摘  要： 針對(duì)當(dāng)前網(wǎng)絡(luò)中IP地址管理混亂的狀況，根據(jù)網(wǎng)絡(luò)管理需求，設(shè)計(jì)并實(shí)現(xiàn)了IP-MAC-PORT綁定系統(tǒng)。通過(guò)簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)定期對(duì)路由及交換設(shè)備進(jìn)行數(shù)據(jù)采集和分析，對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控，追蹤并定位出IP地址異常主機(jī)的具體位置，然后利用交換機(jī)支持端口管理的特性，實(shí)現(xiàn)對(duì)IP盜用者的有效網(wǎng)絡(luò)隔離。
關(guān)鍵詞： 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議；管理信息庫(kù)；代理

　Internet的迅速發(fā)展和企業(yè)網(wǎng)絡(luò)系統(tǒng)的不斷擴(kuò)展推動(dòng)了基于IP協(xié)議的通信量的巨增，隨之而來(lái)的是IP地址管理問(wèn)題，特別是局域網(wǎng)內(nèi)部IP地址管理，而IP地址管理中最重要的就是網(wǎng)絡(luò)安全問(wèn)題。影響網(wǎng)絡(luò)安全的因素有很多，IP盜用或地址欺騙就是其中一個(gè)常見(jiàn)且危害極大的因素。如果缺乏有效的管理，就會(huì)導(dǎo)致網(wǎng)絡(luò)可用性和服務(wù)質(zhì)量的下降，甚至網(wǎng)絡(luò)的崩潰。面對(duì)這種情況，本文在研究簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP(Simple Network Management Protocol)網(wǎng)絡(luò)管理模型的基礎(chǔ)上設(shè)計(jì)并實(shí)現(xiàn)了IPMAC綁定系統(tǒng)。該系統(tǒng)能實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的運(yùn)行狀態(tài)，能及時(shí)、準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)中IP、MAC和端口之間的異常變動(dòng)并發(fā)出報(bào)警信息，便于網(wǎng)絡(luò)管理人員及時(shí)處理安全隱患，提高了網(wǎng)絡(luò)的安全性。
1 相關(guān)概念
1.1 SNMP的管理模型
　SNMP是為基于TCP/IP的多廠商異構(gòu)互連網(wǎng)的管理而設(shè)計(jì)的。它作為工業(yè)標(biāo)準(zhǔn)，已被廣泛接受，其應(yīng)用已擴(kuò)展到其他協(xié)議組。
　SNMP的網(wǎng)絡(luò)管理模型[1]由多個(gè)管理代理、至少一個(gè)管理工作站、一種通用的網(wǎng)絡(luò)管理協(xié)議、一個(gè)或多個(gè)管理信息庫(kù)MIB(Management Information Base)等組成[2]，其模型如圖1所示。

　管理者(Manager)可以是工作站、個(gè)人計(jì)算機(jī)等，它負(fù)責(zé)發(fā)出管理操作的指令，并接收來(lái)自代理的信息。
代理(Agent)駐留在被管對(duì)象中，對(duì)來(lái)自管理者的請(qǐng)求進(jìn)行應(yīng)答，并隨機(jī)為管理者報(bào)告一些重要的意外事件。
管理信息MIB是對(duì)通過(guò)網(wǎng)絡(luò)管理協(xié)議可以訪問(wèn)信息的精確定義，通常就是被管理設(shè)備的數(shù)據(jù)庫(kù)。
網(wǎng)絡(luò)管理協(xié)議是管理者與代理之間通信的協(xié)議，它提供一種訪問(wèn)任何廠商生產(chǎn)的網(wǎng)絡(luò)設(shè)備并獲得一系列標(biāo)準(zhǔn)值的一致性方式。
1.2 SNMP協(xié)議
　SNMP是一種應(yīng)用層協(xié)議，它只要求使用無(wú)連接服務(wù)的數(shù)據(jù)傳送服務(wù)，自身具有糾錯(cuò)能力，因此減少了網(wǎng)絡(luò)負(fù)擔(dān)。SNMP的基本功能包括：監(jiān)視網(wǎng)絡(luò)性能、監(jiān)測(cè)并恢復(fù)網(wǎng)絡(luò)故障以及配置網(wǎng)絡(luò)設(shè)備等。SNMP的協(xié)議體系結(jié)構(gòu)由SMI、MIB和SNMP本身三部分構(gòu)成。SMI描述了互連網(wǎng)中受管對(duì)象的識(shí)別方案和結(jié)構(gòu)；MIB描述了SNMP所用到的管理信息庫(kù)的結(jié)構(gòu)以及其中變量的定義，SMI和MIB都是用OSI的ASN.1定義的；SNMP的MIB用于存放網(wǎng)絡(luò)元素的各種管理參數(shù)，SNMP本身提供在網(wǎng)絡(luò)管理站和被管對(duì)象之間交換管理信息的方法。
　網(wǎng)絡(luò)管理站和被管對(duì)象之間通過(guò)發(fā)送SNMP報(bào)文來(lái)彼此通信。實(shí)現(xiàn)SNMP協(xié)議有兩種操作：取值和設(shè)置值。為此，SNMP協(xié)議定義了5種PDU(Protocol Data Unit)[3]，即：GetRequest-PDU、GetNextRequest-PDU、SetRequest-PDU、GetReponse-PDU和Trap-PDU。其中，GetRequest-PDU用于訪問(wèn)代理，并從MIB中獲得變量值；GetNextRequest-PDU取下1條MIB值，它提供了一種連續(xù)讀取MIB變量的方法；SetRequest-PDU用于設(shè)置MIB中變量的值；GetReponse-PDU用于對(duì)上述3個(gè)請(qǐng)求的響應(yīng)；Trap-PDU用于代理報(bào)告一些異常事件，如系統(tǒng)重新初始化、局部鏈路失效、鏈路功能恢復(fù)以及鄰居沒(méi)有響應(yīng)等。
每個(gè)SNMP報(bào)文被封裝成一個(gè)UDP數(shù)據(jù)報(bào)，并通過(guò)IP層發(fā)送出去。協(xié)議指定在161端口接收除“Trap”以外的所有報(bào)文，而在162端口接收“Trap”報(bào)文。這5種報(bào)文的操作如圖2所示。
1.3 IP冒用
　IP冒用是指使用者使用未經(jīng)授權(quán)的IP地址來(lái)配置網(wǎng)上的計(jì)算機(jī)。由于IP地址是一個(gè)協(xié)議邏輯地址，需要用戶設(shè)置并隨時(shí)修改其值，因此無(wú)法限制用戶修改本機(jī)的IP地址。如果用戶在配置或修改配置時(shí)，使用的不是合法獲得的IP地址，就形成了IP冒用。
1.4 IP-MAC捆綁技術(shù)
　交換機(jī)是局域網(wǎng)的主要網(wǎng)絡(luò)設(shè)備，它工作在數(shù)據(jù)鏈路層，基于MAC地址來(lái)轉(zhuǎn)發(fā)和過(guò)濾數(shù)據(jù)包。因此，每個(gè)交換機(jī)均維護(hù)著一個(gè)與端口對(duì)應(yīng)的MAC地址表。任何與交換機(jī)直接相連或處于同一廣播域的主機(jī)的MAC地址均會(huì)被保存到交換機(jī)的MAC地址表中。因此，可以在交換機(jī)上使用IP-MAC綁定，在交換機(jī)上形成一個(gè)靜態(tài)的IP-MAC對(duì)應(yīng)表，以達(dá)到非法MAC無(wú)法通過(guò)交換機(jī)登錄網(wǎng)絡(luò)的目的。
1.5 多層B/S結(jié)構(gòu)
　多層B/S體系結(jié)構(gòu)的優(yōu)越性體現(xiàn)在以下幾點(diǎn)：將表現(xiàn)與功能進(jìn)一步分離，可獨(dú)立優(yōu)化各層以提高系統(tǒng)的可伸縮性與綜合性能；平臺(tái)通用性強(qiáng)，功能模塊可重用；對(duì)客戶端的要求與限制大大減低，維護(hù)與升級(jí)方便；開(kāi)發(fā)過(guò)程的有限并行等。同時(shí)，中間件技術(shù)也被引進(jìn)來(lái)，它是一些獨(dú)立的代碼封裝體，提供特定的服務(wù)[3]。
2 系統(tǒng)總體設(shè)計(jì)
2.1 設(shè)計(jì)思路
　以太網(wǎng)交換機(jī)根據(jù)端口號(hào)與節(jié)點(diǎn)MAC地址的對(duì)應(yīng)關(guān)系建立“端口號(hào)/MAC地址映射表”。當(dāng)有幀從某端口到達(dá)交換機(jī)時(shí)，交換機(jī)的交換控制中心將根據(jù)“端口號(hào)/MAC地址映射表”的對(duì)應(yīng)關(guān)系找出對(duì)應(yīng)幀目的地址的輸出端口號(hào)，為輸入端口到輸出端口建立連接，這種端口之間的連接可以根據(jù)需要同時(shí)建立多條。根據(jù)以太網(wǎng)交換機(jī)工作原理可知，在整個(gè)網(wǎng)絡(luò)中，某個(gè)確定節(jié)點(diǎn)的MAC地址與交換機(jī)端口號(hào)的對(duì)應(yīng)關(guān)系只可能出現(xiàn)在下列兩種情況中：(1)出現(xiàn)在與之直接相連的交換機(jī)的“端口號(hào)/MAC地址映射表”中，且其對(duì)應(yīng)的交換機(jī)端口號(hào)必為該節(jié)點(diǎn)物理連接的端口號(hào)；(2)出現(xiàn)在與之不直接相連的交換機(jī)的“端口號(hào)/MAC地址映射表”中，則其對(duì)應(yīng)的交換機(jī)端口號(hào)必為該交換機(jī)與其他交換機(jī)的級(jí)連端口上。而如果交換機(jī)的某個(gè)端口用于級(jí)連，也就是不接主機(jī)，顯然不引入安全問(wèn)題，這種情況不用考慮。因此，如果在所有交換機(jī)的“端口號(hào)/MAC地址映射表”中出現(xiàn)兩個(gè)或兩個(gè)以上非級(jí)連端口與某個(gè)確定主機(jī)的MAC地址對(duì)應(yīng)，說(shuō)明必然有人使用了他人主機(jī)的MAC地址(修改了其本機(jī)的MAC地址)。也就是說(shuō)，如果能夠動(dòng)態(tài)獲得整個(gè)網(wǎng)絡(luò)中各交換機(jī)非級(jí)連端口與節(jié)點(diǎn)MAC的映射表，就可以發(fā)現(xiàn)異常MAC地址。
　在TCP/IP網(wǎng)絡(luò)中，主機(jī)的IP地址只是主機(jī)在網(wǎng)絡(luò)層中的地址，不能直接用來(lái)進(jìn)行通信。若要將網(wǎng)絡(luò)層中傳送的數(shù)據(jù)包交給目的主機(jī)，必須知道該主機(jī)的MAC地址。因此，必須在IP地址和主機(jī)MAC地址之間進(jìn)行轉(zhuǎn)換。在以太網(wǎng)上，IP地址到MAC地址的轉(zhuǎn)換由地址轉(zhuǎn)換協(xié)議(ARP)來(lái)完成。為了找出與某個(gè)IP地址對(duì)應(yīng)的MAC地址，主機(jī)要采用MAC廣播地址發(fā)送ARP請(qǐng)求包，帶有MAC廣播地址的幀到達(dá)本地網(wǎng)絡(luò)的每個(gè)網(wǎng)絡(luò)接口。ARP請(qǐng)求包基本詢問(wèn)這樣一個(gè)問(wèn)題“我這里擁有IP地址所對(duì)應(yīng)的MAC地址是什么？”，一般只有與指定IP地址一致的主機(jī)才響應(yīng)這個(gè)ARP請(qǐng)求，其他主機(jī)一概忽視該ARP請(qǐng)求。ARP請(qǐng)求的目標(biāo)主機(jī)將發(fā)送一個(gè)數(shù)據(jù)包作為接收到的IP數(shù)據(jù)包的答復(fù)。回答需要了解ARP廣播請(qǐng)求包發(fā)送者的IP地址及MAC地址的聯(lián)系。為了加速I(mǎi)P地址解析的過(guò)程，每一個(gè)主機(jī)都有一個(gè)ARP Cache，里面保存了一些最近訪問(wèn)的一些節(jié)點(diǎn)的IP與MAC地址的對(duì)應(yīng)信息。如果能夠獲得這些IP與MAC地址的對(duì)應(yīng)信息，就可以發(fā)現(xiàn)異常IP地址。監(jiān)聽(tīng)出口路由器的ARR Cache，可以找到網(wǎng)絡(luò)上活動(dòng)節(jié)點(diǎn)的IP地址和MAC地址的對(duì)應(yīng)信息，但這可能會(huì)增加路由器的負(fù)擔(dān)，影響出口速度，最好能從各交換機(jī)獲取活動(dòng)IP與MAC的對(duì)應(yīng)信息。
　通過(guò)對(duì)Internet MIB和SNMP的研究，發(fā)現(xiàn)MIB中的管理對(duì)象有一個(gè)IP地址翻譯實(shí)體(AT組)，其MIB對(duì)象標(biāo)識(shí)為iso-org-dod-internet-mgmt-mib2-at-atTable (oid=1.3.6.1.2.1.3.1.1.2)。為了進(jìn)行一步了解交換機(jī)的MIB，本設(shè)計(jì)通過(guò)編程獲取了Intel Express 500T Ethernet Switch的MIB，并對(duì)此MIB進(jìn)行了分析，發(fā)現(xiàn)交換機(jī)的每個(gè)端口均有一個(gè)IP地址翻譯實(shí)體，其對(duì)象標(biāo)識(shí)為： 1.3.6.1.2.1.3.1.1.2.x(x為端口號(hào))。定時(shí)查詢網(wǎng)絡(luò)上每個(gè)交換機(jī)的非級(jí)連端口的IP地址翻譯實(shí)體，便可以動(dòng)態(tài)獲取各交換機(jī)端口號(hào)-主機(jī)MAC地址映射及主機(jī)IP地址-主機(jī)MAC地址映射信息。對(duì)Intel交換機(jī)MIB的進(jìn)一步分析后發(fā)現(xiàn)，與端口工作狀態(tài)有關(guān)的MIB對(duì)象標(biāo)識(shí)為1.3.6.1.2.1.2.2.1.7.x(x為端口號(hào))，該值為1時(shí)，該端口啟用，該值為2時(shí)，該端口禁用。MIB對(duì)象的命名方法[4]如圖3所示。

2.2 系統(tǒng)業(yè)務(wù)流程
　本系統(tǒng)實(shí)現(xiàn)了以下4個(gè)業(yè)務(wù)：
　(1)實(shí)時(shí)IP-MAC-PORT信息的顯示。獲取整個(gè)網(wǎng)絡(luò)中的實(shí)時(shí)表。實(shí)時(shí)表主要包含設(shè)備IP、MAC、上聯(lián)端口索引等信息。管理員可對(duì)某一IP地址范圍進(jìn)行查詢，對(duì)已獲取的實(shí)時(shí)表可執(zhí)行同步到基準(zhǔn)，或刪除操作。
　(2)基準(zhǔn)IP-MAC-PORT信息的顯示。該業(yè)務(wù)主要用于對(duì)基準(zhǔn)信息的維護(hù)及管理(注：系統(tǒng)首次初始化時(shí)基準(zhǔn)IP-MAC-PORT信息由實(shí)時(shí)表同步得到，并保存在數(shù)據(jù)庫(kù)中)，具體包含對(duì)基準(zhǔn)信息的查詢、修改、刪除以及設(shè)置基準(zhǔn)的比較狀態(tài)。
　(3)接口下聯(lián)設(shè)備列表顯示。用于查詢接口的實(shí)時(shí)狀態(tài)。
　(4)IPMAC定位。管理員可以根據(jù)IP或MAC迅速定位設(shè)備在網(wǎng)絡(luò)中的具體位置。
　系統(tǒng)整體的業(yè)務(wù)流程為：系統(tǒng)啟動(dòng)，系統(tǒng)初始化并開(kāi)始輪詢整個(gè)網(wǎng)絡(luò)的FDB和ARP信息(系統(tǒng)啟動(dòng)后默認(rèn)設(shè)置是每隔5 min輪詢一次)，將獲取到的信息生成實(shí)時(shí)IP-MAC-PORT表，將實(shí)時(shí)表與基準(zhǔn)表做差異判斷，如有不同信息則生成差異表并根據(jù)系統(tǒng)已設(shè)置的方式報(bào)警通知管理員，以便能及時(shí)做出處理，圖4為IPMAC系統(tǒng)的整體業(yè)務(wù)流程。

2.3 功能模塊設(shè)計(jì)與實(shí)現(xiàn)
　本系統(tǒng)由參數(shù)設(shè)置、數(shù)據(jù)采集、數(shù)據(jù)分析、配置管理和信息發(fā)布5個(gè)模塊組成。
2.3.1 參數(shù)設(shè)置模塊
　參數(shù)設(shè)置模塊用于設(shè)置和修改系統(tǒng)運(yùn)行所需的參數(shù)，包括：數(shù)據(jù)采集的時(shí)間間隔，需要監(jiān)測(cè)的交換機(jī)非級(jí)連端口信息(每個(gè)端口信息由所在交換機(jī)的IP地址和端口號(hào)組成)，發(fā)現(xiàn)異常對(duì)應(yīng)，是否禁用發(fā)現(xiàn)異常的交換機(jī)端口。這些參數(shù)設(shè)置保存在文本文件(ipman.sys)中，系統(tǒng)運(yùn)行時(shí)讀入內(nèi)存。
2.3.2 數(shù)據(jù)采集模塊
　數(shù)據(jù)采集模塊按預(yù)定的時(shí)間間隔從各交換機(jī)的MIB采集非級(jí)連端口的ARP Cache數(shù)據(jù)，并將采集的數(shù)據(jù)生成實(shí)時(shí)表保存在內(nèi)存中，它由交換機(jī)IP地址、交換機(jī)端口號(hào)、主機(jī)IP地址、與該IP地址對(duì)應(yīng)的MAC地址等信息組成。
2.3.3 數(shù)據(jù)分析模塊
　當(dāng)采集模塊完成某次數(shù)據(jù)采集并與各交換機(jī)斷開(kāi)連接后，系統(tǒng)自動(dòng)啟動(dòng)數(shù)據(jù)分析模塊。數(shù)據(jù)分析模塊從實(shí)時(shí)表讀取采集模塊最近一次采集的數(shù)據(jù)，將每條記錄與基準(zhǔn)表比較，判斷是否存在IP地址-MAC地址或MAC地址-交換機(jī)端口號(hào)異常對(duì)應(yīng)，如存在異常對(duì)應(yīng)，將異常信息生成差異表，它由差異描述、差異分類、時(shí)間、操作等數(shù)據(jù)項(xiàng)組成。其中，異常的類別有IP變更、新增終端和終端變更三種。如果發(fā)現(xiàn)異常，該模塊將向管理員發(fā)送報(bào)警電子郵件(提示聲或短信)，并根據(jù)系統(tǒng)設(shè)置是否禁用該端口。
2.3.4 配置管理模塊
　當(dāng)異常排除后，網(wǎng)管人員可用配置管理模塊開(kāi)啟某個(gè)交換機(jī)的端口，管理員也可用此模塊來(lái)對(duì)交換機(jī)端口的一些參數(shù)進(jìn)行配置。
2.3.5 信息發(fā)布
　采用CGI程序從差異表中讀取數(shù)據(jù)，將差異表異常信息通過(guò)IIS 4.0發(fā)布，這樣網(wǎng)絡(luò)管理人員可隨時(shí)隨地瀏覽查看IP地址安全管理日志。
3 系統(tǒng)測(cè)試
　在一個(gè)擁有50多臺(tái)終端的局域網(wǎng)中對(duì)IPMAC綁定系統(tǒng)做了監(jiān)控與管理測(cè)試，該局域網(wǎng)中包括了各種型號(hào)的路由器、交換機(jī)、多種平臺(tái)的服務(wù)器等標(biāo)準(zhǔn)SNMP設(shè)備，測(cè)試的結(jié)果符合真實(shí)網(wǎng)絡(luò)運(yùn)行中包含多種網(wǎng)絡(luò)設(shè)備的實(shí)際情況。圖5所示為系統(tǒng)在運(yùn)行期間獲得的差異表。
　從圖5可以看出，無(wú)論是網(wǎng)絡(luò)中新增加一個(gè)設(shè)備、把設(shè)備移到別的端口下，還是修改了設(shè)備的IP地址，系統(tǒng)都能及時(shí)、準(zhǔn)確地發(fā)現(xiàn)并報(bào)警。這就使得網(wǎng)絡(luò)管理人員能及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的異常變動(dòng)，便于對(duì)可能出現(xiàn)的網(wǎng)絡(luò)安全隱患采取相應(yīng)的措施。系統(tǒng)在運(yùn)行期間是全自動(dòng)的，網(wǎng)絡(luò)管理人員即使不在電腦旁也能通過(guò)系統(tǒng)發(fā)送的短信報(bào)警信息及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)的常異變動(dòng)，這就極大提高了網(wǎng)絡(luò)的可維護(hù)性和安全性，減輕了網(wǎng)絡(luò)管理人員的負(fù)擔(dān)。

　針對(duì)當(dāng)前網(wǎng)絡(luò)運(yùn)行和管理中存在的IP地址理管混亂、IP冒用等問(wèn)題，本文在研究SNMP網(wǎng)絡(luò)管理模型的基礎(chǔ)上，仔細(xì)探討了IPMAC綁定系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，并通過(guò)在局域網(wǎng)中的使用測(cè)試得到了良好的預(yù)期效果：
　(1)系統(tǒng)能有效地發(fā)現(xiàn)和阻止IP地址及MAC地址盜用，提高了網(wǎng)絡(luò)的安全性和管理水平。
　(2)IPMAC系統(tǒng)具有網(wǎng)絡(luò)配置工作量小、用戶透明、對(duì)網(wǎng)絡(luò)的性能影響小等優(yōu)點(diǎn)。
　(3)隨著計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大以及復(fù)雜度的不斷提高，SNMP在提高網(wǎng)絡(luò)系統(tǒng)的可管理性、可靠性和安全性等方面將發(fā)揮越來(lái)越大的作用。
參考文獻(xiàn)
[1] WALDBUSSER S. RFC1757-Remote network monitoring management information base[DB/OL]. Camegie  Mellon University， 1995，2.
[2] 于小紅.網(wǎng)絡(luò)管理軟件的選擇和應(yīng)用[J].計(jì)算機(jī)應(yīng)用研究，2001(2)：25-28.
[3] 岑賢道，安常青.網(wǎng)絡(luò)管理協(xié)議及應(yīng)用開(kāi)發(fā)[M].北京：清華大學(xué)出版社，1999.
[4] STEVEN W R.TCP/IP詳解卷1：協(xié)議[M].北京：機(jī)械工業(yè)出版社，2008.