[紅]技巧：兩招解決IP地址盜用問題

        筆者所在局域網(wǎng)的有500多臺(tái)計(jì)算機(jī)，為了區(qū)分各類不同用戶，對(duì)不同用戶分配更詳細(xì)的訪問權(quán)限，我們采用的是設(shè)置固定IP的方法，而不是自動(dòng)獲取IP地址。不過在實(shí)際使用中遇到了和其他LAN管理上的相同問題。那就是經(jīng)常有用戶私自修改IP地址，從而造成網(wǎng)絡(luò)沖突的問題。

　　雖然很多網(wǎng)絡(luò)公司可以提供硬件解決的辦法但價(jià)格不菲。俗話說窮人有窮人的辦法，筆者經(jīng)過查詢資料發(fā)現(xiàn)了兩個(gè)行知有效的方法——代理服務(wù)器IP與MAC地址綁定和交換機(jī)MAC地址與端口綁定的。將這兩個(gè)辦法結(jié)合起來有效的解決了非法用戶上網(wǎng)這個(gè)問題。

　　如何查看計(jì)算機(jī)MAC地址

　　我們可以在98系統(tǒng)中執(zhí)行winipcfg查看MAC地址，在2000及其以上操作系統(tǒng)中運(yùn)行ipconfig /all進(jìn)行查看。

 　　小提示：實(shí)際上網(wǎng)絡(luò)管理員也可以利用Nbtstat命令來遠(yuǎn)程獲得指定機(jī)器的MAC地址。在MS-DOS方式下鍵入命令“Nbtstat -a 遠(yuǎn)程計(jì)算機(jī)名”，即可獲得指定機(jī)器的IP地址和MAC地址。不過這需要實(shí)現(xiàn)建立IPC連接，如果初次使用不會(huì)有任何反應(yīng)。

　　這里告訴大家一個(gè)方便快捷的辦法那就是在執(zhí)行“Nbtstat -a 遠(yuǎn)程計(jì)算機(jī)名”前先使用一款掃描工具對(duì)整個(gè)局域網(wǎng)掃描，自動(dòng)建立IPC連接。這樣運(yùn)行“Nbtstat -a 遠(yuǎn)程計(jì)算機(jī)名”就不會(huì)出現(xiàn)沒有任何反饋信息的情況了。

　　方法一：代理服務(wù)器上IP與MAC地址的綁定

　　這要根據(jù)局域網(wǎng)接入互聯(lián)網(wǎng)的方式不同而采用不同的辦法。如果是采用代理服務(wù)器接入互聯(lián)網(wǎng)，那就可以在代理服務(wù)器上使用——ARP -s IP地址 MAC地址　

　　例如：使用ARP -s 10.91.30.45 00-EO-4C-6C-08-75的命令，這樣就將靜態(tài)IP地址10.91.30.45與網(wǎng)卡地址為00-EO-4C-6C-08-75的計(jì)算機(jī)綁定在一起了，即使別人盜用了IP地址192.168.1.4，也無法通過代理服務(wù)器上網(wǎng)。

　　小提示：ARP的映射信息會(huì)在每次重新啟動(dòng)計(jì)算機(jī)后消失，所以請(qǐng)將所有的映射命令保存到一個(gè)批處理BAT文件中，并將這個(gè)文件設(shè)置為隨系統(tǒng)啟動(dòng)而加載，從而保證代理服務(wù)器重新啟動(dòng)ARP映射信息也不會(huì)消失了。

　　如果是通過路由器直接接入互聯(lián)網(wǎng)，最好通過硬件防火墻來實(shí)現(xiàn)IP與MAC地址的綁定。一般的硬件防火墻都具有這個(gè)功能，具體操作也非常簡單。鑒于篇幅有限這里就不舉例介紹了。

　　方法二：交換機(jī)的MAC地址與端口綁定

　　上面提到的方法一雖然可以在一定程度上解決非法用戶網(wǎng)絡(luò)接入的問題，但用戶還是可以通過修改注冊表，下載專用小工具等方法，輕松更改了本機(jī)的MAC地址，甚至于將本機(jī)的MAC地址和IP地址改得和代理服務(wù)器一模一樣。非法用戶又可以非法使用網(wǎng)絡(luò)了。因此方法二應(yīng)運(yùn)而生。

　　將交換機(jī)的MAC地址與端口綁定后擅自改動(dòng)本機(jī)網(wǎng)卡的MAC地址，該機(jī)器的網(wǎng)絡(luò)訪問將因其MAC地址被交換機(jī)認(rèn)定為非法而無法實(shí)現(xiàn)，自然也就不會(huì)對(duì)局域網(wǎng)造成干擾了。我們以CISCO交換機(jī)講解配置命令。

　　登錄進(jìn)入交換機(jī)，輸入管理口令進(jìn)入配置模式，敲入命令：(config)#mac_address_table permanent [MAC地址] [以太網(wǎng)端口號(hào)]

　　這樣逐一的將每個(gè)端口與相應(yīng)的計(jì)算機(jī)MAC地址進(jìn)行綁定，保存退出后就徹底阻止了用戶的非法修改。當(dāng)然其他品牌的交換機(jī)只要是可以網(wǎng)管的，大多可以按照此方法進(jìn)行操作。

　　總結(jié)：實(shí)際使用中筆者發(fā)現(xiàn)將兩個(gè)方法進(jìn)行結(jié)合可以最大限度的阻止非法用戶的非法使用網(wǎng)絡(luò)，效果很好。寫出來希望能為各位深陷此痛苦的網(wǎng)絡(luò)管理員排憂解難。