基于mac地址的校园网络主机定位技术.doc

基于 MAC 地址的校园网络主机定位技术 马丁 西安石油大学信息中心 摘 要： 随着校园网络在大学教学与服务的属性越来越强, 网络管理与安全管理也慢慢赶不上校园网建设速度, 如何加强网络安全与舆论监督、如何定位校园网内疑似计算机位置, 已经成为摆在我们面前的难题本文以高校校园网络平台为例, 阐述了计算机物理位置定位的过程, 探讨了追踪过程中产生的问题, 最后对该应用做出了总结关键词： MAC 地址表; 主机定位; 作者简介：马丁, 1983.1-, 性别:男, 民族:汉, 陕西省西安市人, 学位:硕士, 研究方向:网络信息化建设0 引言随着校园网络在大学教学与服务的属性越来越强, 网络的规模与数量也随之增长, 近年来校园网性能下降、病毒入侵、网络拥塞等问题都在困扰和阻碍校园网管理部门, 如何定位校园网内的病毒主机、报文异常主机、小路由干扰主机, 也是校园网管理部门实现安全管理和有效控制的手段之一, 目前各高校校园网建设普遍为三层设计、即核心层、汇聚层、接入层本文讨论在三层架构下的校园网内如何寻找、定位目标主机1 校园网三层架构简介目前国内校园网构架主要为三层架构[1], 从上至下分别是核心层、汇聚层、接入层, 其中核心层的功能是实现骨干区域之间的路由传输, 是汇聚层设备之间互联的关键, 一般设计为高可用性与高冗余性, 核心层汇聚所有下层设备发送的流量, 提供快速、大量的数据转发业务。

汇聚层的功能主要是贯通核心层与接入层, 汇聚层上通常有大量网段的网关, 所有网关之间的通讯均需要由核心层来查找路由完成该层先汇聚接入层交换机发送的数据, 再将其传输到核心层, 最后发送到最终目的地汇聚层使用策略控制网络的通信流量, 并通过在接入层定义的虚拟 VLAN 之间执行路由接入层负责连接用户, 负责收集用户报文信息并通过网关与其他网关内的主机进行通讯该层包含的网络设备有路由器、交换机、网桥、集线器和 AP, 接入层是提供一种将设备连接到网络并控制允许通讯的协议方法2 MAC 地址定位原理MAC (Media Access Control) 地址[2], 用来表示互联网上每一个结点的标识符号, 共六个字节, 48 位, 其中, 前三个字节是由 IEEE 的注册管理机构 RA 负责给不同厂家分配的代码 (前 24 位) , 也称为“编址上唯一的标识符”, 后三个字节 (后 24 位) 由各个厂家自行指派给生产的网络适配器接口, 称为扩展标识符, 这样 48 位地址构成了全球唯一的一个结点的物理地址以下我们站在MAC 地址的角度来分析数据如何在三层架构中传输, 并梳理出主机定位的步骤2.1 接入层 MAC 地址表的建立假设主机 host A 向外发送一个数据帧时, 当数据帧从交换机 Switch A 的Ethernet1/0/1 端口进入交换机后, 交换机通过检查数据帧中的源 MAC 地址字段, 将该字段值 (host A 的 MAC 地址) 放入 Switch A 的 MAC 地址表中, 并把它与 Ethernet1/0/1 端口对应起来, 表示该端口所连接的主机就是 host A。

同理当交换机收到 host B、host C、host D 的数据后也会把它们的地址学习到并存放到 MAC 地址表中, 最终构成完整的地址表, 如图 1此时如果数据仅仅是在此交换机连接的拓扑范围内传输, 主机 host A 向 host C 发送数据帧时, 应用 MAC 地址表就可以找到对应的端口, 不再影响其他端口, 从而建立两台主机之间的通信图 1 接入交换机的 MAC 地址表 下载原图2.2 三层交换原理接入层交换机连接的每一台设备都需要配置 IP 地址、子网掩码和默认网关, 这些参数是供报文在汇聚层 (包含汇聚层) 之外进行路由传输的, 首先 IP 数据包会被转发到本地默认网关, 由于如今的汇聚交换机已经将路由功能集成在自身背板上, 所以网关数据会在本地进行三层路由交换, 汇聚交换机会将该 IP 数据包进行路由表查找, 并找到合适的下一跳地址, 将其发送出去2.3 路由表的建立在校园网中, 各子网之间的信息交换是通过路由选择进行的, 三层交换机只是根据收到的数据报头的目的地址选择一个合适的路由路径, 将数据包传送到下一个三层交换机中, 路径中最后的三层交换机负责将数据包送到目的主机所在的子网内。

三层交换机的特点是逐条转发下面我们描述一下路由表的建立路由表[3]是三层交换机转发报文的判断依据, 每个三层设备都维护这一张路由表, 表中每条路由信息都指明数据包到某子网应通过三层交换机的哪个物理端口发送, 这一点和 MAC 地址表的原理是一样的, 因为它有效避免了数据包的重复地、无目标的发送, 有效提升了背板带宽速率路由表中包含了目的地址, 网络掩码, 出接口, 下一跳地址, 度量值等相关参数3 校园网内的 MAC 地址查找我们模拟一个校园网局部区域, 如图 2 所示, 有家属区和办公区的汇聚设备连接在了核心交换机上, 家属区 1 号楼接入交换机连接在家属区汇聚交换机上, 图书馆接入交换机连接在办公区汇聚交换机上图 2 某高校局部拓扑图 下载原图3.1 通过 Wireshark 抓包工具进行网络分析现发现图书馆接入交换机下联用户上网速度较慢, 且交换机 CPU 利用率偏高, 通过 Wireshark[4]抓包分析后, 发现有大量 mac 地址为 2810-7b4f-e94c 的异常报文出现, 如图 3 所示从该接入交换机的 MAC 地址表中查到该 MAC 地址从万兆端口 1/0/54 处流入。

图 3 异常网络内的 MAC 地址 下载原图3.2 从汇聚层到核心层的查找经查找, 发现该万兆端口上联办公区汇聚交换机, 于是在该汇聚交换机的 MAC地址表中查找, 发现该 MAC 地址从核心交换机中转发出来由于核心交换机下联校园网各个区域, 所以这个非法 MAC 地址并不能判断由哪个楼宇里传播出来, 还是要根据竣工资料中核心交换机下联的端口参数来接着确定该 MAC 地址是从哪个二层汇聚设备上转发出来的3.3 从汇聚层到接入层的查找通过资料查找, 发现该 MAC 从家属区汇聚交换机转发出来, 由此可以大致判断该图书馆的网络干扰是由家属区的某台设备引起的, 在家属区汇聚交换机的路由表中查找该 MAC 地址, 发现它是从家属区 1 号楼的接入交换机转发出来的, 至此, 我们根据 1 号楼的端口房间对照表, 如图 4 所示, 可以锁定该非法 MAC地址的出处图 4 端口房间对应表 下载原图4 总结以上是校园网通过 MAC 地址来进行计算机物理位置定位的过程, 由于 MAC 地址具备全球唯一性, 并且全球所有的网络设备, 包括路由器、交换机、网桥、无线接入设备都具有 MAC 地址, 所以可以根据 MAC 地址来确定全球唯一的一台网络通讯设备。

参考文献[1]http://h- [2]http://h- [3]http://h- [4]http://h- 。