作為一名合格的網絡管理員我們需要“扼殺”一切非法使用網絡的行為,本文將為大家講解如何防范修改IP地址與MAC地址違規上網的行為。
IP沖突基礎知識
一般情況下兩台設置了相同IP地址的計算機在啟動後會出現IP地址沖突的提示,先啟動的計算機可以使用網絡,而後啟動的計算機無法使用網絡資源。所以在公司所有計算機都開機的情況下如果有人手動修改了IP地址一定會出現IP沖突的警告。當正常用戶不能使用網絡時建議及時通知網絡管理員,網絡管理員可以迅速查找出非法使用者的計算機。
什麼是IP地址與MAC地址的綁定?
在代理服務器上一般都通過“arp -s 157.55.85.212 00-aa-00-62-c6-09”這個命令將IP地址與相應的MAC地址捆綁在一起,這樣IP地址相同MAC地址不符的計算機就不能通過代理服務器上網了。簡單地修改IP地址進行非法資源訪問的方法將無效。
誰在盜用網絡?
這裡需要指出的是,IP地址沖突檢測的原理就是查找本地網絡中是否存在IP地址相同而MAC地址不同的主機,一旦有這樣的情況就會出現ARP解析錯誤從而報IP地址沖突。tw.wiNgwiT.coM不過如果將MAC地址也設置相同,ARP解析就不會出現任何錯誤,自然不會報IP地址沖突,而且上網沒有問題,這就是本文剛開始中提到的非法用戶使用網絡的方法。
ARP解析防非法用戶
鑒於很多用戶通過修改IP地址實現非法使用網絡的功能,那麼我們可以在代理服務器上通過ARP命令將IP地址與MAC地址綁定起來,從而防止用戶隨意修改IP地址非法使用網絡。
第一步:在Windows 98系統中執行winipcfg查看MAC地址(在Windows 2000及其以上操作系統中運行ipconfig/all進行查看)。將所有計算機的MAC地址與IP地址記錄下來。
實際上網絡管理員也可以利用Nbtstat命令來遠程獲得指定機器的MAC地址。在MS-DOS方式下鍵入命令“Nbtstat -a 遠程計算機名”,即可獲得指定機器的IP地址和MAC地址。不過需要實現建立IPC連接,如果初次使用不會有任何反應。建立IPC連接的最方便快捷的辦法就是在執行“Nbtstat -a 遠程計算機名”前先使用一款掃描工具對整個局域網掃描,自動建立IPC連接。這樣運行“Nbtstat -a 遠程計算機名”就不會出現沒有任何反饋信息的情況了。
第二步:在代理服務器上使用ARP命令建立IP地址與MAC地址的映射關系,例如使用“ARP -s 10.91.30.45 00-EO-4C-6C-08-75”命令,這樣就將靜態IP地址10.91.30.45與網卡地址為00-EO-4C-6C-08-75的計算機綁定在一起了,即使別人盜用了IP地址192.168.1.4,也無法通過代理服務器上網。
提示:ARP的映射信息會在每次重新啟動計算機後消失,所以請將所有的映射命令保存到一個批處理BAT文件中,並將這個文件設置為隨系統啟動而加載,從而保證代理服務器重新啟動ARP映射信息也不會消失了。
綁定端口,限制盜用
本文說明了僅僅通過將IP地址與MAC地址綁定起來防止非法用戶使用網絡不是非常有效的,應該采用將交換機的端口與MAC地址或IP地址進行綁定的方法來限制。
我們以CISCO交換機為例講解配置命令。登錄進入交換機,輸入管理口令進入配置模式,輸入命令:(config)#mac_address_table permanent [MAC地址] [以太網端口號]。將交換機的MAC地址與端口綁定後擅自改動本機網卡的MAC地址,該機器的網絡訪問將因其MAC地址被交換機認定為非法而無法實現上網,自然也就不會對局域網造成干擾了。
逐一地將每個端口與相應的計算機MAC地址進行綁定保存退出後就徹底阻止了用戶的非法修改。當然其他品牌的交換機只要是可以網管的,大多可以按照此方法進行操作。
From:http://tw.wingwit.com/Article/Network/201309/1076.html