绝妙两招全面有效的管理局域网IP地址 - 网络解决方案 - - 网络管理

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» 网络管理 » 网络解决方案 » 绝妙两招全面有效的管理局域网IP地址 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

tsw715
助理工程师

帖子 741
精华 0
无忧币 923
积分 1185
阅读权限 40

注册日期 2007-4-9

最后登录 2008-7-29

离线

[查看资料] [发短消息] [Blog]

发表于:2007-4-20 21:31　　标题：绝妙两招全面有效的管理局域网IP地址
＜上一帖 | 下一帖＞

局域网的一大特点就是拥有一定数量的终端用户。作为省属重点中学，笔者所在学校局域网的终端用户有600多个，为了区分各类不同用户，我们采用的是终端固定IP设置的方法。和其他许多学校的网管一样，我们也一直被终端用户私改IP地址造成的网络冲突问题困扰着。
咨询相关网络公司，他们也提供了不少解决方案，但大多价格不菲。没有办法，只好绞尽脑汁自己想办法了。笔者采用了基于防火墙的IP地址与MAC地址绑定+基于交换机的MAC地址与端口绑定的二级管理方法，双管齐下，较好地解决了这个问题。现将实现方法阐述如下：

一、基于防火墙的IP地址与MAC地址绑定

1.做好整个局域网终端用户计算机的命名，指定IP地址根据用户的类别统一命名计算机，并给定IP地址。这样一看机器名，就知道是哪个部门哪台机器，便于管理。比如高一年级语文组1号机器，我们就将其命名为“gaoyiyuwen01”。

同时，统一规划分配IP地址给每台终端机器，并建立IP地址分配登记表。

2.统计每个终端机器网卡的MAC地址，建立IP地址与MAC地址对应表

我们知道，在MS-DOS方式下键入命令“Winipcfg”就可以获得本机IP地址和MAC地址(Windows 98系统下)。我们可以将此方法公布一下，然后要求相关用户将本机MAC地址抄录上报到网管中心，再进行登记汇总。也可在设定机器名和IP地址时一并统计好。

网络管理员也可以利用Nbtstat命令来远程获得指定机器的MAC地址。在MS-DOS方式下键入命令“Nbtstat-a远程计算机名”，即可获得指定机器的IP地址和MAC地址。

3.将IP地址与MAC地址绑定

这要根据局域网接入互联网的方式不同而采用不同的办法。如果是采用代理服务器接入互联网，那就使用命令：

ARP -s IP地址MAC地址

例：ARP -s 192.168.1.4 00-EO-4C-6C-08-75

这样，就将静态IP地址192.168.1.4与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了，即使别人盗用您的IP地址192.168.1.4，也无法通过代理服务器上网。

如果是通过路由器直接接入互联网，最好通过硬件防火墙来实现IP与MAC地址的绑定。一般的硬件防火墙都具有这个功能，具体操作也非常简单。

到这里似乎可以大功告成了，但事情并不像我们想象的那么简单。花了相当多的精力构筑起来的防线不到一个月就又冲突依旧了。原来，有的终端用户通过修改注册表、下载专用小工具等方法，没费多少力气就更改了本机的MAC地址，甚至于将本机的MAC地址和IP地址改得和主服务器一模一样，搞得局域网内又鸡犬不宁了。

二、基于交换机的MAC地址与端口绑定

为了进一步解决这个问题，笔者又想到了基于交换机的MAC地址与端口绑定。这样一来，终端用户如果擅自改动本机网卡的MAC地址，该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现，自然也就不会对局域网造成干扰了。

以思科3548交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：

(config)#mac_address_table permanent MAC地址以太网端口号

这样逐一将每个端口与相应的计算机MAC地址绑定，保存并退出。其他品牌的交换机只要是可以网管的，大多可以仿此操作。(