讓IP地址守規(guī)矩

每個(gè)局域網(wǎng)都有一個(gè)相應(yīng)的IP地址規(guī)劃表，我們應(yīng)該按照規(guī)劃表合理地為我們的接入設(shè)備進(jìn)行分配。

劃分網(wǎng)段，讓IP地址不再混亂

局域網(wǎng)之所以可以有條不紊的運(yùn)作，離不開路由器，交換機(jī)等關(guān)鍵的網(wǎng)絡(luò)設(shè)備，這些設(shè)備價(jià)格不菲，擁有強(qiáng)悍的管控功能，合理的利用這些設(shè)備，就可以對(duì)IP地址的使用加以有效管理。這樣，即使某些用戶在客戶機(jī)上隨意修改IP地址，也因?yàn)檫`反交換機(jī)等設(shè)備的管理規(guī)則而無法連入網(wǎng)絡(luò)。在一些較大規(guī)模的局域網(wǎng)中，網(wǎng)管員往往針對(duì)按照部門，樓層，房間等對(duì)象，將局域網(wǎng)劃分為多個(gè)VLAN（Virtual Local Area Network，即虛擬局域網(wǎng)），即從邏輯上將整個(gè)網(wǎng)絡(luò)劃分為多個(gè)子網(wǎng)，將需要相互通訊的部分劃分到同一個(gè)VLAN中。各子網(wǎng)之間相互隔離，不能進(jìn)行直接的數(shù)據(jù)通訊。VLAN對(duì)應(yīng)于ISO模型的第二層網(wǎng)絡(luò)，其劃分不受網(wǎng)絡(luò)端口的實(shí)際物理位置限制，VLAN具有了普通物理網(wǎng)絡(luò)相同的屬性，數(shù)據(jù)包不會(huì)直接進(jìn)入其它VALN中。

如果想相互通訊，數(shù)據(jù)包必須通過一個(gè)路由器或者三層交換機(jī)。使用VLAN虛擬網(wǎng)，既可以提高網(wǎng)絡(luò)訪問的安全性，又可以防止IP混亂的情況發(fā)生。在實(shí)際的管理中，網(wǎng)管員可以通過路由器，三層交換機(jī)或者二層快速以太網(wǎng)交換機(jī)，將不同部門劃分到不同的VLAN中。在具體操作時(shí)，可以按照部門，樓層的不同，對(duì)IP地址的分配進(jìn)行合理規(guī)劃，并將其與LAN號(hào)合理的關(guān)聯(lián)在一起。將同一部門或者樓層的主機(jī)IP，以VLAN子網(wǎng)接口地址為依據(jù)，劃分到相同的子網(wǎng)中。注意，應(yīng)該保證該VLAN子網(wǎng)的接口地址就是該子網(wǎng)的網(wǎng)關(guān)地址。經(jīng)過精心的規(guī)劃，可以有效提高整個(gè)局域網(wǎng)的安全性。即使出現(xiàn)IP地址被隨意更改，其引起的混亂也只能在特定的VLAN區(qū)域，不會(huì)對(duì)整個(gè)網(wǎng)絡(luò)構(gòu)成威脅。在相同的VLAN中，用戶之間也可以相關(guān)制約監(jiān)督，可可以有效避免IP混亂情況的發(fā)生。

例如，本公司廣告部位于201單元，其上網(wǎng)接口對(duì)應(yīng)于某品牌二層交換機(jī)的F0/6端口上，可以將該部分規(guī)劃到VLAN20中，使該部門的電腦只能使用“192.168.10.0”網(wǎng) 段，如果擅自修改IP，將無法正常上網(wǎng)。為此，可以在該樓層的交換機(jī)上將F0/6端口劃分到VLAN20中，同時(shí)將該VLAN的網(wǎng)關(guān)地址設(shè)置為192.168.10.1，掩碼為255.255.255.0。首先以超級(jí)用戶身份登錄到該樓層交換機(jī)后臺(tái)管理界面，使用“configure terminal”命令進(jìn)入全局配置模式，執(zhí) 行“VLAN 20”命令，設(shè)置VLAN20子網(wǎng)，執(zhí)行“Interface fastEthernet 0/6”命令，將F0/6端口規(guī)劃到VLAN20中，執(zhí) 行“Interface vlan 20”命令，創(chuàng)建虛擬接口 Vlan 20。 執(zhí) 行“ip address 192.168.10.1 255.255.255.0”命令，配置虛擬接口Vlan的IP地址。經(jīng)過以上操作，廣告部中的所有主機(jī)只能使用192.168.10.0段的IP地址，才可以順利上網(wǎng)，如果有用戶隨意改變IP地址，不在該IP段范圍內(nèi)，就會(huì)受到交換機(jī)的管控而無法正常上網(wǎng)。當(dāng)然，上述操作命令需要根據(jù)不同型號(hào)的交換機(jī)而定。

利用端口過濾，限制IP地址盜用

現(xiàn)在的交換機(jī)智能程度都比較高，都提供了各種使用的控制功能。例如，其中的端口綁定功能，對(duì)于管理IP地址就很實(shí)用。通過對(duì)交換機(jī)的端口地址進(jìn)行過濾，可以讓具有可信任的MAC地址的主機(jī)訪問網(wǎng)絡(luò)，而具有不可信MAC地址的主機(jī)將被交換機(jī)攔截，無法順利訪問網(wǎng)絡(luò)。這樣，即使有某些用戶盜用了別人的IP地址，因?yàn)槠銶AC地址是不可信的，自然無法突破交換機(jī)的控制而執(zhí)行非法訪問操作。例如，在局域網(wǎng)中某臺(tái)FTP服務(wù)器的地址為192.168.1.19。如果有非法用戶搶占該地址，就會(huì)造成該文件服務(wù)器無法聯(lián)網(wǎng)的問題。為此，可以將該文件服務(wù)器的IP和網(wǎng)卡MAC地址綁定起來，如果有人盜用了該IP，也無法順利的接入網(wǎng)絡(luò)。

在文件服務(wù)器上打開CMD窗口，執(zhí)行“ipconfig/all”命令，根據(jù)顯示的網(wǎng)絡(luò)配置信息，獲得網(wǎng)卡的MAC地址，假設(shè)為“4061.868F.259B”。 之后以管理員身份登錄到局域網(wǎng)核心三層交換機(jī)后臺(tái)管理界面，先切換到全局試圖模式，執(zhí)行“addressbind192.168.1.194061.868F.259B”命令，將該文件服務(wù)器的IP地址和MAC地址綁定在一起，執(zhí)行“arp 192.168.1.19 4061.868F.259B arpa gigabitEthernet 1/2”命令，將其IP綁定到文件服務(wù)器所連接的交換機(jī)的連接光口上。這樣，即使有別的用戶搶占了該IP，也不會(huì)出現(xiàn)因?yàn)镮P地址沖突而影響該文件服務(wù)器正常運(yùn)作的現(xiàn)象。

當(dāng)然，如果是通過路由器組網(wǎng)的話，也可以通過路由器內(nèi)置的IP地址和MAC地址綁定功能，來制約地址盜用情況的發(fā)生。以磊科NW705路由器為例。先登錄到其高級(jí)管理界面，在其左側(cè)點(diǎn)擊“網(wǎng)絡(luò)安全”-“IP/MAC綁定”項(xiàng)，在右側(cè)選擇“禁止未綁定IP/MAC的主機(jī)上網(wǎng)”項(xiàng)，之后點(diǎn)擊保存配置信息。在IP/MAC綁定規(guī)則列表中輸入描述信息，IP地址和MAC地址，選擇“LAN”接口，點(diǎn)擊增加按鈕，完成指定IP和MAC地址的綁定操作。

本例中假設(shè)將“192.168.10.20”的IP地址和“000A,2B2D,3F6C” 的MAC地址綁定在一起。通過查看該路由器的內(nèi)網(wǎng)配置信息，獲得其LAN口的IP為 192.168.1.1，LAN MAC為“000A,EBD5,6080”。之 后 在IP為“192.168.1.20”的主機(jī)上執(zhí)行“arp -s 192.168.1.1 00-0a-eb-d5-60-80”， 將磊科NW706路由器的LAN口的IP和MAC地址綁定起來。注意，IP與MAC地址的綁定是雙向的，即在路由器上綁定電腦的IP與MAC地址，還需要在電腦上對(duì)路由器LAN口的IP地址與MAC地址進(jìn)行綁定，這樣才能有效解決ARP網(wǎng)關(guān)欺騙的問題。

在客戶機(jī)端限制隨意更換IP

除了在交換機(jī)，路由器等網(wǎng)絡(luò)設(shè)備上配置規(guī)則，來管控IP地址外，在局域網(wǎng)中的客戶機(jī)上，也需要采取各種手段，來控制IP地址被非法修改的現(xiàn)象。例如，將網(wǎng)絡(luò)連接圖標(biāo)隱藏起來，就可以讓用戶因?yàn)檎也坏叫薷腎P地址的配置界面，而無法隨意更改IP地址。運(yùn)行“gpedit.msc”程序，在組策略管理器左側(cè)選擇“本地計(jì)算機(jī)策略”-“用戶配置”-“管理模板”-“桌面”項(xiàng)，雙擊窗口右側(cè)的“隱藏桌面上的網(wǎng)上鄰居圖標(biāo)”項(xiàng)末，選擇“已啟用”項(xiàng)，就可以將桌面上的網(wǎng)上鄰居圖標(biāo)隱藏起來。或者在組策略窗口左側(cè)選擇“本地計(jì)算機(jī)策略”-“用戶配置”-“管理模板”-“網(wǎng)絡(luò)”-“網(wǎng)絡(luò)連接”項(xiàng)，在右側(cè)雙擊“禁止訪問LAN連接的屬性”項(xiàng)，選擇“已啟用”項(xiàng)，就可以禁止用戶隨意打開網(wǎng)絡(luò)連接屬性窗口了。對(duì)于Windows 7來說，還需要雙擊“為管理員啟用Windows2000網(wǎng)絡(luò)連接設(shè)置”項(xiàng)，選擇“已啟用”項(xiàng)。

圖1 鎖定IP更改功能

為了防止其使用控制面板中的網(wǎng)絡(luò)連接項(xiàng)目，可以在組策略窗口左側(cè)選擇“本地計(jì)算機(jī)策略”-“用戶配置”-“管理模板”-“控制面板”項(xiàng)，在右側(cè)雙擊“禁止訪問控制面板”項(xiàng)，選擇“已啟用”項(xiàng)，就可以阻止用戶使用控制面板。為了防止使用IE中的網(wǎng)絡(luò)連接項(xiàng)目，在組策略左側(cè)選擇“本地計(jì)算機(jī)策略”-“用戶 配 置”-“Windows設(shè)置”-“Internet維護(hù)”-“連接”項(xiàng)，在右側(cè)雙擊“連接設(shè)置”項(xiàng)，選擇“刪除已有的撥號(hào)連接設(shè)置”項(xiàng)即可。為了隱藏任務(wù)欄中的網(wǎng)絡(luò)連接圖標(biāo)，可以在本地連接項(xiàng)的屬性窗口中取消“連接后在通知區(qū)域顯示圖標(biāo)”項(xiàng)。此外，還可以在“開始”→“運(yùn)行”中輸入“services.msc”，確認(rèn)后打開服務(wù)管理窗口，雙擊名為“Network Connections”的服務(wù)，在其屬性窗口中點(diǎn)擊“停止”按鈕禁止該服務(wù)運(yùn)行，同時(shí)將“啟動(dòng)類型”設(shè)為“已禁用”即可。

在Windows中存在Netcf gx.dll，Netshell.dll和Netman.dll三個(gè)動(dòng)態(tài)庫文件，它們實(shí)際上是系統(tǒng)控件，和網(wǎng)絡(luò)功能緊密相關(guān)。當(dāng)修改IP地址時(shí)，就需要用到這三個(gè)控件。因此，只要將上述三個(gè)控件卸載，就可以屏蔽網(wǎng)絡(luò)連接窗口，運(yùn)行“Cmd.exe”命令打開CMD窗口，在其中分別執(zhí)行“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netshell.dll”、“Regsvr32 /u Netman.dll”命令，可以將上述控件從系統(tǒng)中卸載。為了簡單起見，可以使用NoIPSet這款小工具，來快速鎖定IP修改功能，其支持Windows的所有版本。在其主界面（如圖1）中顯示了三種鎖定方式，分別點(diǎn)擊對(duì)應(yīng)的“鎖定”按鈕，就可以解決問題了。為了提高安裝速度，局域網(wǎng)中的大多數(shù)主機(jī)都是使用克隆技術(shù)來安裝Windows的。而且局域網(wǎng)中的很多電腦配置均相同，所以可以在某臺(tái)主機(jī)上配置好各種控制項(xiàng)目，之后將其進(jìn)行克隆，然后在別的主機(jī)上進(jìn)行系統(tǒng)安裝操作，就可以快速得到所需的系統(tǒng)環(huán)境了。