ip地址管理

IP 地址及其管理一、目标分析第 1 页 共 5 页 ,第 2 页 共 5 页 ,第 3 页 共 5 页 ,有两个特

IP 地址及其管理

一、目标分析

第 1 页 共 5 页

第 2 页 共 5 页

第 3 页 共 5 页

有两个特殊的号不能分配给具体的计算机，那就是主机号全为0和全为1的情况。全为0的号留给网络本身使用，全为1的号用作广播地址。学生一般会得出：只能容纳256-2=254台。

如何看网络标识：首先看是几类IP ，然后看网络标识。

A 类地址：第一段为网络号，其余段为主机号

B 类地址：前两段为网络号，后两段为主机号

C 类地址：前三段为网络号，最后一段为主机号

6、IP 地址的管理

管理机构：IANA 因特网地址分配机构 www.iana.org （负责全球IP 地址和域名的管理）

（1）幻灯展示P47 IP地址管理机构图，介绍IP 地址是如何管理的。

ICANN 将部分IP 地址分配给地区级的互联网注册机构 （Regional Internet Registry, 简称RIR ） RIR 负责该地区的IP 地址分配，登记注册。通常RIR 会将地址进一步分配给区内大的本地级互联网注册机构或因特网服务供应商（LIR/ISP）， 然后由他们做更进一步的分配。

RIR 共有三个，分别为ARIN 、RIPE 、APNIC 。

ARIN 主要负责北美地区的IP 地址/的分配管理。

RIPE 主要负责欧洲地区的IP 地址的分配管理。

APNIC 主要负责亚太地区的IP 地址的分配管理。

（2）展示资料：目前的因特网技术共能提供约4亿个左右的独立IP 地址，但是这些地址并没有合理地分配给各个国家和地区。因为因特网是从美国兴起并以美国为中心发展起来的，因此绝大多数IP 地址已被美国所占有，使IP 地址资源分配严重不均衡。中国，世界上人口最多的国家，所分得的大多是C 类IP 地址，A 类和B 类几乎没有。

IP 地址资源的不足，如何解决？

方法—：IPV6

方法二：IP 地址的动态分配

IPv4采用32位地址长度，只有大约43亿个地址，估计在2005～2010年间将被分配完毕，而IPv6采用128位地址长度，几乎可以不受限制地提供地址。

我们为什么需要IPv6，有以下几点：

（1）IPv4地址资源面临枯竭，我国仅有3000多万个IP 地址

（2）互联网黑客、病毒泛滥，IPv6能提供更安全的保障

（3）实现3G 与互联网的融合，让每部手机都有IP 地址

（4）IPv6支持“永远在线”，为客户提供更满意的服务

IP 地址是唯一标识出主机所在的网络及其网络中位置的编号。IP 地址是一个32位的二进制数, 共分为五类, 子网掩码可以把IP 地址划分为网络地址和主机地址。为解决IP 地址的不足, 已开始研发IPV6。 三．IP 地址盗用常用方法及防范

目前IP 地址盗用行为非常常见，许多“不法之徒”用盗用地址的行为来逃避追踪、隐藏自己的身份。IP 地址的盗用行为侵害了网络正常用户的权益，并且给网络安全、网络的正常运行带来了巨大的负面影响，因此研究IP 地址盗用的问题，找出有效的防范措施，是当前的一个紧迫课题。

第 4 页 共 5 页

IP 地址盗用常用的方法及其防范机制

IP 地址盗用是指盗用者使用未经授权的IP 地址来配置网上的计算机。IP 地址的盗用通常有以下两种方法:

一是单纯修改IP 地址的盗用方法。如果用户在配置或修改配置时，使用的不是合法获得的IP 地址，就形成了IP 地址盗用。由于IP 地址是一个协议逻辑地址，是一个需要用户设置并随时修改的值，因此无法限制用户修改本机的IP 地址。

二是同时修改IP-MAC 地址的方法。针对单纯修改IP 地址的问题，很多单位都采用IP-MAC 捆绑技术加以解决。但IP-MAC 捆绑技术无法防止用户对IP-MAC 的修改。MAC 地址是网络设备的硬件地址，对于以太网来说，即俗称的网卡地址。每个网卡上的MAC 地址在所有以太网设备中必须是惟一的，它由IEEE 分配，固化在网卡上一般不得随意改动。但是，一些兼容网卡的MAC 地址却可以通过配置程序来修改。如果将一台计算机的IP 和MAC 地址都修改为另一台合法主机对应的IP 和MAC 地址，那么IP-MAC 捆绑技术就无能为力了。另外，对于一些MAC 地址不能直接修改的网卡，用户还可以通过软件修改MAC 地址，即通过修改底层网络软件达到欺骗上层软件的目的。

目前发现IP 地址盗用比较常用的方法是定期扫描网络各路由器的ARP(address resolution protocol)表，获得当前正在使用的IP 地址以及IP-MAC 对照关系，与合法的IP 地址表，IP-MAC 表对照，如果不一致则有非法访问行为发生。另外，从用户的故障报告(盗用正在使用的IP 地址会出现MAC 地址冲突的提示) 也可以发现IP 地址的盗用行为。在此基础上，常用的防范机制有:IP-MAC捆绑技术、代理服务器技术、IP-MAC-USER 认证授权以及透明网关技术等。

这些机制都有一定的局限性，比如IP-MAC 捆绑技术用户管理十分困难; 透明网关技术需要专门的机器进行数据转发，该机器容易成为瓶颈。更重要的是，这些机制都没有完全从根本上防止IP 地址盗用行为所产生的危害，只是防止地址盗用者直接访问外部网络资源。事实上，由于IP 地址盗用者仍然具有IP 子网内完全活动的自由，因此一方面这种行为会干扰合法用户的使用:另一方面可能被不良企图者用来攻击子网内的其他机器和网络设备。如果子网内有代理服务器，盗用者还可以通过种种手段获得网外资源。

利用端口定位及时阻断IP 地址盗用

交换机是局域网的主要网络设备，它工作在数据链路层上，基于MAC 地址来转发和过滤数据包。因此，每个交换机均维护着一个与端口对应的MAC 地址表。任何与交换机直接相连或处于同一广播域的主机的MAC 地址均会被保存到交换机的MAC 地址表中。通过SNMP(Simple Network Management protocol)管理站与各个交换机的SNMP 代理通信可以获取每个交换机保存的与端口对应的MAC 地址表，从而形成一个实时的Switch-Port-MAC 对应表。将实时获得的Switch-Port-MAC 对应表与事先获得的合法的完整表格对照，就可以快速发现交换机端口是否出现非法MAC 地址，进一步即可判定是否有IP 地址盗用的发生。如果同一个MAC 地址同时出现在不同的交换机的非级联端口上，则意味着IP-MAC 成对盗用。

发现了地址盗用行为后，实际上也已经将盗用行为定位到了交换机的端口。再通过查询事先建立的完整的Switch-Port-MAC 对应表，就可以立即定位到发生盗用行为的房间。

发生了地址盗用行为后，可以立即采取相应的方法来阻断盗用行为所产生的影响，技术上可以通过SNMP 管理站向交换机代理发出一个SNMP 消息来关断发生盗用行为的端口，这样盗用IP 地址的机器无法与网络中其他机器发生任何联系，当然也无法影响其他机器的正常运行。

端口的关断可以通过改变其管理状态来实现。在MIB(Management Information Base)中有一个代表端口管理状态的可读写对象ifAdminStatus(对象标识符号为1.3.6.1.2.1.2.2.1.7) ，给ifAdminStatus 赋不同的值，可以改变端口的管理状态，即“1”—开启端口，“2”—关闭端口，“3”—供测试用。

这样，通过管理站给交换机发送赋值信息(Set Request) ，就可以关闭和开启相应的端口，比如要关闭某一交换机(192.168.1.1)的2号端口，可以向该交换机发出如下信息:

set("private" 192.168.1.1 1.3.6.1，2.1.2.2.1.7.2.0.2).

结合IP-MAC 绑定技术，通过交换机端口管理，可以在实际使用中迅速发现并阻断IP 地址的盗用行为，尤其是解决了IP-MAC 成对盗用的问题，同时也不影响网络的运行效率。

第 5 页 共 5 页