最后,将IP地址与MAC地址绑定。这要根据局域网接入互联网的方式不同而采用不同的办法。
方法一:交换机控制 解决IP地址的最彻底的方法是使用交换机进行控制,即在TCP/IP第二层进行控制。使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问被拒绝。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入,这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。
方法二:路由器隔离 采用路由器隔离的办法的主要依据是MAC地址作为以太网卡地址全球优异不能改变。其实现方法为通过SNMP协议定期扫描各路由器的ARP表,获得当前IP和MAC的对照关系,和事先合法的IP和MAC地址比较,如不一致,则为非法访问。对于非法访问,有几种办法可以制止,如
1.使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项;
2.向非法访问的主机发送ICMP不可达的欺骗包,干扰其数据发送;
3.修改路由器的存取控制列表,禁止非法访问。
路由器隔离的另外一种实现方法是使用静态ARP表,即路由器中IP与MAC地址的映射不通过ARP来获得,而采用静态设置。这样,当非法访问的IP地址和MAC地址不一致时,路由器根据正确的静态设置转发的帧就不会到达非法主机。
使用静态IP地址分配可以对各部门进行合理的IP地址规划,能够在第三层上方便地跟踪管理,如果我们通过加强对MAC地址的管理,同样也会有效地解决这一问题。
总之,在网络用户连网的同时,建立IP地址和MAC地址的信息档案,自始至终地对局域网客户执行严格的管理、登记制度,将每个用户的IP地址、MAC地址、上联端口、物理位置和用户身份等信息记录在网络管理员的数据库中。
试想,在我们上述的案例中,如果知道了非法用户的MAC地址后,我们可以从管理员数据库中进行查寻,如果我们对MAC地址记录全面,我们便可以立即找到具体的使用人的信息,这会节省我们大量宝贵时间,避免大海捞针的烦恼。同时我们对于某些应用应避免使用IP地址来进行权限限制,如果我们从MAC地址上进行限制相对来说要安全的多,这样可以有效地防止有人窃取IP地址的侥幸行为. 管理IP地址是一项长期工作,管理的好坏,直接影响企业网络发展。