IP地址分类十篇

IP地址分类 篇1

1)IP地址的组成:IP地址由32个二进制位组成,分为四组,每组8位,组之间以点号分隔,形如:×.×.×.×,其中×表示8个二进制位,为便于记忆,常用点分十进制表示。

2)IP地址范围:以点分十进制表示为在0.0.0.0-255.255.255.255之间。

3)IP地址的结构:IP地址由网络地址、主机地址两部分组成,形如表1。

2 IP地址的分类(本文中仅讨论分析常用的A、B、C类地址)

1)A类地址:规定第一组即前8位来表示网络地址且以0开头,剩余三组即24位来表示主机地址网络地址,其具体范围划分如表2。

由表2分析可知:(1)A类网络地址个数:网络地址部分共8位,第一位固定为0,可变化二进制位数为7位,而7个二进制位可确定27=128种状态,即可表示128个网络地址,应该从0开始127结束,但根据规定,网络地址8个0(0)用来表示本地网络,网络地址01111111(127)用来表示环回地址,所以A类网络IP地址网络地址范围为:1-126;(2)A类主机地址个数:主机地址部分24位,可用来表示224台主机IP地址,其中24个二进制位为0时,用来表示本机,24个二进制位为1时表示广播地址,所以舍弃24位全0和全1的组合,实际可用主机地址共224-2个;(3)A类可用IP地址范围为:1.0.0.1-126.255.255.254,由上述的分析发现A类地址总共可以划分为126个网络,而每个网络中包含224-2台主机,故A类网络一般用于大型网络;(4)根据子网掩码的定义,A类默认子网掩码为:255.0.0.0。

2)B类地址:规定前两组即前16位来表示网络地址且以10开头;剩余两组即后16位来表示主机地址,具体范围划分如表3。

由表3分析可知:(1)B类网络地址个数:网络地址共16位,前两位固定为10,可变化二进制位数为14位,而14个二进制位可以确定214种状态,即可表示214个网络地址,B类网络IP地址网络地址范围为:128.0-191.255;(2)B类主机地址个数:主机地址部分16位,可用来表示216个主机IP地址,其中16个二进制位为0时,用来表示本机,16个二进制位为1时表示广播地址,所以舍弃16位全0和全1的组合,实际可用主机地址共216-2个;(3)B类可用IP地址范围为:128.0.0.1-191.255.255.254,由上述的分析发现B类地址总共可以划分为214个网络,而每个网络中包含216-2台主机,故B类网络一般使用于中型网络;(4)根据子网掩码的定义,B类默认子网掩码为:255.255.0.0。

3)C类地址:规定前三组即前24位来表示网络地址且以110开头,剩余一组即8位来表示主机地址,具体范围划分如表4。

由表4分析可知:(1)C类网络地址个数:网络地址部分共24位,前3位固定为110,可变化二进制位数为21位,而21位二进制位可以确定221种状态,即可表示221个网络地址,范围为:192.0.0-191.255.255;(2)C类主机地址个数:主机地址部分8位,可用来表示2(8256)台主机,其中8个二进制位为0时,用来表示本机,8个二进制位为1时表示广播地址,所以舍弃8位全0和全1的组合,实际可用主机地址共28-2个;(3)C类可用IP地址范围:192.0.0.1-223.255.255.254,由上述的分析发现C类地址总共可以划分为221个网络,而每个网络中包含28-2台主机,故C类网络一般适用用于小型网络;(4)根据子网掩码的定义,C类默认子网掩码为:255.0.0.0。

IP地址分类 篇2

众所周知在现实的生活中, 身份证号码——唯一标识我们每个的专属ID号, 人们可以改变你的住所地址, 但是唯一标识你的身份证号却不能随着你地址更改而更改。在计算机网络中, IP地址是我们经常用到的概念, 但用来唯一标识计算机的MAC地址这个专业术语却很少被人提起。

1. IP地址与以太网MAC地址

在组建计算机局域网络时, 人们都知道IP地址只要规划合理, 你可以任意更改IP地址。修改的方法也是比较简单的, 只要在对应网卡的TCP/IP协议上双击一下然后修改参数就行了。那么MAC地址是怎样呢?下面就让我们分析一下IP地址和以太网MAC地址的异同。在OSI (Open System Interconnection, 开放系统互连) 7层网络协议参考模型中) , 第二层为数据链路层 (Data Link) 。MAC地址就位于这里。我们也将其称为物理地址、硬件地址或链路地址, 其由网络设备制造商生产时写在网卡硬件内部。IP地址与MAC地址在计算机里都是以二进制表示的, IP地址是32位的, 而MAC地址则是48位的。MAC地址的长度为48位 (6个字节) , 通常表示为12个16进制数, 每2个16进制数之间用冒号隔开, 如:08:00:20:0A:8C:6D就是一个MAC地址, 其中前6位16进制数08:00:20代表网络硬件制造商的编号, 它由IEEE (电气与电子工程师协会) 分配, 而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品 (如网卡) 的系列号。只要你不去更改自己的MAC地址, 那么你的MAC地址在世界是惟一的。

2. MAC地址的作用

I P地址就如同网吧中的电脑, 而M AC地址则好像是用电脑的人, 网吧中电脑既可以让甲用, 也可以让乙用, 同样在计算机网络中一个节点的IP地址对于网卡没有要求, 基本上任何厂家都可以用, 也就是说IP地址与MAC地址并不存在着绑定关系。计算机具有流动性, 正如同人可以开不同的汽车道理一样的, 人的流动性是比较强的。汽车和人的对应关系类似IP地址与MAC地址的对应关系。例如, 某块网卡坏了, 可以被替换, 而无须获得一个新的IP地址。那么一个具有IP地址的主机从一个网络移到另一个网络, 可以给它一个新的IP地址, 而无须换一个新的网卡。显然MAC地址除了仅仅只有这个功能还是不够的, 我们用人类社会与计算机网络进行类比, 通过类比, 我们就可以发现其中的类似之处, 更好地理解MAC地址的作用。那么无论局域网、广域网中的计算机之间的通信, 最终都体现为将数据包从某种形式的链路上的初始节点出发, 从一个节点传递到另一个节点, 最终传送到目的节点。数据包在这些节点之间的移动都是由ARP (Address Resolution Protocol:地址解析协议) 负责将IP地址映射到MAC地址上来完成的。其实人类社会和网络也是类似的, 试想在人际关系网络中, 甲要捎个口信给丁, 就会通过乙和丙中转一下, 最后由丙转告给丁。在计算机网络中, 这个口信就好比是一个计算机网络中的一个数据包。数据包在传送过程中会不断询问相邻节点的MAC地址, 这个过程就好比是人类社会的口信传送过程。相信通过这两个例子, 我们就可以进一步理解MAC地址的作用。

3. MAC地址的应用

身份证在日常的作用并不是很大, 但到了有的关键时刻, 身份证就是用来证明你的身份的。例如你要去乘飞机, 这时必须用到身份证。那么MAC地址与IP地址绑定就如同我们在日常生活中的本人携带自己的身份证去做重要事情一样的道理。有的时候, 我们为了计算机网络安全, 防止IP地址被盗用, 就通过对网络设备简单的处理——交换机端口绑定 (端口的MAC表使用静态表项) , 可以在每个交换机端口只连接一台主机的情况下防止修改MAC地址的盗用, 如果是三层设备还可以提供:交换机端口/IP/MAC三者的绑定, 防止修改MAC的IP盗用。一般绑定MAC地址都是在交换机和路由器上配置的, 是网管人员才能接触到的, 对于一般电脑用户来说只要了解了绑定的作用就行了。比如你在校园网中把自己的笔记本电脑换到另外一个宿舍就无法上网了, 这个就是因为MAC地址与IP地址 (端口) 绑定引起的。

4. 结束语

本文从IP地址与以太网MAC地址、MAC地址的作用、MAC地址的应用三个方面介绍了IP地址与以太网MAC地址的关系及如何利用以太网MAC地址与IP地址绑定来解决计算机网络安全的一种方法。

参考文献

[1] (美) Gary Govanus.TCP/IP 24seven北京:电子工业出版社2000年3月.

[2]杨雅辉.网络规划与设计教程, 北京:高等教育出版社, 2008年6月.

不够用的IP地址 篇3

不够用的地址

你很可能见过譬如192.168.1.1这样的数字串，这样的数字就是所谓的“IP地址”。这是你平常访问的那些网站的“真实地址”，例如，当你输入www.guokr.com（域名）时，网络会把它转换成真正的地址111.13.57.142，然后才能找到这个网站在哪里。如果这个转换系统（也就是所谓的“DNS”）出了问题，那网络就要出现问题。

常见的IP地址里的数字是有规定的：四个数字，每个可以从0到255，这被称为“IPv4”（互联网协议第四版）。那么一共就会有2^32次方个不同的地址，也就是将近43亿。而且这43亿地址还有不少是保留的，比如所有以9开头的原则上都是IBM的，12开头的都是AT&T的，17开头的是苹果的，18开头的则归麻省理工……有些厚道的组织，比如斯坦福，本来占据了所有36开头的，现在正把多余的地址拿出来回馈社会，但人并不都这么好心。

所以，那帮技术人员实在太目光短浅了？这还真不是，IPv4协议诞生于1981年，早在20世纪80年代末他们就预料到了这个不够用的问题，可是新一代协议IPv6——可以提供3.4×10^38个地址——直到1998年才出台。现在，IPv6已经走过整整十六个年头。互联网上使用IPv6的人数大概为4%（该数值基于访问google的人统计，真实数字应为更低，见图1）。

耍花招的后果

为了推迟IPv4挤爆的同时又不用去辛辛苦苦换新协议，各方在抓紧时间利用每一点残存的IP空间碎片。以前大手大脚一整块几万地址分给一个组织的好日子一去不复返，现在就连一小撮256个地址都要寸土必争。但是，这对路由器来说就辛苦了。路由器依靠一个名为“路由表”的东西来快速找到方向，每一个机构拿到一段IP之后都会希望在路由表里加一句规则来加快自己的访问速度。但是每一条规则都要占据同样大小的空间，所以网上的地址越碎，需要的路由表就越大。

路由表是个很重要的东西，所以路由器会专门留出一块高速存储器来存它。譬如某款路由器足够存一百万个条目，想来应该是足够了，而且眼看IPv6必将征服市场，我留一半（512k）给v4，另一半给v6，事实上大部分路由器生产商都想当然认为给v4留了512k足够用，这算是行业标准。不幸的是，对于互联网碎片化的程度，他们显然又低估了。

多年的增长已经让路由表突破了50万大关，而在2014年8月12日，美国通信公司Verizon又一口气往v4路由表里加了15000个条目，使总数抵达了约515000个，超过了上限（相比之下，v6还只有可怜的2万个条目）。這些多出来的信息必须存在更慢的普通存储器里，导致了速度变慢甚至局部网络不稳定。Verizon很快发现了这个问题并把多出来的条目削了回去，但是余波至少持续了数小时。这个事件就是所谓的“512k”事件，也许就是你那天觉得网络慢了的元凶。但这不是问题的结束，只是开始。路由表里的条目数字肯定要自然增长的，早晚会自己超过这个数字。而这些问题都出在路由器上，换路由器可是要花钱的。

诚然，我们可以继续拆东墙补西墙，来一次广泛的固件升级，把更多的快速存储器留给v4。而代价可想而知，就是进一步削减了留给v6的空间。要是早用v6取代v4，IP地址够用的话，现在就不会出现地址碎片化、路由表过大的问题了。

事实上，想想之前人们还以为内存640k就足够，两位数字存储年份就足够，32位储存秒数就足够，现在又一个想当然的上限被突破带来了麻烦，就是理所应当的事情了。

分类的IP地址说课稿 篇4

一、说教材

（一）教材分析

《分类的IP地址》是选自《计算机网络》中第四章第二节，《网际协议IP》的第二课。通过上节课的学习，学生已经对IP协议有了初步的认识，了解了IP协议是TCP/IP体系中中最重要的协议之一，与IP协议配套使用的四个协议,路由器、网桥等一些网络互联设备，以及在网络层使用IP协议的现实意义。通过本课的学习使学生掌握IP地址的分类、常用的三种类别的IP地址以及IP地址具有的一些重要的特点。

（二）教学目标

1、知识目标：

让学生掌握IP地址的分类、表示方法，能够区别A、B、C、三类IP地址，理解并掌握IP地址的一些重要特点。

2、能力目标：

培养学生对知识的灵活运用的能力，在分析问题和解决问题过程中，注重学生独立思考能力的培养。

3、情感目标：

通过知识的迁移和转化，逐步变兴趣为探索的动力，激发学生探求未知、认识新知的愿望，让学生通过在自主解决问题的过程中培养成就感，为今后自主学习打下良好的基础。

（三）教学重点和难点

教学重点：掌握IP地址的表示方法，A、B、C三类IP地址的网络号和主机号的差异。

教学难点：能够区分具体的IP地址的所属的类别以及了解一些不使用的特殊的IP地址

教学时间：一课时

三、说教法

本课采用的主要教学方法有“讲述法”、“演示法”、“问题解决式教法”等。

讲述法和演示法作为传统的教学方法，在对知识的整体呈现上具有明显的优越性，学生对偏理论的知识的理解也更加全面和具体，而“问题解决式教法”，则能调动学生学习的积极性和解决问题、了解原理的兴趣，也能给学生留下更加深刻的印象。

四、说学法

现代教育教学的目的不仅仅是教学生学会，更重要的是教会学生会学，也就是“学会不如会学”。那么由此可知，指导学生掌握必要的学习方法是极其重要的。本节课我鼓励学生采用自主探索与合作交流相结合的方式进行学习，让学生亲身体验从理论到具体运用的过程，增强学生的参与意识，促进学生对知识的理解和掌握，真正提升学生的素养。

五、说教学过程

合理的组织课堂教学是教育成功的关键。教学设计应注意围绕教学的重点和难点，充分调动学生的主观能动性，发挥出教师的主导作用和学生的主体作用，因此，我把教学过程设计为如下五个环节。

1、问题引入、导入新课

用演示文稿展示一张网络拓扑图，该图给出了部分的IP地址，图中有四处空缺，提供四个匹配项：A、路由器 B、网桥 C、222.1.1.2 D、222.1.2.1，要求学生将四个选项填入正确的位置。由此，引出本节课所学内容：IP地址表示、分类。这样的导入既激发了学生的学习兴趣，又使学生明白了这节课的学习目的。

2、整体感知、梳理知识点。

首先简要介绍IP地址的表示方法以及IP地址的编址经历的三个历史阶段，再分别介绍五类IP地址的区别，这样，使学生对IP地址的各个类别有一个整体的感知。

3、深入剖析，逐个击破。

教师由A类地址的特点推断出最大可指派的网络数、第一个和最后一个可指派的网络号，以及每个网络中的最大主机数，其中参插介绍一般不使用的特殊的IP地址。

介绍完毕，教师请学生根据以上推导过程，分组讨论并得出B类、C类地址的相应参数。讨论完毕，教师请部分小组代表回答，并判定其正确性。最后，教师用演示文稿展示一张A、B、C类IP地址的指派范围的表，以便学生有更加清晰的认识。

4、问题回溯、变式延伸

教师重新展示导入新课时的网络拓扑图，据此，分析讲解IP地址的一些重要特点，如一个路由器至少应当由两个不同的IP地址，转发器或网桥连接起来的若干个局域网仍为一个网络等。讲解完毕，请同学根据所学的新知识完成此匹配题，并说明这样填选的原因，以此

达到知识巩固的目的。

5、课堂练习，归纳总结。

教师在黑板上书写若干IP地址，请学生指出其所属类别以及各自的网络号和主机号，做题完毕，教师归纳总结本课重点，加深学生对IP地址分类的理解。

6、布置作业，课外扩展

浅谈互联网IP地址稀缺问题 篇5

1 互联网IP现状

全球用户目前使用的因特网是基于TCP/IP协议的, 其中IP协议时网络层使用的协议, 也是整个TCP/IP协议的核心。目前广泛使用的是IPV4, 也就是第四版。它在当前互联网的构建中起着基础性作用。IPV4协议规定:三十二位二进制数构成一个IP。便于记忆将二进制转化为每八位一组的十进制, 也就是说四位十进制构成一个IP。用英文句号将每位数字隔开。比如说:192.165.55.45。另外为了网络区分, IPV4分成5类IP地址:A、B、C、D、E。

A类地址0作为开头第一位, 网络号为之后七位。A类网络最多能够构建27个。全一和全零是保留地址, 也就是说有126个A类网络。另外, A类网络可以容纳最多224台主机。因此, 大型网络一般使用A类IP。

B类地址10作为开头前两位, 网络号是之后的14位。主机号是接下来的16位, 中型网络一般使用B类IP。

C类地址110作为开头前三位, 网络号是之后的21位, 主机号是最后的8位。小型网络一般使用C类地址。大部分局域网目前都是使用的C类地址。

D类地址1110作为开头前四位, 多播一般选用D类地址。

E类地址1111作为开头前四位, 主要是用作保留地址。

由上面介绍的IP地址分类能够看出大型网络可以用的IP地址很少。表面上看C类地址数量很多, 然而近年来互联网用户快速增加, 网络技术也得到了迅猛发展, 这些IP地址根本就无法满足需求[1]。

还有就是国际上因为分配权问题造成了IPV4地址的不公正分配。据最新调查显示2009年中国已经达到3.84亿的网民数量。这个数字比日本和美国两国网民的总和还多, A类地址分配缺非常的少, 然而麻省理工A类IP的分配远远超出了整个中国, 技术突破是应对这种IP地址不公正分配的唯一有效途径。

2 应对策略

2.1 子网掩码的使用

产生子网的目的是减少IP的浪费。近年来随着新型网络的不断涌现以及网络技术的快速发展, 在当前IPV4协议下, 产生的新网络终端有的具有上百台, 有的仅有寥寥无几的几台, 这就造成了IP地址的严重浪费, 为了减少这种浪费现象的发生, 子网划分应运而生。子网划分的重要特征就是子网掩码。子网掩码能够将IP地址分成主机地址和网络地址两部分。进行子网划分能够对IP地址进行部分屏蔽, 进而区分主机标识和网络标识, 表明为远程网上的IP还是局域网上的IP, 还有就是子网划分能够将大的网络分割成便于管理的小网络。

2.2 NAT地址转换

网络地址转换也就是NAT技术。因特网现如今普遍使用的IPV4协议具有很多缺陷, 然而开发以及广泛使用IPV6的时间周期较长, NAT技术能够使得IPV4的使用寿命有效延长。NAT能够对源数据包中的IP (目的IP或源IP) 进行修改, 从而对内部网络进行屏蔽。但是NAT的使用非常的复杂, 这就使得它的使用面狭窄, 如果想增大NAT的使用范围, 必须进行新性能开发。

NAT技术的关键步骤就是NAT配置路由器上转换表的形成, 只要完成了NAT转换表的形成这一环节, 基本上就结束了全部工作。

2.3 IPV6

IPV6的设计方为互联网工程任务组, 它能够对现今使用的IPV4进行替代。

IPV4使用三十二位的地址, IPV6使用一百二十八位的地址, 使得IP地址数量大大的增加, 能够达到2128个。在地球上据估算每平方米能够进行1000台主机的覆盖。这就很大程度上缓解了IP地址稀缺的现状。IPV6协议使用四位十六进制数八组, 并且用逗号分隔。另外, IPV6很好地解决了即插即用、安全性以及IP端到端连接等IPV4无法解决的问题[2]。

IPV6是当前应对IP稀缺问题的最有效方法。其中过渡技术是进行IPV4和IPV6之间协议转换的关键。因特网现有规模巨大, IPV4的设备和用户又非常的多, 要完成IPV4和IPV6之间协议的过渡周期非常长。这需要一个循序渐进的过程。现如今广泛使用的IPV4已经给用户带来了显而易见的好处, 那么就意味着企业或用户很难接受协议转换中可能出现的问题, 所以过度良好才能够有效保障IPV6的更好使用。

3 小结

现阶段, 信息网络技术的发展非常的迅速, 因特网已经跻身到人们社会生活中不可或缺的地位, 但是IP缺失会严重导致互联网的拥挤和阻塞, 针对这一点, IPV6显然具有广阔的发展空间和应用潜力, 我们可以预计IPV6将是未来互联网领域炙手可热的焦点。

参考文献

[1]全球IP地址资源完全枯竭.新华社, 2011.2.

IP地址分类 篇6

编程的思路及原理

Netsh是命令行脚本实用工具,它允许从本地或远程显示或修改当前正在运行的计算机的网络配置。本文所述案例即使用了该工具来实现修改计算机的IP地址及配置网络参数。其基本思路是通过编程语言的接口,调用控制台语句来实现netsh命令的执行。从而实现IP地址的配置。

在Visual Basic.NET编程中实现的方法

通过创建进程,调用“命令提示符”执行“netsh”命令来实现修改IP地址,配置DNS参数。

本例源程序代码如下:

通过导入网络配置文件的方法

1使用netsh工具生成本机IP配置的文本文件。

2修改或设置需要配置的IP地址及DNS地址信息

根据具体使用情况,可以用“记事本”程序打开netip.txt文件,对IP地址及DNS地址信息进行适当修改,保存以备使用。

3在应用程序中编程调用netsh工具导入配置文件。

Netsh–f c:netip.txt

4本例可根据编程需要,在程序中动态生成本机IP配置文件,然后调入配置文件netip.txt,对IP地址等配置信息进行修改,然后执行netsh命令导入配置文件。

使用批处理程序完成IP地址的配置

批处理程序是一个ASCII文件,它包含一个或多个操作系统命令,批处理程序的文件扩展名是.BAT。使用批处理程序可以快速完成一些特定的任务。而无须依赖于特定的编程工具。

1使用“记事本”程序将netsh配置的命令写入批处理文件setlocalip.bat中。

参考命令如下:

2需要修改IP地址或更改DNS地址的读者可以自行修改相应的参数值,然后执行setlocalip.bat批处理程序即可更改本地计算机上的IP地址及DNS地址信息。

结语

Netsh是windows系统本身提供的功能强大的网络配置命令行工具,在编程中灵活使用Netsh可以快速地对本机进行IP地址、DNS地址等信息的配置。Netsh还可以查看防火墙的状态、设置启用或禁用防火墙。本案例中代码需要在管理员组帐户状态下执行。

注释

IP地址分类 篇7

IP地址的合理规划是网络设计的重要环节, 企业网络必须对IP地址进行统一规划才能得到有效实施。IP地址的规划与设计, 影响到网络的性能、扩展和管理, 也必将影响到网络应用的进一步发展。如何能够有效的规范网络IP地址和管理IP地址, 并且能够有效的节约网络地址资源, 也包含企业的经济资源, 是目前企业网络急需解决的主要问题。

Internet和IP相关技术经历了快速发展。最初的网络设计没有预料到Internet的普及速度如此之快, 网络主机的数目激增, 是无法预料的。IP地址可用数量正在快速耗尽, 为了解决内部IP地址短缺和有效的节约公有IP地址问题, 笔者提出了私有IP地址和网络地址转换 (NAT) 两项网络服务有机结合的地址规划方案。

2、IP地址规划解决方案

为了有效的解决企业内部IP地址的短缺和管理问题, 可在路由器或专用服务器上配置DHCP服务进行配置与管理。

DHCP服务器可以实现为每一个新接入的主机分配IP地址、子网掩码、缺省网关、DNS等参数。与静态配置IP地址相比在管理的工作量上要减少很多, 并且利用配置DHCP服务还能实现跨子网传播。

为了有效的节约公有IP地址, 同时也为了节约企业支付WAN的经济负担, 可在路由器或专用服务器上配置NAT服务进行配置与管理。

NAT的应用, 使得内部网络主机可借用合法的IP地址来访问Internet资源。当请求的流量返回时, 合法IP地址便可重新回收, 以供内部主机的下一次Internet请求使用。有了NAT, 网络管理员只需设置一个或少数几个IP地址, 便可通过路由器为主机提供服务, 而不需要为加入网络的每台客户端提供唯一的IP地址。

3、IP地址规划实施

本实例中将在RA路由器上配置DHCP服务和NAT服务。一台路由器为DHCP服务器, 另一台路由器将DHCP申请转发到DHCP服务器, 同时配置静态和动态NAT配置以及NAT过载。

最佳做法是在全局配置模式中配置要排除的地址, 然后创建DHCP池。ip dhcp pool命令创建具有特定名称的地址池.必须配置可用地址, 指定DHCP地址池的子网号码和掩码。使用network语句定义可用地址范围。还应使用default-router命令定义供客户端使用的默认网关或路由器。

任务一:配置DHCP服务器。

(1) 定义DHCP在分配地址时的排除范围。这些地址通常是保留供路由器接口、交换机管理IP地址、服务器和本地网络打印机使用的静态地址。

(2) 配置地址池的具体信息。

在复杂的分层网络中, 企业服务器通常是位于服务器群中。这些服务器可为客户端提供DHCP、DNS、PROXY等服务。问题是, 网络客户端与这些服务器通常并不在同一子网上。因此, 客户端必须找到服务器才能接受服务。客户端经常使用广播消息寻找这些服务器。

本例中的DHCP等网络设备需依赖第2层广播才能起作用。当提供这些服务的设备与客户端不在同一子网上时, 它们便不能接收到广播数据包。因为DHCP服务器与DCHP客户端不在同一子网上, 所以应使用ip helper-address接口配置命令配置R1转发DHCP广播给DHCP服务器R2。必须在涉及的每个接口上配置此命令。

任务二:配置静态路由和默认路由。

ISP使用静态路由到达RA以外的所有网络。不过, 给ISP发送流量之前, RA将私有地址转换成公有地址。因此, 必须以公有地址配置ISP, 这些公有地址是RA上NAT配置的一部分。

任务三:配置静态NAT。

使用NAT提供对Internet的访问。因此, DHCP服务器分配动态IP地址给网络内部的设备, 而启用NAT的路由器则保留一个或多个有效Internet IP地址供网络外部访问使用。当客户端发送数据包到网络外部时, NAT将客户端的内部IP地址转换为外部地址。对于外部用户来说, 所有进出网络的流量均具有相同IP地址, 或者是来自同一地址池。

(1) 静态映射公有IP地址到私有IP址。

(2) 指定内部和外部NAT接口。

(3) 利用地址池配置动态NAT定义全局地址池。

(4) 创建扩展访问控制列表, 以便确定转换哪些内部地址。

(5) 将地址池与访问列珠绑定, 建立动态源地址转换

(6) NAT过载。

NAT过载可以将多个地址映射到一个或少数几个地址, 因为每个私有地址也会用端口号加以跟踪。NAT过载利用Internet上的服务器确保每个客户端会话使用不同的TCP端口号。当服务器返回响应时, 源端口号决定路由器将数据包路由给客户端。它还会检查是否请求过传入的数据包, 因此这在一定程度上提高了会话的安全性。

配置与动态NAT相似, 不同之处在于不是使用地址池, 而是使用interface关键字来识别外部IP地址。因此没有定义NAT池, 利用overload关键字可以将端口号添加到转换中。已经配置ACL来确定转换哪些内部IP地址, 并且已经指定哪些接口是内部接口和外部接口, 所以只需配置以下命令:

4、结语

IP地址规划是网络的第一步, 也是网络管理的关键。为以后的网络故障排查和网络扩展提供良好的基础。

摘要：在网络规划中I, P地址方案的设计至关重要, 合理科学的IP地址方案不仅可以减少网络负荷, 还能为以后的网络扩展打下良好的基础。本文就网络规划中IP地址方案设计进行一些讨论, 提出了运用DHCP和NAT两项服务的有机结合企业网络设计方案, 并给出一个IP地址方案设计实例。

关键词：IP地址,DHCP,NAT,路由器

参考文献

[1]王达.网络组建 (第二版) [M].电子工业出版社, 2007.

[2]张恒杰, 曹隽.计算机网络工程[M].大连理工大学出版社, 2006.

如何隐藏ip地址 篇8

1、打开浏览器，然后选择右上角的“工具”，在下拉菜单之中点击“Internet选项”，这样就弹出了一个“internet属性”对话框。

2、选择“链接”选项卡，并单击底部的“局域网设置”按钮。

3、在“局域网设置”对话框之中，在“为LAN使用代理服务器”之前打上√。然后在地址和端口这里填写你准备好的信息即可。

4、经过以上的设置之后，基本上可以隐藏自己的ip了，但是我们登陆一些比较高级的网站时或者别人使用比较厉害的软件测试的`时候，可能还是能够查出我们的ip。所以，为了彻底隐藏我们的ip，还可以同时如此设置：在“局域网设置”对话框之中，点击“高级”按钮，弹出“代理服务器设置”。

IP地址分类 篇9

医院信息化建设正在蓬勃展开,各种患者相关诊疗信息和医院管理相关信息不断被纳入到医院信息化系统中。信息系统复杂化势必造成网络构建复杂化。对于基于IP的网络和设备应用,终端IP地址的分配,便成为网络核心服务项目。通过网络核心服务把网络、用户、设备、应用以及策略联系在一起,构成网络和应用的基础。

在网络规划、IP地址分配设计方面,一个好的IP地址方案不仅可以减少网络负荷,还能为以后网络扩展打下良好的基础。

随着医院PC机日益增长,而IP资源有限,再加上历史遗留原因,服务器IP和终端IP划分在一个网段里的情况屡见不鲜,终端IP冲突往往导致有限的诊疗行为中断,但如果服务器IP冲突影响了正常业务,势必会造成无法估量的损失。实际上除IP冲突,ARP干扰、新机器入网等都是大问题,这些问题有时候会导致整个网络瘫痪。网络规模的扩大,势必造成IP维护成本和维护难度的增加,因此IP地址的准入控制,成为影响网络运行的一个非常重要的因素。

1 几种IP管理模式的特点

1.1 手工管理模式

传统手工管理IP模式为网络管理员通过手工维护Excel表格或地址登记薄,利用简单PING命令来查询验证某IP地址是否有效使用,新分配IP后需手工更新Excel表格或地址登记薄。在接入端需手工配置静态IP地址。

这种IP管理模式,存在以下管理缺陷。

1.1.1 无法有效避免IP地址冲突和非法设备接入

由于历史原因,医院内部网络都被设计成一个公用设施,其结果就是使今天大部分医院网络端口对于内部都处于“开放”状态。“开放”的网络和共享的资源可以很轻易地得到访问,只需要将一台非法电脑插入一个网络接口,按图索骥设置一个IP地址,即可开始使用网络资源,致使IP地址冲突成为随时会引爆的炸弹。而此种IP管理方式对于重点业务IP的保护手段几乎为零。

CSI/FBI计算机犯罪与安全调查显示,信息失窃已经成为当前最主要的犯罪。在造成经济损失的所有攻击中,有75%都是来自于内部。

在局域网内任何用户使用未经授权的IP地址都应视为IP非法使用。由于终端用户可以自由修改IP地址,改动后IP地址在局域网中运行时可能出现以下情况:(1)非法IP地址:即IP地址不在规划的局域网范围内;(2)重复IP地址:与已经分配且正在局域网运行的合法IP地址发生资源冲突,使合法用户无法上网;(3)冒用合法用户IP地址:当合法用户不在线时,冒用其IP地址联网,使合法用户权益受到侵害;(4)非法用户带来病毒安全问题。

无论是有意或无意地使用非法IP地址都可能会给医院信息系统带来严重的后果,如重复的IP地址会干扰、破坏网络服务器和网络设备正常运行,甚至导致网络不稳定,从而影响正常业务;拥有被非法使用的IP地址所拥有的特权,威胁网络安全;利用欺骗性的IP地址进行网络攻击,如富有侵略性的TCP SYN洪泛攻击来源于一个欺骗性的IP地址,它是利用TCP 3次握手会话对服务器进行颠覆的一种攻击方式,一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。

非法设备接入,直接不可避免导致病毒入侵。这些病毒,可以在极短时间内迅速感染大量系统,甚至造成网络瘫痪和信息失窃,给医院造成严重损失。木马病毒往往会利用ARP的欺骗获取账号和密码,而蠕虫病毒也会利用IP地址欺骗技术来掩盖它们真实的源头主机。例如“局域网终结者”(Win32.Hack.Arpkill)病毒,通过伪造ARP包来欺骗网络主机,使指定的主机网络中断,严重影响到网络运行。

1.1.2 上网跟踪和准确定位功能欠缺

一旦出现IP地址被非法使用、IP地址冲突,或网络出现异常流量包括由于网络扫描、病毒感染和网络攻击产生的流量,为查找这些IP地址源头,一般采用如下步骤:(1)确定出现问题IP地址;(2)查看当前网络设备ARP表,从中获得网卡MAC地址;(3)检查交换机MAC地址列表,确定机器位置。

这个过程往往要花费大量时间才能够定位机器具体连接的物理端口,而对于伪造的源IP地址要查出是从哪台机器产生的就更加困难了。如果不能及时对故障源准确地定位、迅速地隔离,将会导致严重后果,即使在网络恢复正常后隐患依然存在。

1.1.3 IP地址回收问题

显而易见,全手工管理IP地址的方式,会出现IP地址的回收问题。如果不通知网络管理员,科室自行撤销或报废网内设备,必然会出现IP地址不能及时回收而新增节点无IP可用的尴尬境况,使得有限的网络资源不能得到合理配置利用。

1.1.4 管理繁琐

为防止非法使用IP地址,增强网络安全,最常见的方法是采用静态ARP命令捆绑IP地址和MAC地址,从而阻止非法用户在不修改MAC地址的情况下冒用IP地址进行访问,同时借助交换机的端口安全即MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。但这种方法由于要事先收集所有机器MAC地址及相应IP地址,然后还要通过人工输入方法来建立IP地址和MAC地址的捆绑表,不仅工作量繁重,而且日后大量繁琐的维护和管理问题也令人十分头疼。IP管理成本随着网络扩展而不断增长(见图1)。

1.2 DHCP分配IP地址的管理模式

由于医院信息系统不断扩大,手工分配IP地址的模式已经不能满足实际业务需要,从而出现DHCP动态分配IP地址的模式。这种方式可能带来的网络问题有:(1)由于采用非专用DHCP服务器,在业务高峰期间会出现CPU使用过高和系统挂断的情况,或出现用户大量增长,过量DHCP请求导致响应不及时和服务中断的现象;(2)由于某些网络设备的硬件限制,对于租约到期的IP地址无法自动释放;记录IP冲突的表格不能自动清除;(3)传统DHCP功能没有外来用户授权和认证安全机制,无法防止恶意伪造MAC地址,会导致IP地址的耗尽;(4)网络扩容工程,对于网络管理员来说,过程相对繁琐;(5)此管理模式同样存在准确定位非法接入设备的较大检索3工作量;(6)安全性能差,易被攻击(恶意IP地址请求、DDOS攻击等)。

1.3 IP地址管理模式

利用Cisco Catalyst交换机内部集成的安全特性,采用创新方式在局域网内有效地进行IP地址管理模式。仅仅基于认证(如IEEE 802.1x)和访问控制列表(ACL,Access Control Lists)的安全措施是无法防止上文中提到的来自网络第2层即数据链路层的安全攻击,这些攻击包括:MAC地址的泛滥攻击、DHCP服务器欺骗攻击、ARP欺骗、IP/MAC地址欺骗等。可以通过利用Cisco Catalyst交换机内部集成的安全特性,组合运用和部署Port Security (端口安全)、DHCP Snooping (DHCP侦听)、Dynamic ARP Inspection (动态ARP检测)以及IP Source Guard (IP源地址保护)技术,防止MAC./CAM攻击.、DHCP攻击、地址欺骗等,更具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户IP和对应的交换机端口,防止IP地址冲突。同时对于大多数具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。

通过配置思科交换机的上述特征,不仅解决一些典型攻击和病毒的防范问题,也为传统IP地址管理提供了新的思路,解决以往利用DHCP服务器管理客户端IP地址会遇到的问题:(1)使用静态指定IP地址造成的IP地址冲突;(2)非法使用或盗用IP地址;(3)配置非法DHCP服务器;(4)不容易定位IP地址和具体交换机端口对应表;(5)使用静态地址的重要服务器和计算机,可以进行静态绑定,等等。

日常工作中,对交换机进行如此功能繁复的设置,除考验网络管理员技术水平,同时也往往需要借助网络公司提供技术支持,一旦出现网络问题,网络管理员还需与技术支持取得联系,响应时间也往往得不到保障。

1.4 新一代智能IP管理和安全准入模式

随着新技术发展,目前已经有厂商生产专门硬件,支持局域网内IP自动分配管理和安全准入。其管理模式具有以下特点:(1)专用硬件平台,定制系统内核;(2)可以支持IPV4/IPV6双协议;(3)满足网络配置的冗余备份和负载均衡的能力;(4)实时IP/MAC地址的授权管理,网络资源的实时分析,加强设备接入时的安全控制,未授权设备需要接入许可,可以全方位保护业务网内重要站点的IP;(5) IP地址数据实时同步管理,及时对废弃的IP地址进行回收和再利用;(6)无须更改现有网络结构,无须安装任何客户端软件。

相对于配置思科交换机,此种IP管理模式对于网络管理员来说,技术实现的难度大大降低,工作效率能够得到充分的提升。

2 结论

IP管理,经历了从第1代手工静态IP地址的分配管理模式,到第2代DHCP动态分配手工管理模式,逐渐被第3代智能IP管理和完备的安全准入模式所代替,既能够节省大部分网络地址的维护工作量,避免因手工操作导致的故障,又可以提高快速响应能力,减少维护成本,提高整体网络的安全性能。

参考文献

IP地址分类 篇10

近几年来, 随着计算机网络技术的发展和普遍应用, 数据信息网络在电力网系统中的应用研究日益广泛, 各电力企业因工作的需要都部署了各种各样的应用服务, 网络结构变得越来越复杂, 服务器系统的规模也越来越庞大, 拥有数十台服务器的电力企业也为数不少。调度、电厂、变电站之间的数据交换也越来越频繁, 同时也对网络系统的安全性、可靠性、实用性都提出了很高的要求。信息网络已经成为电力企业不可或缺的基础设施。由于网络客户急剧膨胀, 静态IP地址分配、IP地址冲突的麻烦相继而来。对于在Internet和局域网网络上, 只要联网运行就必须使用网络协议TCP/IP, 使用TCP/IP协议时每台主机必须具有独立的IP地址, 有了IP地址的主机才能与网络上的其他主机进行通信。因为, 电力系统信息安全是电力系统安全运行和对社会可靠供电的有力保障, 而且IP安全问题直接影响电力企业内部网络、主机和管理以及重要资料的安全。因此, 当几百台、甚至上千台主机同时上网, 如何控制IP地址盗用?对于局域网来讲, 此类IP地址冲突的问题会经常出现, 用户规模越大, 查找工作就越困难, 所以网络系统管理员必须深思加以解决。

1 IP盗用对网络系统的威胁

电力工业是国民经济的支柱产业, 计算机网络及电网自动化水平正在高速地发展, 一旦信息安全出现问题将危及电网的安全运行, 从而造成无法估量的损失和影响。在相关技术人员把大部分精力投入到防止黑客入侵、病毒破坏的同时, 往往忽略了一个重要问题, 那就是内部网络、主机的IP安全事件。在网络实际操作中, 对于电力企业集团用户而言, 多数都用互联网专线方式接入, 经路由器再分配给内网用户, 网络管理部门在规划的网段中, 为注册用户分配并制定了相应的网络IP地址资源, 以保证通信数据的正常传输。这里, 静态的IP地址是必不可少的配置项目之一, 它享有“网络身份证”的特权。网络管理员为电力信息网用户分配和提供的IP地址, 只有通过用户端进行正确地注册后才有效。对于一个基于TCP/IP协议的用户来说, IP地址是必须配置的选项, 这为终端用户直接接触IP地址提供了一条途径。由于终端用户的介入, 入网用户有可能会自由修改IP地址, 改动后的IP地址在联网运行时可导致3种威害网络的结果: (1) 自行修改的非法IP地址不在规划的网段内, 网络呼叫中断, 网络用户不能正常工作; (2) 与已经分配且正在联网运行的合法IP地址发生资源冲突, 使合法用户无法链接网络, 只要电源打开联网运行, 在客户机上就会频繁出现IP地址冲突的提示, 重复的IP地址使2台主机相互报警, 造成应用混乱。如果网络上某项应用服务的安全策略是基于IP地址进行的, 这种非法的IP用户就会对应用系统的安全造成了严重威胁, 同时干扰、破坏网络服务器和网络设备的正常运行; (3) 盗用其他已注册用户的合法IP地址和MAC地址联网运行, 非法占用已分配的资源, 使合法用户的权益受到侵害。其中, 前2种情况可被网络系统自行识别而屏蔽, 导致联网运行中断;第3种情况操作系统则不能有效判别。如果系统管理员未采取防范措施, 第3种情况将涉及到注册用户的合法权益, 危害很大。随着电网自动化水平的高速发展, 计算机网络是生产过程中一个十分重要的组成部分, 承载着办公自动化、生产、营销财务、人事、物资和视频等许多关键业务, 电力企业内部各项业务越来越依赖于稳定的信息网络。网络的运行状况性能和安全问题倍受关注, 电力信息化高度发展的今天, 提高客户服务质量必须借助于坚强的信息网络, 安全、稳定、高效的信息网络是电力企业整个信息系统正常运转的基石, 更是各项业务流程顺畅流转的可靠保证。在网络管理中, IP地址盗用现象经常发生, 用盗用地址的行为来逃避追踪、隐藏自己的身份。IP地址的盗用行为侵害了网络正常用户的权益, 同时由于被盗用的地址往往具有较高的权限, 给网络安全、网络的正常运行带来了巨大的负面影响。

2 IP地址盗用常用的方法

要清楚IP地址盗用的方法, 首先必须了解开放系统互联模型 (OSI) 及DOD模型的结构层次。OSI分为应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。TCP/IP协议模型由四层结构组成。其中的网络接口层位于数据链路层与物理层之间, 由NIC和设备驱动程序组成。该层上的数据可以通过单一而特定的网络被发送和接受。这种单一性和特定性由以太网的物理地址MAC决定。需要传输的数据从应用层传递到传输层并在这一层被封装成数据段, 然后在网络层加入源和目的IP地址封装成包, 再在数据链路层附加帧头和帧尾, 将数据包放进帧里, 最后在物理层数据以电信号发送。IP地址是网络层用来标识不同地点的逻辑地址, 它的长度是32位;而在数据链路层则是用MAC地址来标识网络节点的位置, 它的长度是48位, MAC固化在每个以太网网卡中, 且只被授予访问权限, 它也是设备的物理地址。TCP/IP协议是一个协议栈, 既包括底层协议也包括应用研究层协议。网际协议 (IP) 位于TCP/IP协议层次中的互连网层, 它为数据帧提供去往何处及如何传输的信息。IP协议中最重要的一个现成部分是数据帧中的IP地址。

在局域网上任何用户使用未经授权的IP地址来配置网络上的计算机都应视为IP盗用。但在Windows操作系统中, 终端用户可以自由修改IP地址的设置, 如果使用的不是网络信息机构分配的IP地址, 就产生了IP地址盗用的问题。

2.1 静态修改IP地址配置

对于实现任何一个TCP/IP来说, IP地址都是其用户配置的必选项。实际操作中, 用户因机器重新安装、临时部署和更换网络适配器等原因, 在重新配置TCP/IP或修改TCP/IP配置时, 使用的不是网络信息机构分配的IP地址。由于IP地址是一个需要用户设置的值, 无法限制用户对于IP地址的静态修改, 因为这种改动具有随意性, 尤其当这种改动不在网络管理员的监控之内时, 将直接影响网络IP地址的管理、通信流量等网络资源环境的安全运行。

2.2 成对修改IP-MAC地址

对于静态修改IP地址的问题, 现在很多单位都采用静态路由和交换技术加以解决。针对静态路由和交换技术, IP盗用技术又有了新的发展, 即成对修改IP-MAC地址, MAC地址是设备的硬件地址, 即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中是唯一的, 它由IEEE (电气与电子工程师协会) 分配, 是固化在网卡上的, 一般不能随意改动。但是, 现在的一些网卡可以通过网卡配置程序和一些工具软件进行修改其MAC地址, 如果同一个MAC地址同时出现在不同的交换机的以太网端口上, 则意味着IP-MAC成对盗用。

2.3 动态改变IP地址

对于一些黑客高手来说, 直接编写程序在网络上收发数据包, 通过使用编程, 发送带有假冒的IP地址的IP数据包绕过上层网络软件, 动态修改自己的IP地址 (或IP-MAC地址对) , 达到IP欺骗, 盗用合法的IP地址联网运行。

3 IP地址盗用防范技术研究

随着电力企业信息化的建设工作不断深入, 各种信息自动化系统相继投入使用生产, 管理信息大量增加, 企业信息网络变得越来越庞大, 结构也越来越复杂, 管理变得十分困难。在日益庞大的局域网络中, IP地址的规划和管理是一个非常复杂和艰巨的工作。因此研究IP地址盗用的问题, 找出有效的防范措施, 是当前的一个紧迫课题。IP地址的盗用给网络管理带来安全隐患, 给用户造成不便, 在信息管理部门对局域网的管理工作中, 除了要求入网用户规范使用所分配的IP地址外, 针对IP地址盗用技术, 可视具体情况采取相应的防范措施。现在比较通常的防范技术主要是根据TCP/IP的层次结构, 在不同的层次采用不同的方法来防止IP地址的盗用。发生了地址盗用行为后, 可以立即采取相应的方法来阻断盗用行为所产生的影响, 这样盗用IP地址的机器无法与网络中其他机器发生任何联系, 当然也无法影响其他机器的正常运行。

常用的防范技术有:IP-MAC捆绑技术、代理服务器技术、网络逻辑地址-物理地址-用户认证授权技术、动态IP分配技术等。

3.1 静态ARP表的绑定

由于IP地址是一个需要用户设置的值, 无法限制用户在本地对于IP地址的静态修改, 对于静态修改IP地址的问题, 可以采用静态路由技术和交换技术加以解决, 使用静态ARP表, 即路由器中IP与MAC地址的映射不通过自身产生的ARP表来获得, 因为网络设备中自身产生的ARP的运行机制具有动态的特点, 当IP地址和硬件地址随时间的推移发生变化时, 路由器中的ARP表能及时地提供修正后的IP-MAC对应关系, 所以采用静态设置将IP与MAC地址进行绑定, 绑定后的ARP表不进行变化。这样当发生IP盗用时, 非法的IP地址和MAC地址与ARP静态表事先设定的IP-MAC对就表现出不一致, 路由器根据正确的静态设置转发的帧就不会到达非法主机。采用IP-MAC绑定技术能够较好地解决IP地址的盗用问题。该方法可以阻止非法用户在不修改MAC地址的情况下, 冒用IP地址进行的访问。但是如果非法用户针对其理论依据进行破坏, 将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址, 那ARP绑定技术就无能为力了。

3.2 交换机端口绑定

交换机是局域网的主要网络设备, 它工作在数据链路层上, 基于MAC地址来转发和过滤数据包。即在TCP/IP第2层进行控制, 每个交换机均维护着一个与端口对应的MAC地址表。任何与交换机直接相连或处于同一广播域的主机的MAC地址均会被保存到交换机的MAC地址表中, 借助交换机的端口—MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。使用交换机提供的端口的单地址工作模式, 可管理的交换机中都有端口—MAC地址绑定功能。交换机的每一个端口只具有允许合法MAC地址的主机通过该端口访问网络的功能, 任何来自其他MAC地址的主机的访问将被拒绝。在端口与MAC绑定的同时结合IP-MAC绑定技术, 可以在实际使用中迅速发现并阻断IP地址的盗用行为, 尤其是解决了IP-MAC成对盗用的问题, 同时也不影响网络的运行效率。通过MAC-端口绑定后如果发生了地址盗用行为, 实际上也已经将盗用行为定位到了交换机的端口, 通过查询事先建立的完整的端口-MAC对应表, 就可以立即定位到发生盗用行为的端口。解决IP地址与MAC地址成对盗用的最彻底的方法是使用交换机进行控制, 利用端口定位及时阻断IP地址盗用。

3.3 VLAN划分

VLAN划分是管理与技术结合的手段, 划分VLAN时, 兼顾可管理性和易用性, 在不增加网络复杂性的前提下, 充分运用VLAN的划分手段, 将具有相近权限的IP地址划分到同一个VLAN, 设置路由策略, 可以有效阻止非法用户冒用其他网段的IP地址联网运行的企图, 因为用户在同一权限范围内, 所以IP盗用也没有很大意义。

3.4 防火墙与代理服务器与应用层的身份认证相结合

在网络授权中应尽量避免采用针对IP地址的直接授权的管理模式, 可以综合运用防火墙与代理服务器、用户名、口令、加密及其他应用层的身份认证机制, 建立完整严密的多层次的安全认证体系也能较好地解决IP地址盗用问题, 防火墙用来隔离内部网络和外部网络, 用户访问外部网络通过代理服务器进行。因为用户对于网络的使用归根结底是要使用网络应用, 使用这样的办法是将IP防盗放到应用层来解决, 变IP管理为用户身份和口令的管理。这样实现的好处是, 盗用IP地址只能在子网内使用, 失去盗用的意义, 合法用户可以选择任意1台IP主机使用, 通过代理服务器访问外部网络资源, 而一般电力信息网络用户即使盗用IP, 在没有身份和密码的情况下, 不能使用和访问外部网络, 可以有效降低IP地址盗用所带来的危害。

3.5 部署网络管理系统

通过网络管理软件可以实现静态ARP表绑定的本地化操作, 避免网络管理员的大量重复性劳动。网络管理软件的日常监视和日志功能, 可以及时有效地发现网络中的IP地址变化、MAC地址变化、交换机端口改变等异常行为, 帮助网络管理员查找网络故障的根源。同时, 网络管理员还可以借助网管系统, 很方便地管理网络交换机, 针对个别问题突出的用户, 进行交换机端口绑定操作, 禁止其修改IP、MAC地址等。

3.6 动态IP地址分配

针对电力网内的一些特定用户, 可以使用DHCP服务器分配IP地址。用动态IP地址分配服务 (DHCP) 的最大优点是客户端网络的配置非常简单, 在没有管理员的帮助和干预的情况下, 用户自己便可以对网络进行连接设置, 使用DHCP服务器的保留功能, 可以将特定的IP地址给特定的DHCP客户端作用, 也就是说, 当这个DHCP客户端每次向DHCP服务器请示获得IP地址或更新IP地址的租期时, DHCP服务器都会给该DHCP客户端分配一个相同的IP地址。在网络分配时为了安全, 还可以定期更换所用的IP地址段, 从而避免恶意用户猜测到拥有特殊权限用户的IP地址。使用动态IP地址分配需要设置额外的DHCP服务器, 因为DHCP服务不能跨网段, 所以需要在每个网络之中都分别设置1台DHCP服务器, 为了避免网络中只有1台DHCP服务器当它发生故障时, 所有DHCP客户端都将无法获得IP地址, 也无法释放已有的IP地址, 从而导致网络通讯的瘫痪的发生还需要增加1台备用DHCP服务器。

因此, 采用DHCP服务后成本的增加是DHCP不得不面对的一个重要问题;另一个问题是, 因为IP地址是动态分配的, 网管员不能从IP地址上鉴定客户的身份, 相应的IP层管理将失去作用, 同时也会带来其他管理问题。

3.7 加强IP-MAC管理

为了有效地防止和杜绝IP盗用这类安全问题的发生, 保证IP地址的惟一性, 网络管理员必须建立: (1) 规范的IP地址分配表、IP地址和硬件地址 (MAC) 登记表, 并且做到完备备案; (2) 制定并实施严格的IP地址管理制度, IP管理制度包括:IP地址申请和发放流程、IP地址变更流程、临时IP地址分配流程、机器MAC地址登记管理、IP地址盗用的处罚制度; (3) 建立IP地址和MAC地址与交换机端口的信息档案, 自始至终地对局域网客户执行严格的管理、登记制度, 将每个用户的IP地址、MAC地址、上联端口、物理位置和用户身份等信息记录在网络管理员的数据库中。在发生IP盗用事件后, 如果知道了非法用户的MAC地址, 可以从管理员数据库中进行查寻, 便可以立即找到具体的使用人的信息, 这会节省大量宝贵的时间, 避免大海捞针的烦恼。同时对于某些应用应避免使用IP地址来进行权限限制, 根据MAC地址的惟一性从MAC地址上进行限制相对来说要安全得多, 这样可以有效地防止有人窃取IP地址的侥幸行为。

4 结语

网络客户端盗用IP地址, 主要是为了谋取某些特定的权限和利益。网络管理员除有法律手段和技术手段外, 还必须拥有各种各样的内部管理手段。因为所有的防范机制都有一定的局限性, 比如IP-MAC捆绑技术, 用户管理十分困难, 使用代理服务器上网, 服务器容易成为瓶颈等。更重要的是, 这些机制都没有完全从根本上防止IP地址盗用行为所产生的危害, 只是防止地址盗用者直接访问外部网络资源。由于IP地址盗用者不论网络管理人员采用何种手段, 只要联网仍然具有在子网内完全活动的自由。因此, 只单纯使用技术手段或管理手段来防范IP地址的盗用, 必然产生高昂的系统投资成本和人员开支。IP地址的盗用问题, 不是普通的技术问题或是一个管理问题。IP地址盗用是TCP/IP网络中的一个普遍性的问题, 因此, 只有找到其存在的理由, 根除其存在的基础, 综合运用管理手段和技术手段, 来处理IP地址盗用问题, 才能实现高可靠性的系统运行与低成本的管理维护的统一, 才可能从根本上杜绝其发生IP地址盗用。

摘要：TCP/IP作为internet网络协议, 已经被广泛用于各种类型的局域网络。而IP地址作为网络中的主要寻址方式, 也已经被各种操作系统广泛采用, 不规范地使用IP地址, 往往造成网络中IP地址使用混乱。稳定安全的计算机网络是保证企业各个应用系统顺利运行的首要条件。该文通过分析IP地址盗用常用的方法及在局域网的表现特征及危害性, 论述了企业局域网如何综合利用TCP/IP各层的作用, 加强IP盗用防范, 并提出多种防范技术解决IP盗用问题。

参考文献

[1]赫卡拜[美], 麦奎瑞[美].CATALYST交换机配置[M].北京:人民邮电出版社, 2004.

[2]布兰顿[美].Cisco路由器从入门到精通 (第二版) [M].北京:电子工业出版社, 2003.

[3]王群, 刘晓辉.Intranet配置与应用技术详解[M].北京:人民邮电出版社, 2001.