２．１ｘ协议的网络设备（例如交换机和ＡＰ），认证服务器负责提供认证服务。只有认证通过后请求者所连接的端口才开放，网络资源对请求者可见，否则不可见。目前，８０２．１ｘ的优势和安全性很大程度上依赖于私有拨号客户端。如果一旦客户端被破

这种认证同样要求用户解或者被伪造，则很多功能将形同虚设。

接入设备都必须支持８０２．１ｘ协议。２．本方案的技术原理

目前大多数的校园网都是按照核心层、汇聚层、接入层三层结构来设计的，而在汇聚层设备上通常都维护着在线用户的ＡＲＰ（ＩＰ－ＭＡＣ）信息。本方案就是一个自动维护数据库与汇聚层设备上合法用户ＩＰ－ＭＡＣ信息库的过程。程序周期性地读取汇聚层设备上在线用户的ＡＲＰ信息，通过把这些信息与合法用户信息库中的记录进行对比来判断用户合法性。如果两者中的ＩＰ和ＭＡＣ只有一个不同则认为是非法用户，否则认为是合法用户。对于合法用户的信息可以更新或添加到数据库中，而对于非法用户可以通过向其发送ＡＲＰ欺骗包阻止其使用网络。其工作原理如图１所示。

３．本方案的功能模块组成

本方案主要包括参数配置、数据采集、数据处理及Ｗｅｂ自助四个模块。

３．１参数配置模块

这个模块主要的功能是设置系统运行所需的参数。参数主要包括汇聚层设备读、写共同体名，连接数据库的帐户和密码，合法信息库中ＩＰ－ＭＡＣ记录的超期周期，在线用户ＡＲＰ信息采集周期等。３．２数据采集模块图１技术原理流程图

这个模块主要的功能是根据参数配置模块设置的采集周期等信息，利用ＳＮＭＰ协议，通过对汇聚层设备上的ｉｐＮｅｔＴｏＭｅｄｉ－ａＴａｂｌｅ表进行读取，得到当前设备上在线用户的ＡＲＰ数据信息。

３．３数据处理模块

这个模块是整个系统的核心。它主要对采集到的数据与合法信息库的数据进行分析比较，判断ＡＲＰ信息是否合法，并根据分析结果采取一些处理动作。此模块主要包括合法性分析、分析结果处理和合法信息库维护。

（１）合法性分析

合法性分析根据被分析数据中的ＩＰ－ＭＡＣ和合法信息库中ＩＰ－ＭＡＣ的比较关系的不同来判断被分析ＩＰ－ＭＡＣ的合法性。其可能的情况有很多中如表１。

表１：对比结果表

（２）分析结果处理

合法信息库中每条记录主要包括三个字段：ＩＰ、ＭＡＣ、时间戳。记录中ＩＰ和ＭＡＣ分别是一个合法用户对应的ＩＰ地址和ＭＡＣ地址。时间戳记录的是这条ＩＰ－ＭＡＣ信息被使用的最近时间，是决定记录是否有效的关键，也是数据表的关键字段。

合法性分析产生了四种情况，对于第一种情况的处理只是用系统的当前时间戳更新此ＩＰ－ＭＡＣ记录的时间戳字段。对于第四种情况，说明是有新的用户使用了新的ＩＰ地址，要将此新的ＩＰ－ＭＡＣ添加到合法信息库中并更新时间戳。然后通过对ｉｐＮｅｔＴｏＭｅｄｉａＴａｂｌｅ进行写操作将ＩＰ－ＭＡＣ绑定到汇聚层设备上，这样既可以防止非法用户使用此ＩＰ地址又可以有效防止一些ＡＲＰ欺骗。而对于不合法情况，则通过向非法用户发送伪造的欺骗性的ＡＲＰＲｅｐｌｙ包阻止其继续使用网络。

（３）合法信息库维护

分析处理结果部分在对每个ＩＰ－ＭＡＣ进行处理时，已经对合法ＩＰ－ＭＡＣ记录的时间戳进行了更新。合法信息库维护就是删除合法信息库中超期的无用的记录，保证信（下转第１２８页）

１２８

福建电脑２００７年第１１期

文档中的，在组卷时，由ＶＢＡ程序自动给单题ＷＯＲＤ文档加入透明的外框表格。ＷＯＲＤ表格具有不交错的特性，并可设置单行表格禁止跨页显示的属性见程序最后一行。因而有效地解决了各种错位跨页现象。

ｏｗ．Ｓｅｌｅｃｔｉｏｎ．ＴｙｐｅＰａｒａｇｒａｐｈｏｔｅｍｐ＝ｏｗ．Ｓｅｌｅｃｔｉｏｎ．Ｒａｎｇｅ

ｏｗ．ＡｃｔｉｖｅＤｏｃｕｍｅｎｔ．Ｔａｂｌｅｓ．Ａｄｄ（ｏｔｅｍｐ，１，１，１，０）ｏｗ．Ｓｅｌｅｃｔｉｏｎ．ＳｅｌｅｃｔＲｏｗＷｉｔｈｏｗ．Ｓｅｌｅｃｔｉｏｎ．Ｃｅｌｌｓ．Ｂｏｒｄｅｒｓ（－２）．ＬｉｎｅＳｔｙｌｅ＝０．Ｂｏｒｄｅｒｓ（－４）．ＬｉｎｅＳｔｙｌｅ＝０．Ｂｏｒｄｅｒｓ（－１）．ＬｉｎｅＳｔｙｌｅ＝０．Ｂｏｒｄｅｒｓ（－３）．ＬｉｎｅＳｔｙｌｅ＝０．Ｂｏｒｄｅｒｓ（－７）．ＬｉｎｅＳｔｙｌｅ＝０．Ｂｏｒｄｅｒｓ（－８）．ＬｉｎｅＳｔｙｌｅ＝０．Ｂｏｒｄｅｒｓ．Ｓｈａｄｏｗ＝．Ｆ．ＥｎｄＷｉｔｈ

Ｏｗ．Ｓｅｌｅｃｔｉｏｎ．Ｔａｂｌｅｓ（１）．Ｒｏｗｓ．ＡｌｌｏｗｒｅａｋＡｃｒｏｓｓＰａｇｅｓ＝Ｆ

５．７试卷的浏览和打印

生成的试卷是标准的ＷＯＲＤ文档。对于教师用户不需学习

就能完成浏览和打印操作。

５．８相关源码

本软件源码量较大，无法摘录。故提供源码交流信箱：＂ＬＹＨＨＹＬ＠ＴＯＭ．ＣＯＭ＂，感谢专家批评与指导。

６．结束语

本系统取土力学组卷为例，应用了ＶＢＡ技术控制ＷＯＲＤ的自动组卷，应用ＯＬＥ技术较好解决了二次修改附图的问题。本软件是基于ＷＯＲＤ的二次开发，教师不需要培训就能熟悉掌握，因此易用性良好。借助ＷＯＲＤ二次开发的组卷思想可以推广到工程类大多数课程的自动组卷中，应用前景良好。

参考文献：

１．张义良．基于遗传算法的智能组卷系统研究［Ｊ］．萍乡高等专科学校学报，２００６，６：３７－３９．

２．何小松．通用试题库管理系统的开发与研究［Ｊ］．淮南师范学院学报，２００３，３：５０－５１．

张旭、张燕．工程制图试题库建设使用发展历程［Ｊ］．化工高等教３．唐晓初、