网络中的IP地址作为网络的基本资源,目前一般由管理员通知用户手工设定,或者在区域内使用DHCP服务器对其进行动态分配。在安全性要求较高的情况下可以通过管理员在路由器或者可管理交换机通过指定IP与MAC的对应表来实现其唯一性。IP地址的设置一方面带来了方便,但同时也存在着巨大的安全风险和隐患,用户随意设置IP地址带来了很多无法预测的网络问题。我们都知道,其实在特定服务器应用中,IP地址基本是一个非常重要的主机网络标识。一旦用户随意设置IP地址和这些重要的网络基础节点IP地址冲突(比如在区域内与网关或者ORACLE服务器IP地址冲突),那么整个应用可能会出现严重的网络不可访问故障。即使在DHCP动态分配网络IP地址的状态下,用户也可以手动将地址设置为静态状态,用户可以在第一次获得动态IP地址的时候记住网络掩码和网关地址,之后用户依然可以任意修改本机IP地址,然后填入记住的掩码和网关地址来进行网络资源的访问。目前管理员可以通过在路由器和可管理交换机中进行IP和MAC地址绑定操作,但一般情况下,这个操作的劳动强度会非常惊人,多数管理员都不会自找麻烦来进行IP和MAC绑定工作。同时使用这种操作本身也缺少很好的灵活性。我们设想能不能在理由器或者可管理交换机的IOS中提供一套扩展功能集提供一种注册授权机制,管理员可以方便的在本地路由器或者交换机中创建本地IP和MAC的对应关系表,可以进行方便的逐条修改。当有主机第一次接入时,交换机会在一个非授权表中记录下IP和MAC的对应关系,并等待管理员的确认和认证放行。之后就自动转入到对应关系表中应用。如果用户私自修改IP地址或者更换网卡,网络将暂时不可用,需要向管理员申请资源并重新认证。同时为了企业管理的方便,我们可以建立一个相关IP和MAC地址对应关系表数据库。通过SDN模式进行修改下发。这个功能对于安全级别要求很高的企业网络以及核心网络用处非常大,我个人觉得这也可以作为SDN网络的一个应用子集来推广。
阅读(679) | 评论(0) | 转发(0) |
