IP 位址分配與管理

區域網路中的 IP 位址管理是一門學問，除了使用者與 IP 位址對應要正確之外，減 少網管人員的工作時間和方便管理也是很重要，在 2001 年時，林碧華[20]設計了一個 可調適之 IP 位址分配與管理系統，為了提高 IP 位址的使用效能，其系統架構如圖 3-1。

一般來說，網管人員在管理 IP 位址都人工逐筆記錄下來，並隨時更新資料，雖然這樣 的管理方式很簡單而容易，但是如果 IP 位址數目過多或者 IP 位址常常異動時，要保持 這份資料的正確性和即時性，將是網管人員的一大問題。所以，為了解決這樣的問題，

並且讓 IP 位址的使用效能提高，此系統藉由瀏覽器存取的方式，提供管理者線上維護 管理的功能，由各單位分層負責，確保資料的正確性，增加 IP 位址使用效能，另外，

也讓一些不常使用的固定 IP 位址或是租約未到期而沒使用的的 IP 位址，在 IP 位址快 要分配用完時，能夠釋放出來讓需要的 Client 電腦借用，讓 IP 位址的使用效能提高。

圖 3 - 1 可調適之 IP 位址分配與管理系統架構圖

此系統分為兩大部分，第一部分為 IP 位址管理系統，各單位管理者將管轄內每一 個 IP 位址的使用資訊上網登錄，確保資料的正確性，隨時掌握最新的異動狀況，並透 過 IP 位址統計與分析機制將目前 IP 位址使用情況記錄在資料庫中，做為 IP 位址管理 的依據。第二部分為可調適之 IP 位址分配與管理系統，為了能夠借用已分配給固定使 用者之 IP 位址，因此必須定期取得可借用固定 IP 位址的資訊進資料庫中，透過 IP 位 址借用機制配合 DHCP Server 的 IP 位址集中管理，提供動態適時調整 IP 位址配置的功 能，改善 IP 位址使用情形，其 IP 位址偵測架構如圖 3-2。

圖 3 - 2 IP 位址偵測架構圖

在 IP 位址分配與管理系統中，依使用者的需求分成三個不同的模組並設定不同的 權限，其三個模組分別為網路管理者模組、單位管理者模組和一般使用者模組，其功能 分別詳述如下：

1、網路管理者模組：提供網管人員線上即時維護管理的功能，除了有伺服器和網 路設備等基本資料查詢外，還提供 IP 位址的子網路段的分配、網路設備、IP 位址及管理者等相關資料之新增、刪除、修改和查詢等功能。

2、單位管理者模組：在一個龐大的組織單位中，每一個單位 IP 位址的使用情形只 有該單位最清楚了，所以各單位的 IP 位址資訊管理就直接授權給各單位自行維 護，如此分層負責將 IP 位址的管理工作減化，除了可分擔網管人員的負擔，也 可確保 IP 位址資料的正確性。

3、一般使用者模組：開放一般使用者查詢所提供的網路服務之伺服器資訊和目前 所有 IP 位址的分配及使用情形。

此系統雖達到以電腦化和分層負責的作業方式來管理 IP 位址之使用，取代原本人 工用紙張登記的方式，確實節省了網管人員在管理 IP 位址的時間，也讓 IP 位址的使用 資訊更正確，在查詢時較以前方便許多，但在網路管理部分，缺少了阻斷濫用網路資源

在 2007 年時，曾憲民[21]提出非法連網自動偵測與資源效能監控機制系統，為了 解決使用者私下連接網路設備或非法更改現有設備的 IP 位址等相關問題。雖然網管人 員對於 IP 位址的運用都有自己一套的管理政策，但是在內部網路中，仍有許多問題需 要去解決，像是有多少 IP 位址被使用、使用者不遵守網管人員分配的 IP 位址導致 IP 相衝或是發生中毒能否迅速找到該部電腦等問題，所以此系統整合了用戶者基本資料、

固定 IP 位址管理與使用統計及非法 IP 位址偵測管理等功能來解決上述問題，來減低網 管人員的維護成本，也能加速異常網路問題處理時效性。此系統其目的為：

1、有效建置使用者基本資料與 IP 位址的配置。

2、快速監控非法連接網路與執行組絶其連線。

3、管理網路資源使用情況，以利掌握網路使用現況。

為了達成以上目的，網管人員需要將所有的網路設備資料輸入至資料庫中，如廠 牌、MAC、IP、埠數和位置等，如果即可在線上方便的查詢所有網路設備資料。而使用 者要儘速獲得合法 IP 位址的申請，則需要透過網頁的方式，將自己的單位、姓名、聯 絡電話和 MAC 等輸入至申請表單中，因為此系統分配的 IP 位址是採固定式的，所以使 用者在填寫 IP 申請表之後，由網管人員線上做申請資料審查的動作並給予一個 IP 位 址，如果址 IP 位址未被使用，即將 MAC 及 IP 寫入 DHCP 設定檔裡並自動重新啟動 DHCP 伺服器讓設定值生效，並同時新增至資料庫的 IP 基本資料中做以後查詢使用，其 使用者資料及 DHCP 建置流程如圖 3-3，此 DHCP 網址分配資料流程大大節省人力維護時 效。

圖 3 - 3 使用者資料及 DHCP 建置流程圖

網管人員如果想知道網路設備上 port 的 IP 使用情況，就需要採購含有 snmp 功能 的網路設備，為了不增加網路的管理成本，此系統使用 nmap 工具主動定期偵測區域網 路內所有的 IP 使用情形，和利用 arp 取得 arp table 資料，這些資料與資料庫中的 使用者資料表 IP 進行比對並統計 IP 使用次數，並寫至資料庫中以利後續查詢，而在比 對時，如果 IP 或 MAC 有誤時，就判定為非法連接的 IP 位址或 MAC 位址，並將這些 資訊寫入資料庫中做後續的追蹤與管制，其系統與資料庫運作流程如圖 3-4。

圖 3 - 4 系統與資料庫運作流程圖

曾憲民提出非法連網自動偵測與資源效能監控機制系統，比林碧華設計的可調適之 IP 位址分配與管理系統加強了偵測非法 IP 位址和可阻斷濫用網路資源的機制，這對管 網人員來說是很重要的功能，但對網路使用權的管制並沒有認證機制，這對資訊安全會 有不少衝擊。