IP地址管理

IP地址管理（精选十篇）

IP地址管理 篇1

近几年来,随着计算机网络的迅猛发展,基于TCP/IP协议的Internet已发展成为当今世界上规模最大、并拥有最多用户、最多资源的一个超大型计算机网络。TCP/IP协议因此成为了事实上的工业标准,IP网络也成为计算机网络的主流。

Internet依靠TCP/IP协议,在全球范围内实现不同硬件结构、不同操作系统、不同体系结构的网络的互连,每一个结点都依靠唯一的IP地址互相区分和互相联系。而IP地址的32位二进制位所表示的网络数目是非常有限的,因为每一个网络都需要一个唯一的网络地址来标识,在制定编码方案时,人们常常会遇到网络数目不够用的情况,解决这一问题的有效手段是进行子网络划分。因此,IP地址构成了整个Internet的基础,IP地址的合理分配和子网的划分已逐渐成为网络资源管理的有效手段。

1 IP地址及其作用

TCP/IP协议是为解决异种网络之间的通讯问题,针对Internet开发的体系结构和协议标准。其中TCP为传输控制协议,IP为互联网络协议。IP地址就是网络协议地址,是分配给网络节点的一个逻辑地址。无论是在私有网络还是在公共网络上,IP地址都是任何使用TCP/IP协议进行通讯的基础。互联网络上每个节点,包括宿主机、网络部件(网关、路由器等)都要求有唯一的IP地址。

IP地址独立于任何特定的网络硬件和网络配置,独立于任何特定类型的网络,不管网络类型如何,它都有相同的格式。因此,利用它可以将数据包从一种类型的网络发送到另一类型的网络。

2 IP地址组成与类型

IP地址是一个32位的二进制数据。这32位数据又分成4个部分,每一个部分都包含8位二进制数据,我们称每一个部分为一个八位位组(octet)。为了简化记忆,用户实际使用IP地址的时候,将组成IP地址的二进制数记为4个十进制数表示,每个十进制的取值范围是0~255,每相邻两个字节的对应十进制数间用“.”来分隔。IP地址的这种表示方法叫做“点分十进制表示法”。实际上,每一个IP地址都可以在软件中加以改变,而且每个IP地址都与一个固定的硬件地址(如以太网地址)相联系。

3 子网掩码、子网划分与地址空间的计算

3.1 子网

在Internet发展的早期,使用二层地址结构(网络地址+主机地址),足以保证实际的应用。随着时问的推移,计算机硬件价格迅速下降、网络技术逐渐成熟及网络的普及,最初的假设已不成立。IP地址的32个二进制所表示的网络数目是非常有限的,因为每一个网络都需要一个唯一的网络地址来标识,且一个组织可能会有多个网络,所以单一的Internet连接已不能满足其要求。在20世纪80年代中期发布的RFC917和RFC950,针对由于相对比较简单的两层结构IP地址带来的日趋严峻的问题,提出了解决的办法:划分子网。划分子网是解决IP地址空间不足的一个有效的措施。

所谓子网,就是把一个有类(A类、B类和C类)的网络地址,再划分成若干个小的网段,这些网段称为子网。划分子网的方法是:将表示主机地址的二进制数中划分出一定的位数用作本地的各个子网,剩余的部分作为相应子网内的主机地址。划分多少位给子网,主要根据实际所需的子网数目而定。这样在划分了子网以后,IP地址实际上就由三部分组成:网络地址、子网地址和主机地址。

3.2 子网掩码

为了进行子网划分,必须引人子网掩码的概念。子网掩码与IP地址结合使用,可以区分出一个网络地址的网络号和主机号。每一个使用子网的节点都选择一个32位的位模式,若位模式中的某位置I,则对应IP地址中的某位为网络地址(包括网络部分和物理网络号)中的一位;若位模式中的某位置0,则对应IP地址中的某位为主机地址中的一位。这种位模式叫做子网掩码。子网掩码是一个32位的二进制值,用于屏蔽IP地址的一部分以区别网络地址和主机地址。子网掩码的表示形式和IP地址的表示类似,也是用圆点“.”分开的4段32位二进制。为了便于记忆,通常采用十进制来表示。

4 IP地址的分配与动态管理

因特网的IP地址由Inter NIC(Internet网络信息中心)统一负责全球地址的规划、管理,同时由Inter NIC,APNIC.RIPE三大网络信息中心具体负责美国及其他地区的IP地址分配。所有因特网地址是由一个中央管理机构进行管理的。

4.1 具体实施方案如下

1)管理机构:因特网编号分配管理机构IANA(Internet Assigned Number Authority)对所分配的编号有最终的控制权,并制定政策。

2)连接到因特网主干网络,才有必要由中央机构来分配IP地址。

3)对于一个独立的公司或单位,是通过ISP来实现IP地址分配。

4)对于内部网络,网络管理员就可以负责分配唯一的网络地址。

5)IP地址具有对网络编号的标识功能,所以如果一台主机从一个网络移到另一个网络,就要改变它的IP地址。

6)DHCP:Dynamic Host Configure Protocol,动态主机地址分配协议。

DHCP协议原理:让网络中的一台服务器来负责动态分配地址,用户的计算机只要接人网络,就向该服务器申请IP地址。

4.2 IP地址的分配和动态管理策略叙述如下

4.2.1 IP地址的分配方法

1)静态分配—指定IP地址,固定地址,是长期固定分配给一台计算机使用的IP地址,一般是特殊的服务器才拥有固定IP地址。

2)动态分配——自动获取IP地址,不固定地址,这些都是计算机系统自动分配完成的。注意服务器必须使用静态地址

4.2.2 IP地址的分配原则

在网络规划中,IP地址方案的设计至关重要,好的IP地址方案不仅可以减少网络负荷,还能为以后的网络扩展打下良好的基础。设计IP地址方案之前,应考虑以下几个问题:

是否将网络连人Internet;

是否将网络划分为若干网段以方便网络管理;

采用静态IP地址分配还是动态IP地址分配。

4.3 IP地址的动态管理

4.3.1 问题的提出

在传统的IP网络中,由于网络上每个设备都有自己的固定的永久性的IP地址,随着Internet网络的迅速膨胀,连人网络的主机和用户越来越多,IP地址变得相对缺乏。因此,如何充分利用现有的IP地址来获得Internet资源已成为一个非常现实的需要。而实现对IP地址的动态分配是解决IP地址贫乏和满足上述需求的一种有效方法。

4.3.2 实现IP动态管理方案

1)使用动态主机配置协议DHCP(Dynamic Host Configuration Protocol)。

DHCP是为IP网上的配置信息包括IP地址信息而制定的协议。它为基于工作站的TCP/IP提供集中配置服务。例如:基于工作站的TCP/IP栈的集中式管理程序可以使用DHCP为工作站自动分配一组地址。在Windows NT中DHCP也可以通过IP地址的集中管理来动态地为网上主机分配IP地址,并确保IP地址的唯一。其地址的分配过程完全不需要网络管理人员和用户的参与而自动完成。

2)基于服务器网关的方法

网关(Gateway)是在网络层一级工作,它可以在不同的网络之间翻译地址、转换协议、变换数据格式等。网关方案是基于服务器的体系结构和直接支持用户与TCP/IP资源的通讯能力,它为IP地址公用和地址共享提供了基础。

地址共享:网关上运行的软件能够将大量的IP数据流分享开来,再根据端口号和标准的TCP/IP将数据送到正确的工作站。

Netware工作站在前端运行基于IPX的Winsock兼容的Internet软件,如Web浏览器、Telnet和FTP等。信息通过IPX打包传给Netware服务器,服务器则利用Iware Connect将信息中的请求转换为TCP/IP协议内容,传送给Internet,反之亦然。这里的Iware Connect就相当于一个网关。

地址公用:网上的工作站有一个单独的IP地址。集中式的IP管理软件通过网关服务器对IP地址进行随机分配。即在一个工作站要访问IP网络时将一个IP地址分配给它,然后这台工作站仍在使用网络时,将地址收回。该工作站每次访问IP网络时,都可能使用不同的IP地址。

4.3.3 两种方案的比较

采用DHCP管理的地址是有限的,它在现有的客户机协议里并未有得到广泛支持。从安全性的角度来说,DHCP由于采用广播式通讯,一个DHCP客户可通过为自己分配所有可用的IP地址而使网络造成混乱。因此,DHCP更适用于专用网络,而不是公用网络。

采用网关方案,网络安全性就可以得较好的控制。比如使用Quarterdeck的Iware Connect产品,一方面可以节省IP地址,另一方面由于IP和IPX协议的差别(内部网IPX协议),使外界的Internet高手也无法进人内部网络(因为根本就没有IP地址),这相当于一个天然的防火墙(Fire Wall)。同时Netware利用NDS进行安全控制,可以对用户、组、主机、IP地址等按应用分类和时间区域进行单向或双向进出访问控制。

5 结束语

随着经济的不断发展,我国的网络事业也将日新月异,与蓬勃发展的网络建设和市场相适应的,应该是一个规范有序的自上而下的管理机制和一个积极健康的市场环境,我们期待着中国的互联网络事业的稳步前进。

摘要：针对目前互连网上许多用户不能合理使用和分配IP地址,造成大量IP地址浪费,从而导致IP地址资源紧张的现象。阐述了如何利用划分子网以及对IP地址进行合理的分配和管理,从而有效地节约IP地址资源。

关键词：IP地址,网络地址,主机地址,子网,子网掩码

参考文献

[1]李小娟.基于Web的IP地址管理系统的设计与实现[J].计算机与现代化,2004.

[2]黄儒乐,李颂华.校园网IP地址管理系统的设计与实现[J].教育信息化,2005.

[3]陈虹,李明东,谢刚.校园网IP地址管理系统[J].福建电脑,2007.

[4]曹忠.IP地址管理系统设计和实现[J].电脑学习,2003.

[5]曹丹海,孙公达.校园网IP地址管理系统的设计与实现[J].西安邮电学院学报,1998.

[6]贺珊,陈萍,宋维佳.校园网IP地址管理系统[J].中国教育网络,2007.

[7]左瑞欣,李贵军.基于Web的IP地址管理系统的开发[J].计算机与网络,2005.

[8]张光勇.校园网IP地址管理系统的设计与实现[J].科技创新导报,2007.

[9]柯宏力,刘羽.基于DHCP和目录服务的校园网IP地址管理系统的研究与实现[J].教育信息化,2002.

IP地址及其管理教案 篇2

一、教材分析。

IP地址是计算机的网络身份证，是一台单机能上网的必要条件。而IP地址必须在子网掩码的配合下才能表明一台主机所在的子网与其他子网的关系，使网络正常工作，所以IP地址与子网掩码犹如一对形影不离的兄弟，联系异常紧密。鉴于此在选择授课内容时，我对教材原有结构进行了调整，不仅仅讲2.2IP地址及其管理，还将2.1节涉及到IP地址和域名这部分内容巧妙地溶入了本节，这样原来割裂的两部分内容互相补充，相得益彰，学生觉得的IP地址有关的知识变得完整丰富。

二、学情分析。

(1).知识方面，学生已经学习了信息技术基础，对计算机网络已经有了一定的了解，但个体差异十分明显。

(2).技能方面，学生思维活跃、积极性高，理解及操作能力也比较强，有很强的概括能力和抽象思维能力。

(3).情感方面，求知的欲望强烈，喜欢探求真理，具有积极地情感态度。

三、教学目标。

1、知识与技能

（1）掌握IP地址的概念、格式、分类。

（2）了解子网掩码域名，掌握IP地址的查看。

（3）了解IP地址的管理方式及IP地址资源的分配情况。

2、过程与方法

充分利用各种手段激发学生学习的兴趣，并通过交流探索，学会与人合作，提高学生的知识迁移能力和独立思考能力。

3、情感态度和价值观

（1）让学生在学习过程中克服畏难情绪，体会到学习理论的快乐，为以后学习理论知识找到合适的方法。

（2）让学生认识到IP地址资源的有限及分配的不平衡,体验民族的危机感。

四、重点、难点突破。

1、教学重点：IP地址的格式和分类，采用生活中贴切类比的办法，让学生通俗易懂的去学习Ip地址的格式和分类。

2、教学难点：通过生中的电话号码牢记IP地址的格式，然后练习多做。

五、教学过程。

（一）什么是IP地址？

[教师] 分析IP地址的概念，说明由于它是唯一的，才能通过IP地址确定主机实际的物

1理地址，从而抓住疑犯。每一台上网的计算机都有自己的网络身份——IP地址

[学生] 告知学生查看Ip地址的方法，查出自己计算机和同学的IP地址并记录。

一：网上邻居－右键属性－本地连接属性－双击“Internet协议（TCP/IP）”

二：开始菜单—命令提示符—

ipconfige_enter

总结：IP地址和域名都能标识网络中的计算机，但IP地址是唯一的。

（二）IP地址的格式（此部分内容以教师讲授为主）

十进制格式：131.107.3.2

4二进制格式：******00

IP地址数字范围在0~255解释原因

总结：[通用格式]十进制格式（点分十进制）：我们将32个二进制数分成4组（每组8位[1个字节]），并将每组转换成十进制数（0~255），且每组间用圆点来分隔。

（三）IP地址的分类

由例子：生活中的电话号码IP地址

根据设计者IP地址的分类

三类IP地址的范围、可支持的网络数目和每个网络支持的主机数的比较

【设计思想】

（1）生活中的例子通俗易懂

（2）通过例子对Ip地址分类的进一步牢记，更加的巩固一下知识。

（四）IP地址分层的管理图——IP地址资源的有限性，如何解决？

因特网地址分配机构（IANA）负责全球IP地址与域名的管理。全球IP地址的分配是按照一种分级的方式管理的。

讨论后得出： 方法一—IPV6方法二—IP地址的动态分配

【设计思想】

1、让学生认识到IP地址资源的有限及分配的不平衡,体验民族的危机感。

2、能自然贴切地引出下一知道点。

（五）作业

1.关于因特网中主机的IP地址，叙述不正确的是（）。

A、IP地址是网络中计算的身份标识

B、IP地址可以随便指定，只要和主机IP地址不同就行

C、IP地址是由32个二进制位组成D、计算机的IP地址必须是全球唯一的 历年真题，巩固检测

2.Internet使用TCP/IP协议实现了全球范围的计算机网络的互连，连接在Internet上的每一台主机都有一个IP地址，下面不能作为互联网上可用的IP地址的是（）。

A、201.109.39.68B、127.0.0.1C、21.18.33.48D、120.34.0.18

3.IP地址172.16.16.16属于（）类IP地址。

A类1.0.0.0~127.255.255.255 第一段为网络号，2~4段为主机号

B类128.0.0.0~191.255.255.2551~2段为网络号，3~4段为主机号

C类192.0.0.0~223.255.255.255 1~3段为网络号，第四段为主机号

D类 组广播地址E类 留用

4.IP地址是计算机在因特网中唯一识别标志，IP地址中的每一段使用十进制描述时其范

围是（）

A、0-128B、0-255C、-127-127D、1-256

（六）总结本节课主讲内容

六、教学反思。

遇到“IP地址及其管理”这节内容大多数老师内心还是非常害怕的，由于大量枯燥的理论又没有针对性强较有趣的学生活动，常常是教师一灌到底，学生听之无趣。但我的这节到结束都能使同学保持高昂的学习情绪，尽量做到不枯燥乏味的现象，归其原因主要体现在以下几个重要设计理念：

一、大量生活资源地应用。对理论地阐述教师用到很多生活中的类比，如IP地址和域名的关系，IP格式和电话号码格式，使讲述更生动。

二、设计一系列针对性强、又切实可行的学生实践活动，使学习主动有交流，使学生自己学习，发现内容，使其不再枯燥乏味。

三、对原有教材内容的重新整合，使 IP地址的教学内容不再被割裂，前后知识一点点联系紧，有因有果，一气呵成，也为下节“如何将计算机接入因特网”分解了一部分知识点。

IP地址管理 篇3

分析原因

出现问题有时并不能及时发现，只有在相互冲突的网络客户同时都在开机状态时才能显露出问题，所以具有相当的隐蔽性。分析原因有如下几种情况可以造成IP地址冲突。

很多用户对TCP/IP并不了解，不知道“IP地址”、“子网掩码”、“默认网关”等参数如何设置，有时用户不是从管理员处得到的上述参数的信息，或者是用户无意修改了这些信息；

管理员或用户根据管理员提供的上述参数进行设置时，由于失误造成参数输错；

在客户机维修调试时，维修人员使用临时IP地址应用造成；

有人窃用他人的IP地址。

查找与解决方法

接到冲突报告后，我们首先确定冲突发生的VLAN。通过IP规划的VLAN定义，和冲突的IP地址，找到冲突地址所在的网段。这对成功地找到网卡MAC地址很关键，因为有些网络命令不能跨网段存取。

首先将客户机与网络隔离，让非法的IP地址的微机在网上运行，网管员便可以设法找到它了。应用网络测试命令有ping命令和arp命令。使用ping命令，假设冲突的IP地址为10.119.40.40，在msdos窗口，命令格式如下，其中后面接下的部分是命令结果。

c:windows>ping 10.119.40.40

request timed out

reply from 10.119.40.40 : bytes=32 time<1ms ttl=128 ......

我们之所以要ping这台机器，是出于两个目的，首先我们要知道我们要找的机器确实在网络上，其次，我们要知道这台机器的网卡的MAC地址，那么我们如何知道它的MAC地址哪？这就需要使用第二个命令arp：arp命令只能在某一个VLAN中使用有效，它是低层协议，并不能跨路由。

c:widows>arp -a

interface: ...... on inerface ......

internet address/physical address/type

10.119.40.40/00-00-21-34-63-56/ dy

namic......

以上列表表示出冲突IP地址10.119.40.

40 处网卡的MAC地址为00-00-21-34-63

-56。接下来我们要找的是MAC地址为00-00-21-34-63-56的网卡的具体物理位置。

网络简介中已经说明，每台客户机的网卡直接连接到第二级交换机上，接下来面对大量的以太网交换机，我们要查找的是冲突MAC所对应交换机的端口。

本网络中与客户连接的设备是bay的303/304，本文以303为例，描述如何查找某一个MAC地址所在的端口位置。bay303的网管有多种方式，下面仅以web浏览器方式描述查找非法MAC的方法。

在查找之前，首先要确定VLAN内的交换机位置，查出这些交换机的IP地址，使用交换机地址可以访问该交换机的网管信息。

在网管员的机器上启动浏览器。

键入交换机的IP地址；提示登录信息后输入用户名和密码；进入“mac address table”选项。

显示如下：

00:00:21:34:63:56 13 dynamic no

00:00:81:65:c3:a0 n/a static no

00:00:a2:f7:c3:e4 25 dynamic no

00:00:21:34:63:56 2 dynamic no

......

此时你可以看到索引的第4项，它正是我们要查找的MAC地址，它的端口号为2。根据综合布线资料，可以查找出相应的信息点的物理位置，从而定位到所连接的微机位置。当然，在此是针对特有的交换机所举的例子，在实际工作中我们要查找很多台交换机，才能找到我们要找的MAC地址，当VLAN中存在大量的交换机时，我们需要在这些交换机中逐个去查找，直到找到为止，这是一个相当繁琐的事情。

对于某一交换机的端口中存在下联交换机的情况，因为交换机支持多个MAC地址，会在上级的MAC表中有下级MAC的记载，所以首先查找上级交换机的MAC表，确定较具体位置后再去查找下一级交换机，这样会大幅度地缩减查找范围。

当然使用专业的网络测试仪可以更快速简单地排除故障，但对于没有昂贵仪器的小型网络的管理者，上述的方法还是很奏效的。

管理策略

多网卡设备IP地址管理方法 篇4

目前在对网络设备进行地址资源分配与管理时,大多是采取基于设备MAC地址与IP地址一一对应的策略[1],这种方法对于管理单网卡终端设备的IP地址比较有效,但对于像服务器等多网卡设备以及虚拟机、双机热备、负载均衡、集群等服务器应用场景,由于存在多个网卡,使用多个IP,存在比较复杂的IP使用属性[2],如:双机热备。在两台主机上部署数据库服务和应用服务,各分配一个IP地址,再虚拟出的第三个IP地址,自动指向到该两台主机的IP资源上。虚拟机。一台主机分配好一个IP资源,另外需要为这个主机的每个虚拟应用分配一个IP资源。集群。在多台主机上部署数据库服务或应用服务,再虚拟出多个IP资源自动指向到部署服务器的IP资源上。

上述多网卡设备及应用场景的IP地址分配与管理缺乏有效的方法,实际操作中都是作为单网卡终端设备逐一进行IP分配,这样往往造成这些设备及应用的IP资源状况不清楚,存在IP重复分配、IP冲突、IP指向错误、IP混乱等现象,给网络地址资源分配与管理带来了极大的困扰[3]。由于这些设备及应用处于网络的关键和核心位置,如何找到一种行之有效的方法,解决多网卡设备及应用场景的IP地址分配与管理,已成为复杂网络及应用环境下网络地址资源管理不得不面临的课题。

为此,本文在建立支持多网卡设备及应用场景的设备组模型及其视图基础上,通过建立设备组与设备、设备组与IP之间的映射关系,维护不同应用场景下多种IP使用属性及其应用视图,实现多网卡设备有效的IP分配与管理。

1 多网卡设备IP地址管理方法

建立支持多网卡设备及应用场景的设备组模型,并在设备组视图基础上,对不同应用场景下多种IP使用属性进行配置,从而实现对多网卡设备及应用场景进行IP分配与管理。方法分为三步:建立支持多网卡主机及应用场景的设备组模型;创建设备组数据视图和逻辑视图,与实际应用场景对应;基于设备组视图实现对多网卡设备及应用场景IP分配与管理。

1.1 建立支持多网卡主机及应用场景的设备组模型

多网卡主机及应用场景的组成、关系及IP分配与应用属性比较多样复杂,必须建立一种对象模型既能描述相互之间的结构关系,又能全面清晰展现单个设备和整体的IP应用属性,设备组模型图见图1。

设备组模型中包括设备组、设备、设备组MAC及IP使用属性信息以及相互之间关系。设备组类型包括主机、虚拟机、双机热备、负载均衡、集群等,可根据需要加以扩展,以支持不同的应用场景。

1.2 创建设备组数据视图和逻辑视图

设备组模型定义和描述了设备组、设备的基本信息以及相互之间关系,本方法通过创建设备组数据视图和逻辑视图直观展示了设备组模型信息,图2为某双机热备设备组视图。

其中数据视图通过列表方式对设备组中设备信息进行维护和展示,逻辑视图则通过拓扑关系展示设备组MAC及IP使用属性信息以及相互之间关系,逻辑视图是采用VML技术,根据数据视图和设备组MAC及IP使用属性信息自动生成视图文件并格式显示。

1.3 实现对设备组的IP配置与管理

基于设备组数据视图和逻辑视图,实现对设备组的IP分配与管理,首先根据设备组的IP使用属性,建立符合设备组MAC及IP使用属性表,用于存储设备组的MAC及IP信息,对于多网卡主机及应用场景,其IP属性比较复杂,有些IP需要静态绑定,有些IP则处于保护状态,为此分别建立IP分配信息表存储不同IP使用属性的分配信息。具体步骤如下:

1)将多网卡设备及应用场景创建为设备组,并维护设备组相关信息;

2)维护设备组下组成设备的基本信息,根据应用场景,设备既可以是物理设备,也可以是虚拟设备;

3)根据设备组信息创建设备组的数据视图和逻辑视图;

4)在完成设备组信息维护以后,对设备组的IP使用信息进行配置。

2 结语

在地市公司日常信息运维工作中,多网卡设备及应用场景的IP地址分配与管理缺乏有效的方法,本文在建立支持多网卡设备及应用场景的设备组模型及其视图基础上,通过建立设备组与设备、设备组与IP之间的映射关系,维护多应用场景下多种IP使用属性及其应用视图,实现多网卡设备有效的IP分配与管理。

摘要：在建立支持多网卡设备及应用场景的设备组模型及其视图基础上,通过建立设备组与设备、设备组与IP之间的映射关系,维护不同应用场景下多种IP使用属性及其应用视图,实现多网卡设备有效的IP分配与管理。

关键词：多网卡设备,地址管理,IP分配

参考文献

[1]陈虹,李明东.校园网IP地址管理系统[J].福建电脑,2007(7):166-167.

[2]陈明,胡梦飞.基于SNMP网络设备IP地址管理系统的设计[J].电脑知识与技术,2011,7(31):7 606-7 607.

《IP地址及其管理》教学设计 篇5

高中新程改革培训作业 《IP地址及其管理》教学设计 海南实验中学

吴爱锐

一、教材分析

通过对第一章的学习，学生对网络有了初步的体验，知道网络是为人们提供信息、资源的平台。本章在此基础上介绍IP地址和IP地址的管理，IP地址的概念非常重要，是本节教学的重点，但由于知识内容本身比较抽象，学生不太容易掌握，教师在授过程中，可以结合上机实践，让学生慢慢接受这个概念，可以通过：让学生查看本机的IP地址，比较周围同学的计算机IP地址的异同，这样让学生亲身去体验，可能比直接告诉学生“什么是IP地址”效果会好一些。IP地址的管理主要介绍因特网地址的分配和分级的管理方式。

二、学情分析

我校是省农垦总局直属的一所高级中学，学生大部分来自全省的各个农场，由于农场的教学设备和师资力量等方面的原因，教学基本都是零起点，但经过一年的学习，学生略有了网络方面的知识，但对网络知识的进一步学习还有待加强。

三、教学目标分析

A：知识目标

（1）、让学生了解IP地址的概念,IP地址的管理办法。

（2）、让学生掌握IP地址的格式及分类。

B：能力目标：让学生能根据IP地址判断网络类型和对应最大主机数目。

：情感目标：

（1）让学生认识到IP地址资源的有限及分配的不平衡,体验民族的危机感。

（2）培养学生在进行自主学习的过程中勇于克服困难，体验到成功后的快乐。

四、教学重点、难点、关键

重点：IP地址的格式及分类

难点、关键：IP地址的格式

五、设计理念：

本节的设计理念是:充分发挥学生的主体地位为出发点，以培养学生自主学习能力全面提高学生素质为目的。整节的内容安排是以从学生“动手”中发现问题，又在学生的“动手”中解决问题为主脉展开的。

六、教学策略的选择与设计

1、教学方法：

（1）任务驱动—体验探究法；

（2）网络探究教学法；

2、学法指导：体验探究法、协作式学习法。

七、教学过程设计

教学环节

教师活动

学生活动

设计思想

新的 引

入

情景02年7月,江西省公安机关查获一起利用网络进行赌博的案专案组经侦查发现,用于赌博的计算机在网上登录的总服务器IP地址为广西柳州市……

引导学生阅读材料并思考

学生思考问题:

公安机关是如何发现赌博地点的？

IP地址是计算机的一种标识，对应了网络中相应的物理地址

学生阅读、思考、并回答问题

创设情景，并引出IP地址概念

新

学习

布置

任务

⌒

教

师

监

控

︶

[任务1]打开两个浏览器窗口，分别输入nninetn和“19226119”,看看会出现什么情况？并体验ＩＰ两种地址的转换。（教师给出互联网上的两种地址的转换资源。例如下列地址：http://2102919216/astar3/analse_ipphp）

[任务2]查看本机的IP地址,比较与周围同学计算机IP地址的异同

1，学生完成相应的任务。并回答问题

在任务设计时以探索问题来引动和维持学习者学习的兴趣和动机。

学

法

指

导

⌒

教

师

监

控

︶

指导学生带着“任务”中的问题，探索交流,小组互助，量力而行完成操作任务。

学生完成相应的任务。并回答问题

通过自主学习，能激发他们的学习积极性，有利于全面提高学生动手动脑的能力。

师

生

互

动

一、学生阅读教材

教师分析IP地址的格式

二、和学生共同探讨IP地址分类和对应最大主机数目

并提出问题让学生思考:

1、、什么是网络地址？主机地址？

2、2、网络地址的种类？

3、3、三类网络地址的地址范围。

学生

完成任务。并相互探讨，回答教师问题

本部分应注意：

是教材的难点。应让学生先阅读教材，教师给出问题，并相互讨论后，在加以引导，点拨。

师

生

互

动

三、IP地址管理

教师给出问题：

ＩＰ地址的管理的机构是什么？

学生上网查阅资料：

如：http://nninetn/

四、指出我国ＩＰ地址的总量不足，及其原因。鼓励同学们努力学习。

学生在教师指导下查阅资料

让学生认识到IP地址资源的有限及分配的不平衡,体验民族的危机感。

知识迁移

学生活动

[问题]我国ＩＰ地址的总量不足解决办法是什么？

查阅有关ＩＰＶ６的资料

采用小组形式讨论

比较ＩＰＶ４和ＩＰＶ６

每棵西兰花都有IP地址 篇6

今年5月，联合国粮农组织发表媒体通报表示，全球主要食品价格连续4个月出现上涨，全球的农产品重回涨价周期。农产品的涨价有很多理由，但传统农业的前景，在全世界范围内都不容乐观。

目前的工业粮食体系要养活全世界72亿人口，其中的36亿人生活在城市，而只有区区2亿人在从事粮食生产工作。而自然资源日渐匮乏、生物多样性丧失、气候变化以及城市人口的爆炸，都让这样的粮食体系逼近极限。

非洲是世界人口最年轻的大陆，50%的人口年龄都低于18岁，而他们中80%的人不希望成为农民，农业是困难的，小农场主的生活境遇亦是如此的。在印度，农民家庭没有基本的公共服务，农民无法另谋生路，自杀率相较于10年前陡增许多。日本的食物70%靠进口，而在福岛核电站泄漏事故发生后，土地和海洋受到污染，当地的年轻人都去了仙台、东京这样的都市，而福岛县则成为了“没有青春，没有水，没有土地，没有未来”的荒村。

即便在世界最大的农业发达国家美国，“土地”离开都市人的距离也很遥远——美国的苹果从采摘之后，到送到餐桌，平均会在仓库里存储14个月时间。农业科技的发达，在仓库充入一些特殊气体后，让人们可以在盛夏的六月也能吃到苹果，但是从营养的角度，这个苹果从收获的时候就已经死亡了。

在过去一万年的历史长河中，农耕文明才有了在公元前8000年的第一批人类定居，无论是后来的工业社会的崛起，还是以生物科技主导的垂直农业，农业的变革与人类社会的进程息息相关。

“开放农业计划”的创始人卡莱博·哈珀（Caleb Harper）从福岛核电站的受灾人群中得到启示：如何帮助福岛离开土地的农民重新开始生活？如何能让年轻人回归农业？

农业的维基百科

对哈珀来说，传统农业种植的工作，是把一件农产品在收获后，从产地运往消费者的餐桌过程，需要经过一次次的运输，也产生了一次次的损耗。而他希望做的事情，却是“把一个苹果数字化，以空气中粒子为载体进行传送，当到达目的地后，这些数字化的苹果又重新形成苹果”。

“我们传递的是食物的信息，而非食物本身。通过食物计算机、食物服务器以及食品数据中心将全球的人进行连接，实现种植信息共享，所有人都能在这里进行信息的交换。”这个位于麻省理工学院媒体实验室的平台，目标是成为“农业版的维基百科”。

“将所有信息公开在像维基百科这样的平台上，以改善全球的食物网络结构。每个人都能下载所有的数据，并根据自身需要调整食谱进行种植。这样，所有人都可以成为农民，成为食物的生产者。”

但要编辑这样一本百科全书，信息的来源非常有限。如果说传统农业知识可以代代相传，那么都市农业的经验就很难获取。“都市农业和传统农业相比，完全是一条不同的路子，可以保证全年不断的生长期。因为空间限制，它往往采用垂直的设计，同时还需要特殊的光、水、土等条件。目前这方面的公共信息却严重不足。”

“大多数已有的知识都被一些大型农业公司掌控，或者由森严的知识产权法保护着，还有大批红着眼睛想在现代农业里面淘金的投机分子。”哈珀认为，“这些特别小的数据中心，没有意识到背后还有一个体系存在。”

为突破这些障碍，哈珀开发的是一个开源的数字化农作物成长系统，通过自动控制系统，创建一个可控环境以及可操纵的气候。传感器负责监测作物的生长条件，并根据预设的算法对光照、温度、湿度、二氧化碳水平、水循环以及养分供给进行微调。随着时间的推移，所有的生长数据都会被累积，这份农作物的“营养食谱”也就能通过网络，不受限制地被分享到世界各地。

每一棵正在实验室里培养的西兰花，都有一个对应的IP地址。如果这还不够奇怪，你还可以点击获取“植物配置文件”，它告诉我们植物的理想“下载进度”，即距离可采摘还有多少时间。这样的智能控制，能计算何时能达到人们的营养需要？何时其口味达到最佳？当浇水过多或阳光过于充足时系统会发出警告，就像给每棵西兰花建立了一个Facebook网页，表达自己的喜怒哀乐。

农业维基百科的流程透明，让农业技术的改进可以得到来自非农业部门的协助一一美国航空航天局向他们提供了用于和平号太空站的雾化技术，这种技术根据植物的确切需要，来给予其水分、矿物元素和氧气，西兰花的生长速度提高4到5倍，在8个星期内从种子完全长成。

相比其他都市垂直农业的“闭源”，农业维基百科开源的益处，还可以提高食物的安全性：“我们正处在一个转变时期，过去我们用低廉的成本生产出大量的食物，而现在我们要把重心转向生产高质量的食物，并且希望了解这些食物。”

“我们需要知道所食用的食物有什么营养，以及它们是如何生产出来的，还有它们对我们的好处。这种食物对我的小孩来说，是不是安全的？如果他们吃了的话，会不会在10年内得糖尿病？这些问题是广大消费者都非常关心的。农业的革新已经进入营养学的范畴。”

拥有全世界的风土

“风土”这个词在法语里有着特殊的情结，从酿酒、奶酪到蜂蜜、咖啡，它强调人们对自然条件的尊重，包含土壤、气候、水质和当地人的手艺等诸多因素。传统农业中，“风土”是决定性的因素：没有得天独厚的风土，就没有倾国倾城的美酒，“风土是人类千百年来的梦想。”

在法国的勃艮第，天上只有一种气候，地上却有1247个像马赛克一般的风土地块。这样的地块在近1000年中保持着同样的名称，同样的特别底层土质、特别的光照条件和特别的水文特征，结果每个地块都有拥有独特的微气侯。这样的风土地块产出的酒是独一无二的，别的地方产不出也模仿不出同样的酒来。而在中国的语境中，则有“一方水土一方茶”。

nlc202309081014

在哈珀看来，如果从“风土”的角度去画出一张世界地图，那么地球上存在着巨大的差异与不平等。一些土地被上帝偏爱而特别高产，而另外一些则特别贫瘠，拥有一块宜人的风土，对很多农民来说，遥不可及。“如果气候是民主，人类依然身为气候的奴隶。”

而在哈珀创造的自动化控制系统中，计算机不仅控制着植株本身的生长情况，还控制着整个室内的二氧化碳、氧气等所有气候条件，不同的气候条件，会产生比勃艮第1247个风土地块更复杂的“气候食谱”，决定着植株的营养成分、大小、形状、颜色等指标。

而“开放农业计划”还有一项非常激动人心的新技术，就是更为直接地控制作物的风味。当你对巴西种植的咖啡豆情有独钟时，那么食物计算机就可以用编码表达出巴西的气候。在程式里，从模拟环境条件开始，限定了二氧化碳、氧气、湿度、温度的数值，同时也会分析出产地土壤里的矿物质成分与含量、根系温度、阳光照射角度、降雨量等，从而在纯人工的环境中，模拟出特定风土下的美味食物，“定制”出需要的味道。

而对于未来农业，这不仅解决了农业的数量，也提高了农业的品质。这改变了工业化式的农业生产，大规模耕种、却只能生产单一作物的农场。而在个人农业计算机里，用户可以导入由其他用户创立、测试和完善的气候配置，或者自己进行模拟气候配置，然后就可以在家里的“农田”里收获来自世界各地的美味时蔬。

对于那些经过远距离运输才能上到餐桌的食物来说，“乾坤挪移”将更加容易。而对那些习惯了本土口味的人来说，可以更加常见地看到“蔬菜和水果移民”。在哈珀的实验室里，目前同时种植的有东南亚高良姜、非洲木薯、印度莲子、加勒比海木槿、马达加斯加香草荚和热带的小豆蔻。他们和每个开放城市的移民一样，丰富多样，色彩斑斓。

除了可以发现和认识更多的“移民”，用户还可以更容易了解主厨的奥秘——那些特供米其林餐厅厨房的长势良好的番茄，也可以“一键下载”，种植出相同的带有酸甜口感的滋味。

食物计算机

按照“开放农业计划的”构思，从一个种植爱好者，到成为入门成为真正的都市“农场主”，需要投资拥有一台真正的“个人食物计算机”。如同当年个人电脑的风靡，这也可能是未来的风尚。

哈珀构思了三种规模的食物计算机，能够根据生产或者实验需求，控制培养出各种等级、各种型号的作物。个人食物计算机，如同笔记本电脑的大小，为了让种植爱好者以及学校中的学生，对学习食物生产技术产生兴趣。

这台个人食物计算机看起来就像一个长方形的鱼缸，只不过里面并不充满水。发出紫光的LED灯管、正在萌芽的蔬菜，都实时与互联网连接。爱好者们随时掌握自己“鱼缸”内的生长情况，还可以和其他人进行对比和参照。这种小型环境系统利于开展实验，同时为人们对生物学、植物学、环境学、编程、工程等学科的学习提供极大的帮助。

第二等级为“食物服务器”，形似标准大小的集装箱，这种中等型号的设计单元，会吸引跨学科的研究者，以及小型咖啡厅、餐厅以及时装店的老板。船运集装箱大小的食物计算机，周围安装了树脂玻璃，生长空间都配有光照、管道和成架种植的农作物，可以让餐馆老板们在餐厅内种植食物，并能为顾客提供最新鲜的食物。

而最大规模、最高等级的为“食物数据中心”一一这个规格的食物计算机尚在研究阶段，哈珀期望开发出一项能够控制仓库大小的室内环境的技术，以用于工业化的农业生产，实现多种作物分区栽培，每种作物都达到其最佳生长条件。在设想中，食物数据中心的体量将占据整个工厂或某些大型建筑。

而三个等级的计算机之间，实现了数据的兼容性——在桌面原型大小的食物计算机中所开发的特定作物，其适宜生长条件可以扩展到航运集装箱大小的食物服务器。

哈珀表示，“建立3种规格食物计算机的目的是实现个人、小规模和大规模农业技术平台的标准化。”不管是食物计算机还是食物服务器，“开放农业计划”还开发了一个定制操作系统，界面则设计成游戏登陆界面，这样人们在世界各地都能通过智能终端进行控制，普通人也能娴熟地对不同等级的计算机操作和掌握。

操作系统支持“回放”功能，当一个生长周期结束后，用户如果希望再次种植同一类植物时，只需点击按钮，就可重复当前食谱。界面还支持“分享”功能，用户可以将这些食谱与朋友分享，把自己心仪的食物“传递”给朋友。

截至目前，全球已经拥有接近10台食物计算机：麻省理工学院和波士顿地区的公立学校有六台个人食物计算机，另外两台食物服务器分别位于麻省理工学院与墨西哥瓜达拉哈拉国立理工学院的高级科研中心。而“开放农业计划”的全球第一个食物数据中心，定于今年下半年在麻省理工学院附近建成。

未来的农业图书馆

“开放农业计划”的最终目标是让世界拥有更多的农民，并实现一个灵活、开放、具有高度响应能力的农业系统。

如果食物数据中心成功投入运行，这项技术能够开辟在室内仓库化环境下进行农业耕作的可能性，满足高密集度的城市生活，维护粮食安全，以应对未来气候的不确定性及生态系统的脆弱性。“在麻省理工媒体实验室这个2米宽、9米长的玻璃箱里种植，这里作物每30天为一个循环周期，生长速度是正常状态下的3～4倍，每次收获大约可满足300人的需求。

“开放农业计划”并不局限于成为一本农业的“维基百科”，它还致力于成为一个开放式的博物馆一一它的馆藏核心为一个将自然环境输入与作物分类输出相匹配的综合性数据库，供科学家和种植者进行研究。例如当温度、相对湿度、二氧化碳和氧气浓度、水的酸碱性等参数的改变，与植物的表达，如颜色、大小、生长率、营养成分，会产生怎样的关联。通过对云数据的处理，进一步优化各种数据和算法，满足种植者个性化的需求。

这个数据中心也将生产更多有利于改善都市人健康的食物。哈珀预测，“20年内，医生开出的药方也可以通过食物计算机生产。医生根据个人基因组和生活习惯，给出一些活性菌群。患者遵医嘱，在食物计算机中加入种子和活性菌，使用气候配方，最后收获改善健康状况的有机食物。”

由于最新一代LED植物生长灯的效率急剧提升，越来越多的垂直农场出现在世界各地，尤其是食物严重依靠进口的日本，目前已经有接近200个垂直农场。不过哈珀承认，与加利福尼亚或者墨西哥拥有成百上千公顷土地的农场主相比，食物数据中心仍然在起步阶段。“我们的目的不是替代自然环境。人工环境的农业生产，要想赶上传统农业生产，还有5到10年的路要走。”

虽然尚未走向商业化，但“开放农业计划”已经吸引了塔吉特（Target）集团的关注。这家美国超市连锁巨头，将在未来15年投入食品生长、消费变革模式的研究，而“开放农业计划”已经被纳入了研究资助的范围。

在世界范围内，值得欣喜的一个转变是，各国正在推动的第四次农业革命，已经从“孤军作战”转向了“协同作战”。与“开放农业计划”做法相吻合的是，开放数据被认为是“扩大农业覆盖范围、使全球5000万人摆脱贫困的最重要的方面”之一。

在2012年的八国集团领导人峰会上，决定通过一个全球性的平台将其国家的农业数据，与发展中国家的农民、研究人员和决策者分享。这些数据，由美国政府部门制作并存储，价值极高。将便于人类和机器更便利地找到、下载、阅读及使用，不加任何格式限制”。美国总统奥巴马表示：“创建一个平台，以有效共享关键数据和用以分析数据的工具，乃是人类与饥饿作斗争的下一个关键步骤。”

基于ARP欺骗的IP地址管理技术 篇7

无论是在公用电话系统中, 还是在专用电话系统中, 都是靠电话号码来识别电话用户。同样, 在基于TCP/IP协议的网络中, 无论是在广域网的还是在局域网中, 都是用IP地址来区别在网络中活动中不同计算机, 通过IP地址这个“身份”与其他工作站进行沟通交流。在一个用户数量较多的网络中, 只要掌握每个用户的IP地址, 就可以有效的实现网络的安全管理, 并确保网络处于高效运行状态之中。现实情况是随着网络应用的普及和网络客户急剧膨胀, 作为网络管理基本任务范畴之一的网络地址管理工作成为一个破费脑筋的工作, 因为IP地址冲突和IP地址盗用所带来的麻烦相继而来, 特别是IP地址的盗用不仅影响到合法用户的正常使用, 同时也有由于收费策略原因造成用户经济上的损失, 更有甚者使用他人的地址在网上发布非法信息、攻击他人主机、破坏网络安全, 其影响将更为严重。本文首先对目前业已存在的IP地址管理技术进行分析讨论, 并进而针对这些技术中存在的不足, 提出了一种全方位的IP地址管理技术, 并给出了具体的实现方法。

1 传统IP地址管理方法和问题

为了解决当前在企业网等局域网中因为随意改动IP地址所引起的IP地址冲突、IP地址盗用、非授权IP地址使用等给网络管理带来的挑战, 也为了能够有效地管理网络, 实现网络故障的快速定位。目前普遍采用的做法是要求用户申报计算机的MAC地址, 并通过IP与MAC地址的绑定来实现对IP地址的管理。

1.1 基于接入交换机端口的MAC地址绑定控制方法

通过在接入交换机上命令设置某个端口绑定一个具体的MAC地址进行控制, 即在TCP/IP第二层进行控制。这样只有具有这个MAC地址的主机才可以使用网络, 且在对该主机的网卡进行了更换或者在这个端口上连接了其他MAC地址主机的情况下, 可以保证网络都不可用, 除非删除或修改该端口上绑定的MAC地址, 才能正常使用。此方案的最大缺点在于它需要网络上接入交换机全部采用可以网管的交换机提供用户接入, 这一方面会带来一个实施成本问题, 另一方面端口绑定的实际操作将会导致大量的配置工作量, 这使得在交换机端口进行MAC地址绑定方法并不是一个能够被普遍采用的解决方案, 在某些应用场合, 它仅仅具有理论上的可能性。

1.2 路由器隔离技术

采用路由器隔离技术的主要原理依据是M A C地址作为以太网卡地址全球惟一不能改变。一种实现方法是通过SNMP协议定期扫描各路由器的ARP表, 获取当前IP和MAC的对照关系, 并和事先合法的IP和MAC地址比较, 如不一致, 则为非法访问。对于非法访问, 有如下几种办法可以禁止其网络行为:一是使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项;二是向非法访问的主机发送ICMP不可达的欺骗包, 干扰其数据发送;三是修改路由器的存取控制列表, 禁止非法访问。采用路由器隔离的另外一种实现方法是使用静态ARP表, 即路由器中IP与MAC地址的映射不通过ARP协议来获得, 而采用静态设置。这样, 当非法访问的IP地址和MAC地址不一致时, 路由器根据正确的静态设置转发的帧就不会到达非法主机。这种方法的缺点是无法对跨网段内的IP和MAC地址进行绑定, 因为经过路由器或者三层交换机的数据报头的源MAC地址已经被替换成了三层设备的端口MAC地址, 因此这种方法具有相当大的应用局限性。

前面所述的两种IP与MAC地址绑定方法可以在一定程度上解决IP地址冲突、IP地址盗用、非授权IP地址使用这个问题, 但也会带来以下几个问题: (1) 当需绑定的IP地址数目较大时, 工作量非常巨大; (2) 当IP与MAC的对应信息发生变化时, 比如用户的计算机网卡换了, 或者该IP分给了另外一台计算机, 必须再次手工更新原来的绑定信息, 操作上很不灵活; (3) 绑定操作需要较专业的技术人员完成, 导致工作量集中在个别人员身上。

2 ARP协议与网络登录行为分析

为了解决前面所述的IP地址管理技术存在的问题, 下面我们首先对ARP协议进行了介绍, 并对网络用户登录网络的行为进行了信息的分析, 以便为我们进行IP地址管理系统的开发提供理论依据。

2.1 ARP协议与ARP欺骗

ARP协议是一个地址解析协议 (Address Resolution Protocol, ARP) , 位于IP层面。TCP/IP网络依据IP地址进行数据包转发, IP地址是TCP/IP网络的第三层协议地址, 而当数据在物理层传输时必须依据物理硬件地址来识别主机或节点。因此, 在将数据从应用层发送到物理层之前, 必须将下一跳的IP地址解析成对应的物理硬件地址。ARP协议的作用就是获取TCP/IP网络上相关主机或节点的物理MAC地址, 并创建一个将MAC地址映射到主机IP地址的本地数据库, 以提供关于数据应如何传输以及传输到何处的信息。ARP协议规定, 在以太网环境中, 一个ARP请求消息被嵌入在一个以太网数据帧后, 该ARP请求包含目的主机的IP地址, 并将该以太网数据帧以广播方式发送给同网端上所有活动的计算机。一旦某台计算机收到这个ARP请求数据帧后, 都会检测其中的IP地址。与该IP地址匹配的计算机将发送一个ARP应答包, 这个包包含IP地址及对应的MAC硬件地址;而其他计算机则会丢弃收到的ARP请求, 且不发任何应答。当一台计算机发送一个ARP应答时, 这个应答消息并不在全网广播, 而是被放进一个以太网数据帧中直接发回给请求者。请求者收到应答后可以从IP数据报中获取所需要的目标硬件地址。

由于在网络上每一个活动主机上都有一个可以动态刷新的ARP高速缓存, 用以存放最近IP地址到硬件MAC地址之间的映射。在发送报文前, 主机先在ARP高速缓存中查找是否有目标IP地址对应的目的MAC地址。只有在找不到匹配项的情况下, 才通过发送ARP请求包进行地址解析, 这保证了ARP协议的高效运行。

由于ARP协议是建立在对局域网中所有主机完全信任基础上的, 主机接收到ARP请求或应答后就更新ARP缓存表, 而不对该请求或应答报的合法性进行验证, 而ARP欺骗正是利用了ARP协议的这种机制。网络中的某台主机可以通过人为地发送ARP应答帧或ARP请求帧的手段来动态刷新同一网段内其他活动主机的ARP缓存, 而只要在发送的ARP数据帧中, 填入伪造的MAC地址或IP地址, 就可以达到ARP欺骗的目的。

2.2 计算机网络登录行为分析

作为一个具有普遍意义的计算机网络登录行为例子, 下面来分析一台安装了Windows操作系统的计算机登录到局域网的过程。一旦一台计算机安装好Windows操作系统和网卡驱动后, 就缺省地安装了以下三个网络组件:MicroSoft网络客户端, Micro Soft网络的文件和打印机共享, Internet协议 (TCP/IP) 。只要在TCP/IP网络连接的“属性”里, 设置好本机的IP地址、掩码、网关地址和DNS地址, 就配置好了基本网络连接。

无论是重启计算机还是在更改了计算机Internet协议的TCP/IP属性后, 这台计算机系统都会首先取得本机设定的IP地址 (比如是1.1.1.1) 和MAC地址, 然后发出ARP请求广播包。但该ARP查询包的目标IP地址和源IP地址均被设置成1.1.1.1, 源M A C地址设置成该计算机的M A C地址, 目标M A C地址设广播地址。计算机发送该ARP查询包的目的是查看目前在网络上是否有计算机正在使用本机准备注册的IP地址;一般说来, 此ARP包要发三次, 在等待了三次之后, 如果该计算机没有收到该ARP包应答, 则认为目前没有计算机正在使用这个IP地址, 那么系统就以这个IP地址登录网络。如果在该计算机还安装了NetBIOS协议, 则该计算机还将发出三次NetBIOS的名字注册包, 用以在局域网上注册自己的计算机名;同样, 发出这个数据包三次之后, 如果没有收到回应, 那么该计算机即认为自己可以使用这个名字注册。这样, 装有基本网络协议的计算机的局域网登录过程就此结束。

3 ARP欺骗在IP地址管理系统中应用

虽说ARP欺骗对网络安全构成了严重威胁, 但通过对计算机登录网络行为分析, 网络管理和安全管理两种技术的综合, 我们提出了一种集VLAN管理、交换机管理、SNIFFER技术、以及ARP欺骗等技术的综合性IP地址管理解决方案, 彻底解决了目前局域网IP地址管理所面临的诸多问题。

3.1 系统工作原理与功能描述

图1给出了IP地址管理系统原理图。从图中可以看出, 在整个被管理的网络内部署了一个IP地址管理服务器, 而在被管理网络的每一个VLAN内均部署了一个IP地址客户端。

IP地址管理服务器主要功能包括:IP地址数据库建立和资源数据的自动获取与管理, 资源数据内容包括管理区域的起始IP地址、最终IP地址、子网掩码, 每个网络主机所对应的IP地址、MAC地址和主机名;IP地址使用管理策略的设定, 也即对网上使用的每一个IP地址定义一组属性, 如地址信息、管理信息、分配策略、绑定策略和监控策略等;实现对IP地址合法性进行检查等, 如依据IP管理策略, 对IP与MAC地址绑定关系、IP和MAC地址与交换机端口三者的绑定进行定时验证, 并对发生的违规情况采取相应制裁措施, 如进行网络屏蔽和强制关闭交换机端口等。

IP地址管理客户端主要功能包括从IP地址管理服务器数据库中端下载本网段的IP管理表, 并缓存在高速缓存中;辅助IP地址管理服务器实现本网段内主机信息的收集;接收并执行管理服务器指派的相应任务, 如对有关违规行为的处罚, 通知交换机对某个VLAN内的端口进行控制等。

3.2 ARP欺骗应用原理

系统采用分布式软件体系架构, 在整个被管理的网络内部署一台IP地址管理服务器, 而在每一个被管网段内均部署了一个IP地址客户端。服务器和网络主机或网络设备之间的通信采用SNMP协议, 而服务器和客户端之间采用端口可自定义的HTTP协议进行通信, 实现对防火墙透明穿透。客户端内容的更新采用两种实现方式, 一是可以通过在启动客户端IP管理机程序时自动到管理服务器抓取, 二是能够通过管理服务器端在数据库发生表格条目更新时自动地推送到相应的客户端IP管理机中。

在我们的具体实现中, 服务器端程序采用VC开发, 数据库为MS SQL Server。客户端采用系统无关数据包捕获函数WinPcap进行ARP数据帧的捕获, 并采用VC开发环境进行ARP数据帧解析和ARP欺骗程序开发。

图2给出了基于ARP欺骗原理在IP地址管理系统的应用示例图。我们在实施中将某个网段中安装了IP管理代理程序的计算机网卡设置成混杂模式后, 它就能接收到同网段上的所有注册ARP请求或应答帧。一旦代理计算机接收到了发自同网段某台计算机的注册ARP请求, 则可以通过相应代理软件, 实现对该ARP包的解析, 并获取发送该ARP包的主机IP地址和网卡MAC地址。之后将所获得的IP地址和MAC地址与已经从服务器端下载到本地缓存中的合法IP地址和M A C地址绑定数据表进行比对, 就可以判定该IP地址或MAC地址是否存在合法有效的绑定关系。如果判定结果为合法, 则IP管理代理保持沉默, 且不作任何反应;但如果判定发现该IP地址和MAC地址与制定的绑定策略不一致, 则认为在网上发生了IP地址盗用或者是未经允许计算机企图非法使用网络服务。此时管理代理一方面通过代理程序伪造一个ARP应答帧, 告知使用了非法IP地址或MAC地址的计算机, 该IP地址已经在用;另一方面向服务器主动发送一个通知消息, 告诉服务器本网段发生了IP地址违规使用情况, 则服务器将根据制定的IP管理策略, 对连接该IP地址或MAC地址的交换机端口采用相应的动作, 如通过SNMP协议将该交换机端口进行强制性关闭。通过ARP欺骗原理, 最终可以实现使用了非法IP地址或MAC地址的计算机永远也不能实现网络的正常注册和登录, 既而也无法享受网络提供的信息服务。

4 结束语

为了解决某些高水平计算机用户任意修改自己的IP地址或MAC地址而带来的轻则导致IP地址冲突, 重则导致严重影响网络信息服务系统运行, 甚至导致网络运行中断等恶性后果, 提出了对企业网客户端管理有必要精确到每台机器和每个人的要求。本文提出的基于ARP欺骗原理的IP地址管理系统正好能满足现如今对网络管理越来越精确化的要求, 且目前实施情况也证明了基于ARP欺骗原理的IP地址管理系统能确保网络运行顺畅。

参考文献

[1]谭思亮.监听与隐藏.北京:人民邮电出版社.2002.

[2]V.Jacobson, C.Leres　and　S.McCanne, Libpcap.Lawrence　Berke-ley　Laboratory.Berkeley.CA.Initial　public　release　June1994.Avail-able　now　at　http://www.tcpdump.org/.

IP地址管理 篇8

IP地址也可以称为internet地址或互联网地址, 是用来唯一标识互联网上计算机的逻辑地址。每台连网计算机都依靠IP地址来标识自己, IP地址必须唯一。IP地址的表示:4个以小数点隔开的十进制整数就是一个IP地址。每部分的十进制的整数实际上由8个二进制数组成。IP的结构和分类:在IP地址的这四部分中, 又可以分成两部分, 一部分是网络号Network (用来标识不同的网络) , 一部分是主机号 (标识用于特定网络区域内的某台主机) 。IP地址的网络部分是由IANA (Internet地址分配机构) 统一分配的, 而主机位IP地址是由得到网络地址的机构或组织自行分配。我们把IP地址分成A、B、C、D、E类:A类地址, 第一组表示网络, 后面三组表示主机。B类地址, 第一, 二组表示网络, 后面两组表示主机。C类地址, 第一, 二, 三组表示网络, 最后一组表示主机。为了确定IP地址的网络号和主机号如何划分, 使用到了掩码。也就是说在一个IP地址中, 通过掩码来决定哪部分表示网络, 哪部分表示主机。大家规定, 用“1”代表网络部分, 用“0”代表主机部分。也就是说, 计算机通过IP地址和掩码才能知道自己是在哪个网络中。IP地址的获得:有两种方式, 一种是静态方式, 一种是动态方式。

2. IP地址及其管理

IP地址管理是成功的逻辑设计的基础。任何一台在局域网中“活动”的工作站, 它都是通过IP地址这个“身份”与其他工作站进行沟通交流的, 只要我们能安全妥善地管理好局域网中的所有IP地址, 就能确保局域网始终处于高效运行状态之中。学校从组建校园网以来一直采用用户静态IP地址分配。所有网络用户入网前需要事先从网络中心申请获取静态IP地址。网络中心收到申请后在用户接入的二层交换机上完成一次用户IP-MAC-接入交换机端口的绑定, 使用这种方法来确认最终用户, 消除IP地址盗用等情况。学校统一规划分配IP地址给每个终端机器, 并建立IP地址分配登记表, 统计每个终端机器网卡的MAC地址, 建立IP地址与MAC地址对照表。在交换机上采用VLAN (Virtual LAN, 虚拟局域网) 技术解决广播带来的不良影响。我们学校划分VLAN的方式是基于接口来划分VLAN。交换机通过接口和客户端相接, 只要通过配置命令将交换机的接口分给不同的VLAN, 就相当于把这些客户端划分到了不同的广播域。将接口划分到VLAN的方式如下:以华为3100 EI系列交换机为例, 登录进入交换机, 输入管理口令进入系统视图, 敲入命令:

执行上述命令, 可在3100 EI交换机创建4个VLAN, 并将相应的端口划分到对应的VLAN中。

3. IP地址的绑定技术

3.1 基于交换机的IP地址、MAC地址、端口的绑定

(1) MAC地址及MAC地址的作用。MAC地址也叫物理地址、硬件地址或链路地址, 由网络设备制造商生产时写在硬件内部。MAC地址在计算机里都是以二进制表示的, MAC地址通常表示为12个16进制数, 每2个16进制数之间用冒号隔开, 如:00-11-D8-29-09-78就是一个MAC地址, 其中前6位16进制数00-11-D8代表网络硬件制造商的编号, 它由IEEE (电气与电子工程师协会) 分配, 而后3位16进制数29-09-78代表该制造商所制造的某个网络产品 (如网卡) 的系列号。只要你不去更改自己的MAC地址, 那么你的MAC地址在世界是惟一的。无论是局域网, 还是广域网中的计算机之间的通信, 最终都表现为将数据包从某种形式的链路上的初始节点出发, 从一个节点传递到另一个节点, 最终传送到目的节点。数据包在这些节点之间的移动都是由ARP (address resolution protocol:地址解析协议) 负责将IP地址映射到MAC地址上来完成的。数据包在传送过程中会不断询问相邻节点的MAC地址。

(2) 交换机、端口、IP地址三者的绑定。为了防止IP地址被盗用, 就通过简单的交换机端口绑定 (端口的MAC表使用静态表项) , 可以在每个交换机端口只连接一台主机的情况下防止修改MAC地址的盗用。第一种方法:如果是可网管交换机还可以提供:交换机、端口、IP地址三者的绑定, 一般绑定MAC地址都是在交换机和路由器上配置的。以华为3100 EI系列交换机为例, 登录进入交换机, 输入管理口令进入系统视图, 敲入命令:

执行上述命令将每个端口与相应的计算机mac地址、IP地址绑定, 保存并退出。

第二种方法:同样以华为3100 EI交换机为例, 登录进入交换机, 也可以基于DHCP地址检查功能实现IP地址与MAC地址的绑定。同样采用上述操作, 登录进入交换机, 输入管理口令进入系统视图, 敲入命令:[h3c]dhcp-security static ip mac

此命令将IP地址与MAC地址绑定。

通过这些设置, 可以将局域网中的IP地址和MAC地址绑定, 任何人在终端上任意更改IP地址, 都不能使其登陆互连网, 这样就便于网络管理员更好的维护整个网络的正常、安全的运行。

3.2 应用ARP绑定IP地址和MAC地址

(1) 什么是ARP及ARP的作用。我们知道, 当我们在浏览器里面输入网址时, DNS服务器会自动把它解析为IP地址, 浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址 (即MAC地址) 的呢?在局域网中, 这是通过ARP协议来完成的。ARP (Address Resolution Protocol) 即地址解析协议, ARP协议为IP地址到对应的MAC地址之间提供动态映射。在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址可实现ARP欺骗, 能够在网络中产生大量的ARP通信量使网络阻塞。

(2) 使用ARP绑定IP地址和MAC地址。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的。我们可以在ARP表里将合法用户的IP地址和网卡的MAC地址进行绑定。当有人盗用IP地址时, 尽管盗用者修改了IP地址, 但由于网卡的MAC地址和ARP表中对应的MAC地址不一致, 那么也不能访问网络。以华为3100 EI系列交换机为例, 登录进入交换机, 输入管理口令进入系统视图, 敲入命令:[h3c]arp static ip mac

执行上述命令, 可将相应计算机的IP地址和MAC地址绑定。

例如:[h3c]arp static 21.90.21.1 00-80-1c-90-80-41 (将IP地址21.90.21.1和网卡MAC地址00-80-1c-90-80-41绑定) ;

TCP/IP作为Internet网络协议, 已经被广泛用于各种类型的局域网络。而IP地址作为网络中的主要寻址方式, 也已经被各种操作系统广泛采用, 因此IP地址在网络管理中显得尤为重要。

摘要：文章以黑龙江幼儿师范高等专科学校局域网为实例研究对象, 介绍了IP、mac端口的绑定及ip地址的管理。

关键词：端口,绑定,IP地址,MAC地址,ARP协议

参考文献

IP地址管理 篇9

关键词：路由,VLAN,Trunk,Access,封装

0 引言

当今社会的发展, 信息网络已与人们的日常生活息息相关, 任何单位和个人都已离不开信息网络。在众多的信息网络设备中, 使用最多的就是二层交换机, 为了保证用户网络的正常运行, 加强对二层交换机的安全管控势在必行。

在网络管理软件中, 无论是Web、Telnet、SSH, 还是SNMP方式, 前提条件都是设备必须有一个固定不变的IP地址。如何规划好设备的管理IP地址, 以方便日后的运维和管理, 同时不对有限的IP地址资源造成浪费, 是每个网络管理人员所必须考虑的问题。

1 二层交换机管理IP地址的规划

1.1 使用专用管理IP管理交换机

VLAN即虚拟局域网, 在同一台二层交换机上可以划分多个VLAN, 各个VLAN在没有连接三层路由设备的情况下, 彼此隔离, 只有通过上联的三层路由设备才能实现信息的转发。在网络规划建设的过程中, 技术人员可以预先划分出一段IP地址组成VLAN, 专用于二层交换机的管理。使用管理VLAN时, 路由器连接的各台二层交换机的管理VLAN ID必须一致, 以便信息能够正确转发, 并且交换机互联的接口必须为Trunk模式。

1.2 使用业务应用IP管理交换机

在管理二层交换机时, 技术人员可以将二层交换机视作一台特殊的网络终端设备, 直接使用业务应用IP地址进行管理。这样, 只需将一个业务应用VLAN里未用的IP地址, 分配给该VLAN的接口就可以, 交换机互联的接口可以为Access模式或Trunk模式。

2 两种二层交换机管理方法的实现与比较

2.1 使用专用管理IP

使用专用IP管理二层交换机时, 可以使用交换机默认的VLAN 1或新建管理VLAN, H3C交换机默认的管理VLAN是VLAN 1, 若想用其他VLAN, 首先必须关闭VLAN 1, 如:

在设置管理VLAN时, 交换机的上联接口应设置成Trunk模式, 网关设置在三层路由设备上。以下面的网络拓扑图为例:

路由器Router配置有四个VLAN, 并配置各个VLAN的网关地址, 其中VLAN 100作为管理VLAN, 管理下面连接的三台二层交换机, VLAN 200、201、202分别为应用OA1、OA2、OA3, 同时为了实现各个VLAN的跨网段通信, Router开启了OSPF协议。相关配置如下:

(1) 配置VLAN, 并配置网关和Router的管理IP

其他业务应用VLAN配置方法与VLAN 200类似。

(2) 为了实现各VLAN间的相互访问, 必须启用路由协议, 本例启用OSPF协议, 进程为1, 区域为9.

(3) 配置互联接口的模式, 路由器的接口必须进行Dot1.q协议封装后, 才能运行于Trunk模式。

Fa0/2接口与Fa0/1接口配置方法类似。

在配置二层交换机Switch1时, 上联端口和连接二层交换机Switch3的端口均设置成Trunk模式, 允许管理VLAN 100和相关的应用VLAN通过。同时设置Switch1的管理IP地址为172.16.1.2。配置如下:

Switch2、Switch3的配置方法与Switch1类似。在所有交换机都配置完成, 终端设备指定相应的IP地址后, 可以选择任意一台终端进行测试, 使用PC2测试Switch3的联通性, 测试结果如下:

当网络中有多个路由器时, 需要划分多个管理VLAN管理路由器下联的二层交换机, 这样势必会造成IP地址的浪费;同时, 管理VLAN与应用VLAN分开, 必须在交换机的上联口进行Trunk设置, 在一定程度上增加了网络运维的难度。

2.2 使用业务应用IP管理

使用业务应用IP管理二层交换机时, 可将二层交换机视作为一台终端设备, 配置相应的IP地址就可以进行管理, 以下图为例:

作为路由器如Router只需配置三个应用VLAN, 并开启了OSPF协议。Switch0与Switch1的互联端口配置成Trunk模式, 允许VLAN 200和202通过, Switch0与Switch2的互联端口配置成Access模式。配置如下:

(1) 配置VLAN200, 以同样的方法配置VLAN 201和202。

(2) 开启OSPF协议。

(3) 配置接口模式:

在配置二层交换机Switch1时, 上联端口 (Fa0/1) 设置成Trunk模式;连接二层交换机Switch3的端口 (Fa0/2) 设置成Access模式。具体配置如下:

Switch1、Switch3的配置方法与Switch2类似。

由于用户终端的IP地址与管理IP地址混合在一个网段, 极易造成网络IP地址冲突, 影响网络的运行管理。

3 结语

通过对两种二层交换机管理地址设置方法的比较, 在结构比较简单的小型网络中, 所应用的VLAN并不多, 一般只有一台路由器作为核心, 这样只要下联的交换机划分专用的管理VLAN, 每个端口都打上Trunk标记, 就可以创建独立的管理VLAN。

在大型网络中, 由于路由器设备众多, 如果划分太多的VLAN, 使用太多的端口做Trunk标记, 将给网络的运行管理带来不小的麻烦。因此, 使用业务应用VLAN的IP地址管理比较合理, 同时, 通过交换机的IP+MAC地址绑定功能, 保证交换机的管理IP地址不被其他设备抢用。

参考文献

[1]Chris Brenton、Andrew Hamilton、Gary Kessler.Cisco路由器从入门到精通[M].电子工业出版社, 2000

校园网静态IP地址的安全管理策略 篇10

1 建立严格的IP地址分配原则和管理制度

一般来说, IP地址的分配主要遵循以下几个原则:1) 唯一性。为了避免出现网络冲突, 分配给用户的IP地址在其子网中是唯一的;2) 有序性。为了提高IP地址分配效率和利用率, 采用自上而下、自下而上或二者结合使用的分配顺序;3) 可持续性。在分配IP地址时要考虑到以后网络用户数量的增加, 留有部分冗余地址;4) 当IP地址不能满足用户需求时, 可以将公用地址与私用地址按需分配、结合使用, 解决地址数量不足问题。

制定并实施严格的IP地址管理制度, 为网络安全维护奠定基础。在地址申请、发放和变更流程, 临时IP地址分配流程要认真审核, 并且做好整个校园网终端用户主机的命名, 指定IP地址, 登记终端主机网卡地址、硬盘序列号、入网地点、联系方式等信息, 建立用户、IP、MAC等的对应列表档案, 严格执行IP地址非法使用的处罚制度。

2 IP盗用现象和查找冲突的方法

简单来说, IP地址盗用的主要原因是一些已经上网的用户通过盗用地址越权使用, 或一些人通过非正式方式入网占用其他合法用户使用的或未分配的IP地址。

盗用IP地址的方法主要有以下几种:1) 静态修改地址配置。如果用户不使用网络管理员分配的IP地址, 而网络管理员又无法限制用户对IP地址的静态修改, 就形成了地址的盗用;2) 同时修改IP地址和MAC地址。在没有身份认证的网络中, 一些人为突破IP-MAC地址绑定技术的限制, 同时修改IP和MAC达到上网的目的。3) IP电子欺骗。IP欺骗通常是用编程来伪造某台主机地址, 发送带有假冒源IP地址的IP数据包, 绕过上层网络软件, 动态修改自己的IP地址与网络连接。

改动后的IP地址在联网运行时可能导致三种结果:1) 非法的IP地址, 即自行修改的IP地址不在规划的网段内, 网络呼叫中断;2) 重复的IP地址, 与已经分配且正在联网运行的合法的IP地址发生资源冲突, 导致合法用户无法上网;3) 在合法用户下线时, 非法占用已分配的资源, 盗用其它注册用户的合法IP地址联网通讯, 使合法用户的权益受到侵害。[1]IP地址盗用侵害了校园网正常用户的权利, 干扰了网络服务器和网络设备的正常运行, 给网络安全和网络运行带来了很大的负面影响。

在局域网发展初期, 网络设备不支持端口的管理, 只能采用人工轮询检测的方法查找冲突, 这种方法效率低下, 且只有盗用者在线时才有效。[2]通用的查找冲突的流程是:1) 通过IP规划的VLAN查找冲突所在的网段;2) 断开合法用户的主机与网络的连接;3) 使用PING命令确定所找的机器仍在网络上;4) 使用ARP-A命令查找冲突的MAC地址或nbtstat命令查找非法主机的工作组、计算机名和MAC地址;5) 确定VLAN内存在冲突的交换机位置, 即登陆交换机, 使用DIS MAC或SHOW MAC命令查找MAC地址所在的端口号, 进而找到主机的使用者。随着设备的完善更新, 现在查找变得方便了很多。如可以应用TCP-New View等软件来测出校园网中所有客户端的MAC地址, 或运用H3C IMC等智能管理软件来审计用户的上网行为, 直接找到冲突的端口, 获得源IP地址、源端口、目的IP地址、目的端口、开始/结束时间等信息, 找到IP地址盗用者。

3 IP地址管理的技术手段

为了解决IP地址盗用问题, 网络管理员们采取了很多有效的管理措施。

3.1 划分基于端口的VLAN

基于端口的VLAN就是将基于交换机中的一个或多个端口定义为一个VLAN。VLAN可以将不同的工作组隔离开来进行分组管理, 便于实现可控的相互访问。同一个VLAN中的站点具有相同的网络地址, 所发送的数据包仅转发至属于同一VLAN的站点, 不同的VLAN之间的通信需要通过路由器来实现。

通过VLAN的划分, 将用户的限制在某一个区域或场所内使用, 可以有效防止IP地址的盗用。即使用户在网内修改IP地址, 所产生的网络冲突也被限制在本范围之内, 不会波及整个网络的正常运作。划定基于端口的VLAN, 便于集中化管理控制, 能够增加网络的安全性, 抑制网络上的广播风暴。需要指出的是, 当网络结点转移端口时, 如果新端口与旧端口不在同一VLAN中, 则只有通过管理员更改交换机端口的VLAN配置或用户终端更改其主机的网络配置。

3.2 基于静态ARP表的路由器隔离技术

路由器隔离技术, 主要是以MAC作为以太网卡地址的全球唯一性为依据, 在路由器中建立一个IP与MAC对应的静态ARP表, 只有IP与MAC匹配的合法注册的主机才能得到正确的ARP应答。如果非法访问的IP与MAC不一致时, 路由器根据正确的静态设置不会将所转发的数据转给非法主机。采用这种方法能够较好地解决IP地址擅自修改和盗用问题, 但也存在一定缺陷。缺陷存在的前提是网卡的混杂接收模式, 所谓混杂接收模式是指网卡可以接收网络上传输的所有报文, 无论其目的MAC地址是否为该网卡的MAC地址。[3]如果把IP与MAC成对修改, 实现地址欺骗, 隔离技术也将无能为力。

3.3 IP、MAC、VLAN与交换机端口的绑定

采用这种绑定方法的依据是用户连接交换机的物理端口具有不可改变性。根据用户的IP地址, 在交换机端口上设置IP所在的VLAN, 再将用户的IP、MAC和交换机的端口进行绑定。进行绑定后, 当用户访问网络时, 要进行“IP-MAC”, “MAC-PORT”, “PORT-VLAN”的三重验证, 提高了网络安全性能。即使用户更改MAC地址, 由于MAC地址与交换机的端口不匹配, 交换机将拒绝其访问网络。但是, 由于个别上网场所终端用户较多, 而室内网口数量有限, 要满足所有终端用户上网的需求, 出于成本考虑就需要添加集线器或者简单交换机, 而绑定是在上一级交换机完成的, 这样就又可能存在盗用IP地址现象。同时, 这种绑定方法也会给用户带来一些不便, 如:房间调整、网卡更换、VLAN的重新划分、IP地址的重新分配等。

3.4 结合应用层的身份认证

用户认证的管理策略是指在网络用户连网的同时, 综合运用用户名、口令、加密及其他应用层的身份认证机制, 构成多层次的严密的安全体系。简单来说, 如果将合法的用户帐号和密码与IP地址建立对应关系, 用户上网前必须要提供合法的帐号及相应的密码。通过对IP地址与帐号和密码的绑定, 能够在一定程度上杜绝非法用户进入网络并使用网络资源。

3.5 多元绑定技术

所谓多元绑定, 就是在上网认证时将用户的帐号、密码、IP地址、MAC地址、交换机物理端口和端口VLAN这六要素进行绑定, 如果有一项不符将不能上网。现在大多院校采用AAA服务器和接入层交换机相结合的绑定技术。当用户接入校园网时, 如果用户信息与AAA服务器存有的信息不符, 用户将被拒绝接入;当用户通过认证后修改自己的IP时, 用户信息与接入交换机的ACL表不符, 用户将被强制下线。

4 结束语

通过以上措施, 校园网IP地址盗用问题可以在很大程度上得到解决。随着网络设备功能的日趋完善和网络管理人员管理水平的不断提高, 会出现更多行之有效的防范IP地址盗用的措施。只有综合运用管理手段和技术手段来处理IP地址非法使用问题, 才能实现高可靠性的系统运行与低成本的管理维护的统一。

摘要：随着计算机和网络的发展和扩大, IP地址的安全管理愈显重要。文章分析了在校园网中IP地址的分配原则和管理制度, IP地址盗用的原因、方法、后果以及查找网络冲突的办法, 采用对上网用户身份进行认证, 把IP地址、MAC地址、交换机物理端口、VLAN对应绑定的安全策略, 在一定程度上杜绝了IP地址被盗用的可能, 保证了网络的正常运行。

关键词：IP盗用,IP绑定,管理策略

参考文献

[1]邵泽云.论局域网中IP地址非法使用及其管理[J].陇东学院学报, 2007, (10) .

[2]王坤, 尹志本.校园网中IP盗用监控管理系统的研究与实现[J].成都信息工程学院学报, 2002 (6) .