笔者所在局域网的有500多台计算机,为了区分各类不同用户,对不同用户分配更详细的访问权限,我们采用的是设置固定IP的方法,而不是自动获取IP地址。不过在实际使用中遇到了和其他LAN管理上的相同问题。那就是经常有用户私自修改IP地址,从而造成网络冲突的问题。
虽然很多网络公司可以提供硬件解决的办法但价格不菲。俗话说穷人有穷人的办法,笔者经过查询资料发现了两个行知有效的方法——代理服务器IP与MAC地址绑定和交换机MAC地址与端口绑定的。将这两个办法结合起来有效的解决了非法用户上网这个问题。
如何查看计算机MAC地址
我们可以在98系统中执行winipcfg查看MAC地址,在2000及其以上操作系统中运行ipconfig /all进行查看。
小提示:实际上网络管理员也可以利用NBTstat命令来远程获得指定机器的MAC地址。在MS-DOS方式下键入命令“Nbtstat -a 远程计算机名”,即可获得指定机器的IP地址和MAC地址。不过这需要实现建立IPC连接,如果初次使用不会有任何反应。
这里告诉大家一个方便快捷的办法那就是在执行“Nbtstat -a 远程计算机名”前先使用一款扫描工具对整个局域网扫描,自动建立IPC连接。这样运行“Nbtstat -a 远程计算机名”就不会出现没有任何反馈信息的情况了。
方法一:代理服务器上IP与MAC地址的绑定
这要根据局域网接入互联网的方式不同而采用不同的办法。如果是采用代理服务器接入互联网,那就可以在代理服务器上使用——ARP -s IP地址 MAC地址
例如:使用ARP -s 10.91.30.45 00-EO-4C-6C-08-75的命令,这样就将静态IP地址10.91.30.45与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了,即使别人盗用了IP地址192.168.1.4,也无法通过代理服务器上网。
小提示:ARP的映射信息会在每次重新启动计算机后消失,所以请将所有的映射命令保存到一个批处理BAT文件中,并将这个文件设置为随系统启动而加载,从而保证代理服务器重新启动ARP映射信息也不会消失了。
如果是通过路由器直接接入互联网,最好通过硬件防火墙来实现IP与MAC地址的绑定。一般的硬件防火墙都具有这个功能,具体操作也非常简单。鉴于篇幅有限这里就不举例介绍了。
方法二:交换机的MAC地址与端口绑定
上面提到的方法一虽然可以在一定程度上解决非法用户网络接入的问题,但用户还是可以通过修改注册表,下载专用小工具等方法,轻松更改了本机的MAC地址,甚至于将本机的MAC地址和IP地址改得和代理服务器一模一样。非法用户又可以非法使用网络了。因此方法二应运而生。
将交换机的MAC地址与端口绑定后擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现,自然也就不会对局域网造成干扰了。我们以CISCO交换机讲解配置命令。
登录进入交换机,输入管理口令进入配置模式,敲入命令:(config)#mac_address_table permanent [MAC地址] [以太网端口号]
这样逐一的将每个端口与相应的计算机MAC地址进行绑定,保存退出后就彻底阻止了用户的非法修改。当然其他品牌的交换机只要是可以网管的,大多可以按照此方法进行操作。
总结:实际使用中笔者发现将两个方法进行结合可以最大限度的阻止非法用户的非法使用网络,效果很好。写出来希望能为各位深陷此痛苦的网络管理员排忧解难。
(出处:http://www.sheup.com)