网络准入技术研究

文｜胡海波 黑龙江省大庆市大庆炼化公司信息管理部

1. 当前遇到的问题

当前面临的主要问题是IP地址冲突现象频繁发生，干扰正常计算机联网。计算机入网没有有效管控措施，计算机随意接入。为了确保局域网环境运行良好，有必要对IP地址资源进行科学管理，对未授权计算机和非法制造IP地址冲突的行为进行限制，本文深入分析问题产生的原因，从技术角度，提出对上述问题的解决方法。

2. IP冲突原因分析与防治技术

IP地址冲突的解决方法有很多，局域网中发生IP地址冲突，不仅是简单的技术问题，还是网络管理员必须要认真面对的管理问题。在分析故障存在的基础上，笔者结合实践经验与教训，从技术层面提出IP地址冲突的解决办法，为网络管理员提供一套可行的管理策略。

2.1 IP冲突原因

一是重新安装操作系统，并且随意设置上网参数，无意中造成IP地址冲突。

二是局域网中的一些非法攻击者企图破坏或干扰本地局域网中重要网络设备的稳定运行，制造IP地址冲突故障现象，造成整个局域网无法正常工作。

三是一些权限受限用户想获得特殊的访问权限，冒用合法IP地址进行网络连接，从而访问局域网的授权IP资源。

第一种情况发生频率较低，归为特殊情况。第二种情况发生频率也较低，但危害性最大。第三种情况发生频率最高，行为发生人多为内部员工。

2.2 限制访问网络连接属性

用户可以修改本地主机的IP地址，为了屏蔽修改功能，可以通过修改本地系统组策略以禁止访问网络连接属性。具体操作方法是：单击“开始”、“运行”命令，在弹出的系统运行框中敲入“gpedit.msc”命令，打开系统的组策略编辑界面，依次点选该界面左侧显示区域中的“用户配置”、“管理模板”、“网络”、“网络连接”等节点选项；之后用鼠标双击该节点选项下面的“禁止访问LAN连接组件的属性”，打开目标组策略的属性设置窗口，选中其中的“已启用”选项，然后单击“确定”按钮。这样，用户就不能随意打开TCP/IP属性设置窗口修改本地主机的IP地址，此方法适合对特殊网络设备的保护。

2.3 IP-MAC地址绑定

在相同的局域网网段中，二层网络寻址不是根据主机IP地址而是根据主机物理地址来进行的，而在不同网段之间通信时才会根据主机的IP地址进行网络寻址，所以作为局域网网关的三层交换设备上通常保存有IP-MAC地址映射表，通过手工修改固化IPMAC地址映射表表项，达到限制IP更改造成的地址冲突，从而限制非法更改IP地址行为，防止造成网络运行不稳定现象发生。ARP绑定操作：telnet或console登陆三层交换机，输入命令“arp static IP地址 MAC地址”然后回车，保存配置即可。

3. 内部入网控制

身份证起到证明身份的作用。比如去银行提取大量现金，这时就要用到身份证。那么MAC地址与IP地址绑定就如同我们在日常生活中的本人携带自己的身份证去做重要事情一样。我们为了防止IP地址被盗用，就通过上面的方法，简单的对MAC表使用静态表项，而有时在一个VLAN内，已使用的IP地址数量多，IP剩余资源量大，虽然之前已经绑定了已使用的IP地址，但是对陌生计算机并没有管控措施。

通过ARP绑定技术并不能达到理想的效果，而MAC集中认证技术可以实现对入网计算机进行准入，达到内部联网准入控制的目的。

3.1 MAC集中认证技术

MAC地址集中认证是一种基于端口和MAC地址对用户访问网络的权限进行控制的认证方法。它是一种通用的交换机安全控制技术，各个厂商设备都有支持的型号。它不需要用户安装任何客户端软件，交换机在首次检测到用户的MAC地址以后，即启动对该用户的认证操作。

计算机在接入网络前必须与交换机的MAC认证表比对，如果认证表中没有此计算机对应的MAC地址，则按认证失败处理，不学习此端口下连的MAC地址，从而达到未认证计算机无法转发数据包的目的，控制其非授权入网行为的发生。

MAC集中认证与ARP绑定的区别是，MAC集中认证不需要知道对应设备的IP地址，而是对MAC进行处理。本单位管理员通过网络认证台账，即可认证本单位的联网设备身份，对联网设备实行准入控制。

4. 入网控制管理规范，补充VRV管理盲区

MAC集中认证、ARP绑定、VRV内网安全管理平台三者结合。通过基础认证台账（从VRV获得），添加MAC认证用户，建立本地认证用户信息，绑定认证IP-MAC，查询VRV未注册设备，然后绑定未注册IP与黑洞MAC地址，限制未注册已认证计算机。一段时间后，通过认证，但未注册VRV的用户，反映无法联网的情况，管理员通过查询台账，绑定正确信息。帮助用户注册VRV客户端，保证内网安全管理平台的用户完整性，入网控制流程。

5. 应用效果

通过一段时间的试点运行，已经起到很好的准入控制效果，试点单位IP冲突和IP占用现象已不再发生，未注册用户数零，技术应用稳定性良好。

6. 结论

通过ARP绑定技术与MAC集中认证技术相结合，补充VRV内网安全管理平台应用，有效防止非法违规入网设备获取资源，内网IP冲突得到有效控制。同时完善了内网管理系统VRV用户完整性，更好地帮助企业管理者实施实名制终端行为审计和实名制行为管理。填补了VRV管理平台漏洞，保障网络安全和数据平稳传输，起到良好的应用效果。

[1] [美]赖利(Riley,C.)等著. ISCO网络核心技术解析[M]. 江魁等译. 水利水电出版社，2005

[2] H3C公司著, H3C配置手册[S]. 杭州：华三通信技术有限公司, 2009.6

[3] 王群著. 非常网管. 网络安全[M]. 北京：人民邮电出版社, 2007.4

[4] 谭敏, 杨卫平著. ARP 病毒攻击与防范[J]. 网络安全技术与应用, 2008.4