扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:中国IT实验室 2007年8月29日
关键字:
在本页阅读全文(共2页)
做好预防IP地址冲突,是问题的根本。解决这种问题并不是很难,需要网络管理员做到以下几点:
首先,做好整个局域网终端用户计算机的命名,指定IP地址,根据用户的类别统一命名计算机,并给定IP地址。这样一看机器名,就知道是哪个部门哪台机器,便于管理。比如综合部001号机器,我们就将其命名为”zonghebu001”。同时,统一规划分配IP地址给每台终端机器,并建立IP地址分配登记表。
其次,统计每个终端机器网卡的MAC地址,建立IP地址与MAC地址对应表。在MS-DOS方式下键入命令“WinIPcfg”就可以获得本机IP地址和MAC地址。我们可以将此方法公布一下,然后要求相关用户将本机MAC地址抄录上报到网管中心,再进行登记汇总。也可在设定机器名和IP地址时一并统计好。网络管理员也可以利用Nbtstat命令来远程获得指定机器的MAC地址。在MS-DOS方式下键入命令“Nbtstat -a 远程计算机名”,即可获得指定机器的IP地址和MAC地址。
最后,将IP地址与MAC地址绑定。这要根据局域网接入互联网的方式不同而采用不同的办法。
方法一:交换机控制 解决IP地址的最彻底的方法是使用交换机进行控制,即在TCP/IP第二层进行控制。使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问被拒绝。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入,这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。
方法二:路由器隔离 采用路由器隔离的办法的主要依据是MAC地址作为以太网卡地址全球唯一不能改变。其实现方法为通过SNMP协议定期扫描各路由器的ARP表,获得当前IP和MAC的对照关系,和事先合法的IP和MAC地址比较,如不一致,则为非法访问。对于非法访问,有几种办法可以制止,如
1.使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项;
2.向非法访问的主机发送ICMP不可达的欺骗包,干扰其数据发送;
3.修改路由器的存取控制列表,禁止非法访问。
路由器隔离的另外一种实现方法是使用静态ARP表,即路由器中IP与MAC地址的映射不通过ARP来获得,而采用静态设置。这样,当非法访问的IP地址和MAC地址不一致时,路由器根据正确的静态设置转发的帧就不会到达非法主机。
使用静态IP地址分配可以对各部门进行合理的IP地址规划,能够在第三层上方便地跟踪管理,如果我们通过加强对MAC地址的管理,同样也会有效地解决这一问题。
总之,在网络用户连网的同时,建立IP地址和MAC地址的信息档案,自始至终地对局域网客户执行严格的管理、登记制度,将每个用户的IP地址、MAC地址、上联端口、物理位置和用户身份等信息记录在网络管理员的数据库中。
试想,在我们上述的案例中,如果知道了非法用户的MAC地址后,我们可以从管理员数据库中进行查寻,如果我们对MAC地址记录全面,我们便可以立即找到具体的使用人的信息,这会节省我们大量宝贵时间,避免大海捞针的烦恼。同时我们对于某些应用应避免使用IP地址来进行权限限制,如果我们从MAC地址上进行限制相对来说要安全的多,这样可以有效地防止有人窃取IP地址的侥幸行为. 管理IP地址是一项长期工作,管理的好坏,直接影响企业网络发展。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。