校园网中IP盗用应如何解决-网络通信专区

校园网中IP盗用应如何解决

作者：pcdog 编辑：华海波 2007-06-21 00:00

2、交换机端口绑定

　　尽管采取了IP地址与MAC地址的绑定措施，但如果对Windows98或Windows2000有点了解的人知道，在系统的“控制面板\网络\网卡\属性\高级\Network Address\设置”中，用户可以随意修改主机的MAC地址。
这意味着用户可以同时盗用合法用户的IP及MAC地址。

　　如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，那静态路由技术就无能为力了。

　　如何来解决这个问题呢？我们可以借助交换机的端口-MAC地址绑定功能。即在TCP/IP第二层进行控制。在各种可管理的交换机中都有端口-MAC地址绑定功能。使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问将被拒绝。以CISCO2950交换机为例，其设置的方法是：

　　User Access Verification
　　Password:＊＊＊＊＊＊＊＊
　　switch153>en
　　Password:＊＊＊＊＊＊＊＊
　　switch153#config t
　　Enter configuration commands, one per line. End with CNTL/Z.
　　switch153(config)#int f0/1
　　switch153(config-if)#port secu max 99
　　switch153(config-if)#shutdown
　　switch153(config-if)#int f0/2
　　switch153(config-if)#port secu max 99
　　switch153(config-if)#shutdown
　　switch153(config-if)#int f0/3
　　switch153(config-if)#port secu max 99
　　switch153(config-if)#shutdown
　　switch153(config-if)#exit
　　switch153(config)#exit
　　switch153#clear mac secu
　　switch153#config t
　　Enter configuration commands, one per line. End with CNTL/Z.
　　switch153(config)#mac secure 5254.AB2C.3845 f0/1
　　switch153(config)#mac secure 00E0.4C6B.7F05 f0/2
　　switch153(config)#mac secure 0000.E8B1.4AC2 f0/2
　　switch153(config)#mac secure 5254.4CBD.1D71 f0/3
　　switch153(config)#mac secure 5254.AB3A.4D9B f0/3
　　switch153(config)#mac secure 5254.AB4C.9603 f0/3
　　switch153(config)#int f0/1
　　switch153(config-if)#port secu max 1
　　switch153(config-if)#no shutdown
　　switch153(config-if)#int f0/2
　　switch153(config-if)#port secu max 2
　　switch153(config-if)#no shutdown
　　switch153(config-if)#int f0/3
　　switch153(config-if)#port secu max 3
　　switch153(config-if)#no shutdown
　　switch153(config-if)#exit
　　switch153(config)#exit
　　switch153#write
　　Building configuration...
　　[OK]
　　switch153#

　　本例中仅以端口1、2、3为例。即端口1允许的MAC地址是5254.AB2C.3845；端口2允许的MAC地址是：00E0.4C6B.7F05和0000.E8B1.4AC2。

　　3、防火墙与代理服务器

　　使用防火墙与代理服务器相结合，也能较好地解决IP地址盗用问题。这是一种在应用层上解决IP盗用的办法。防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行。任何上网用户需要到网络管理部门申请帐户和口令，IP地址的使用可以是无偿的，即变IP管理为用户身份和口令的管理。因为用户对于网络的使用归根结底是要使用网络的应用。合法用户可以选择任意一台IP主机使用，通过代理服务器访问外部网络资源，而无帐户的用户即使盗用IP，也没有用户名和密码，不能使用外部网络。

　　4、路由器隔离

　　检测和保护网络免受IP欺骗的最好办法是安装过滤路由器。对于来自网络外部的IP欺骗，阻止的方法很简单，在局域网对外的路由器上加一个限制条件，只要在路由器上设置不允许声称来自内部的网络的外来包通过就行了。

　　四、总结

　　通过IP -MAC地址的绑定及端口-MAC地址的绑定，内联网的IP地址盗用问题在很大程度上可以得到解决。但仍然有可能存在未经授权的用户使用未经授权的IP地址而造成IP冲突，侵犯合法用户的权益。尽管盗用者无法使用该IP，但给网络带来了混乱。我们可以利用网络交换设备的网络管理功能，完善检测手段，提高网络故障的检测能力。目前有多种网络交换机内置了网络管理软件，具备寻找IP地址设置冲突对应交换机端口的功能，可以迅速准确地定位和查找故障主机点。

　　随着网络设备功能的日趋完善和网络管理人员的管理水平的提高，会有更多更好的防止IP盗用的方法。同时更要培养我们的学生具备良好的道德素质，营造一个良好的网络环境。让我们的校园网络更健康的发展。

第1页：校园网中IP盗用应如何解决第2页：校园网中IP盗用应如何解决第3页：校园网中IP盗用应如何解决

关注我们