1、1基于 DHCP SNOOPING 的中小型企业网络接入系统研究摘要:本文针对中小企业存在的 IP 地址管理问题,提出了搭建基于 IP DHCP SNOOPING、DAI(Dynamic ARP Inspection)的 B/S 架构园区IP 地址集中管理系统,从根本上解决中小企业园区网络 IP 地址管理问题。关键词:DHCP SNOOPING IP 地址 ARP 攻击 DHCP 1 概述 随着计算机网络技术以几何级的增长方式不断发展,企业的网络规模不断壮大,为应对日益复杂的网络环境,各种新技术不断涌现。然而,中小企业出于成本考量,网络设备一般随着企业规模增长而逐步增多,设备型号、品牌较多,而
2、且往往忽视、缺乏对相应的网络管理软件及系统的投入。用户非法 DHCP 服务器、IP 地址冲突和 ARP 攻击引起的 IP 地址类故障层出不穷,对于企业内部的 IP 地址管理问题,网管人员往往也束手无策。智能化工具的广泛使用,对于 IP 地址,如果依然采用手工方式或者 EXCEL 表格登记的方式进行分配,显然不能适应信息化的要求。利用交换机中的 DHCP SNOOPING 技术和 DHCP 服务器配合,通过简单的编程开发,建立 B/S 架构的 IP 地址管理系统,可以高效的管理 IP 地址,为网络管理员节省大量宝贵时间。 2 DHCP 服务器 通过手动设置 IP 地址的方式,可以对数量比较少的计
3、算机进行管理。2但是,如果划分了多个子网,并且计算机数量较多时,通过手动方式,为计算机配置和管理 IP 地址,其工作量和复杂程度就会成倍地增加,而且搬迁到新位置也需要更换 IP 地址,不符合目前移动办公的需要。由于这些问题存在于局域网中,于是人们提出使用 DHCP 服务器,客户端主机借助 DHCP 服务器可以在每次启动并加入网络时,上网所需的 IP 地址、网关和 DNS 服务器地址等信息就可以自动获得,进而在一定程度上减少了配置管理的工作量。受自身局限性的影响,DHCP 协议并不能解决非法DHCP 服务器、设置固定 IP 地址所引起的 IP 地址冲突、ARP 攻击等 IP 地址类故障。 3 D
4、HCP SNOOPING 通过对不可信 DHCP 消息进行过滤,DHCP SNOOPING 可以进一步增强其安全性,同时建立并维护 DHCP 绑定数据库。DAI(dynamic arp inspect) 、Source IP Lockdown 等功能需要以该数据库为基础。DHCP SNOOPING 技术就像是将一道防火墙安装在非信任端口的主机和 DHCP 服务器之间,DHCP Offer 报文通过信任端口可以进行正常接收和转发,而不信任端口会丢弃接收到的 DHCP Offer 报文,对于 DHCP 攻击及私设DHCP 服务器等,在一定程度上可以起到防止作用。在启用了 DHCP SNOOPING
5、 功能的接口下,DAI/Source IP Lockdown 只允许通过 DHCP 方式获取到 IP 地址的主机与网络进行通信。这样,对于通过受信任 DHCP服务器分配到 IP 地址的用户可以接入网络,其他包括使用固定 IP 地址的用户数据包都将被交换机所丢弃。DHCP SNOOPING 及 DAI、Source IP Lockdown 等技术很好的弥补了 DHCP 协议的局限性,使得在 DHCP 环境下3基于 DHCP SNOOPING 搭建 IP 地址管理系统能够取得良好成效。 4 系统功能实现 4.1 IP 地址管理 在 IP 地址管理平台的控制下,通过编程开发使 DHCP 服务器上的配
6、置文件,进一步与后台 MYSQL 数据库同步,DHCP 服务器中所用到的网段配置参数、IP 地址租约时间等各种参数和数据全部存放在后台的 MYSQL数据库中。这种方式一方面保留了传统 DHCP 的优点,大大减少园区网 IP地址管理的复杂度,另一方面加强了 DHCP 方式管理的可控性。 在 DHCP 服务器上,通过对配置文件/etc/dhcpd.conf 进行修改,可以对地址段进行配置,同时实现对 MAC 地址访问的控制。以区域或者VLAN 为类别,将园区网络内各主机的 MAC 地址添加到相应的类别中,只有被添加了 MAC 地址的主机才能够在对应的区域或者 VLAN 内通过合法的DHCP 服务器
7、获取 IP 地址配置信息,进而对网络进行访问。对于网络设备来说,由于启用了 DHCP SNOOPING 及 DAI 等功能,用户不可能通过自行修改 IP 地址进而获得访问权限。对于打印机、考勤机及其它需要使用固定 IP 地址的服务器,也可以在配置文件中指定固定 IP 地址,并不需要在网络设备上再配置静态的 DAI 条目,达到集中管理 IP 地址分配的目的,降低维护复杂度。显然,直接由网管人员修改配置文件存在很高的安全风险,通过 IP 地址管理系统维护数据库,系统后台再根据相应情况对DHCP 服务器配置文件进行修改,既降低了风险,也降低了对于管理人员的技术要求。 在配置 DHCP 服务器的过程中
8、,将 DHCP 服务器中所用到的各种数据4和参数保存到数据库中,进而组成整个园区网络的 IP 地址使用数据库。园区网每个地址段中有多少用户在使用 DHCP 服务器分配的固定地址上网,以及每个网段有多少个地址用于自动分配等,在管理平台上,管理人员都可以查询到。 4.2 上网日志及用户定位 在每次下发客户端 DHCP 请求的 IP 地址资源时,DHCP 服务器会形成一条记录。所请求 IP 的客户端 MAC 地址、分配给客户的 IP 地址、客户端的机器名、租约时间范围等一系列信息都包含在这条记录中。在数据库保存这样的记录,构建一个 IP 地址分配情况的数据库。DHCP 服务器借助这个数据库,对于所分
9、发的 IP 地址资源提供了完善的日志记录功能。通过记录,在某个时间段内特定 IP 与 MAC 的对应关系很容易查询到,然后对某个 IP 对应的 MAC 地址进行查询。结合 SNMP 协议,通过用户 IP 地址,查询在 IP 地址管理功能中的数据库可以获取此用户 IP 所对应的接入交换机列表,再通过 SNMP 指令查询这些交换机的 MAC 地址表,可以进一步得到用户上线时所在的交换机接口信息,这对于管理人员管理维护网络是非常有帮助的。 5 小结 本文基于真实环境,提出以部署 DHCPSnooping 为基础,建立 B/S 架构的 IP 地址管理系统,对 IP 地址进行集中管理。DHCP SNOO
10、PING 技术目前已基本成为各大主流设备厂商可网管交换机的基础功能,部署方式非常灵活。系统开发简单,投入小,可以直接部署在 DHCP 服务器上。系统部署后,基本可以杜绝非法 DHCP 服务器、用户私设固定地址引起的 IP5地址冲突及 APR 攻击等问题,并能对园区网络中的 IP 地址做到统一、灵活的管理,极大的提高了管理人员的工作效率,使网络管理趋于规范化、科学化。 参考文献: 1李果果.多厂商设备环境下校园网统一接入控制管理系统的设计与实现D.华南理工大学,2011. 2崔亚军.IP Source Guard 配合 DHCP 在校园信息化建设中的应用J.职业技术,2013(10). 3任斌.攻击分析及防御解决方法J.长春工程学院学报自然科学版,2008(9). 作者简介: 李果果(1982-) ,男,湖南长沙人,助理工程师,硕士研究生,研究方向:计算机网络。
