三，中级方法——多种办法应对非法IP：

    虽然上面我们通过禁用DHCP服务或建立一个假的DHCP服务可以阻止非法用户连接网络后自动获得IP地址。但是如果非法用户知道了公司的网络规划，对客户机网络地址比较了解的话，他就可以自由修改IP地址的设置，从而产生了IP地址非法使用的问题。不过改动后的IP地址在局域网中运行时可能出现的情况如下。

    （1）非法的IP地址即IP地址不在规划的局域网范围内。

    （2）重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突，使合法用户无法上网。

    （3）冒用合法用户的IP地址当合法用户不在线时，冒用其IP地址联网，使合法用户的权益受到侵害。

    对于第一种情况非法IP也不能上网，所以我们不用理会。但是第二种和第三种情况则严重的影响了公司内部其他员工正常上网，并且公司内部数据也存在丢失的可能。我们这些网络管理员可以通过以下几个办法来对付非法用户自行修改IP地址。

    （1）静态ARP表的绑定：（如下图）

ARP命令（点击看大图）

    对于静态修改IP地址的问题，可以采用静态路由技术加以解决，即IP-MAC地址绑定。因为在一个网段内的网络寻址不是依靠IP地址而是物理地址。IP地址只是在网际之间寻址使用的。因此作为网关的路由器上有IP-MAC的动态对应表，这是由ARP协议生成并维护的。配置路由器时，可以指定静态的ARP表，路由器会根据静态的ARP表检查数据包，如果不能对应，则不进行数据转发。 该方法可以阻止非法用户在不修改MAC地址的情况下，冒用IP地址进行跨网段的访问。

    （2）交换机端口绑定：

    借助交换机端口的MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。可管理的交换机中都有端口MAC地址绑定功能。使用交换机提供的端口地址过滤模式，即交换机的每一个端口只具有允许合法MAC地址的主机通过该端口访问网络，任何来自其它MAC地址的主机的访问将被拒绝。

    （3）VLAN划分：

    严格来说，VLAN划分不属于技术手段，而是管理与技术结合的手段。将具有相近权限的IP地址划分到同一个VLAN，设置路由策略，可以有效阻止非法用户冒用其他网段的IP地址的企图。

    （4）与应用层的身份认证相结合：（如下图）

身份认证

    避免采用针对IP地址的直接授权的管理模式，综合运用用户名、口令、加密、VPN及其他应用层的身份认证机制，构成多层次的严密的安全体系，或者启用一些诸如RADIUS AAA以及802.1x等具有认证的功能，这些都可以有效降低IP地址非法使用所带来的危害。