1.登記用戶的IP和MAC地址
用戶在申請入網的時候,網管要登記他的IP和MAC地址(IP是網管分配給他的,MAC是網卡固有的)。MAC地址可以在用戶的機器上用命令的方法獲取,Win2000/XP用戶可以單擊“開始→程序→命令提示符”,在命令提示符下輸入“Ipconfig/all”,回車後即顯示一個清單,其中“Physical Address...”右邊列出的就是所查的MAC地址。Win9X/Me用戶,要獲得MAC地址,可以依次單擊“開始→運行”,輸入“winipcfg”回車即可。
2.將用戶的IP與MAC地址捆綁起來
接下來,網管在交換機和路由器上配置,或者進入“MS-DOS方式”,在命令提示符下輸入命令:“ARP -s 202.201.101.01 00-01-02-03-04-05”,把MAC地址(00-01-02-03-04-05)和IP地址(202.201.101.01)捆綁在一起。
注意:ARP命令僅對局域網的上網代理服務器有用,而且是針對靜態IP地址,如果采用的是Modem撥號上網或是動態IP地址就不起作用了。
3.IP、MAC、PORT三者綁定
雖然上面介紹的方法綁定了IP和MAC,但並不能真正解決IP被盜用問題,要徹底解決隱患還應該在IP、MAC綁定的基礎上,把端口(PORT)綁定進去,即IP-MAC-PORT三者綁定在一起。tw.wiNgwit.CoM
在布線的時候,建議每個交換機端口只連接一台主機,網管應該把用戶牆上的接線盒和交換機的端口一一對應,並做好登記工作;然後把用戶交上來的MAC地址填入對應的交換機端口;進而再和IP一起綁定,實現IP-MAC-PORT的三者綁定。
除此之外,網管還可以采用其他方法防止盜用IP上網,例如配置交換機的VLAN、使用用戶認證等等,由於篇幅所限,這裡就不再繼續展開了。
4.使用軟件監控網絡
建議網管經常使用“MAC掃描器”(下載地址http://www.skycn.com/soft/8978.html)來監控網絡情況。該軟件可以運行在局域網或Internet內的一台機器上,監控整個網絡的連接情況,能夠實時檢測各用戶的IP、MAC、主機名、用戶名等並記錄以供查詢(如圖),而且還可以跨網段掃描,能夠和數據庫中的IP和MAC地址進行比較,只要發現某用戶修改了IP或MAC地址,即會報警。
From:http://tw.wingwit.com/Article/Network/201309/1058.html