每個(gè)局域網(wǎng)都有一個(gè)相應(yīng)的IP地址規(guī)劃表,我們應(yīng)該按照規(guī)劃表合理地為我們的接入設(shè)備進(jìn)行分配。
局域網(wǎng)之所以可以有條不紊的運(yùn)作,離不開(kāi)路由器,交換機(jī)等關(guān)鍵的網(wǎng)絡(luò)設(shè)備,這些設(shè)備價(jià)格不菲,擁有強(qiáng)悍的管控功能,合理的利用這些設(shè)備,就可以對(duì)IP地址的使用加以有效管理。這樣,即使某些用戶在客戶機(jī)上隨意修改IP地址,也因?yàn)檫`反交換機(jī)等設(shè)備的管理規(guī)則而無(wú)法連入網(wǎng)絡(luò)。在一些較大規(guī)模的局域網(wǎng)中,網(wǎng)管員往往針對(duì)按照部門,樓層,房間等對(duì)象,將局域網(wǎng)劃分為多個(gè)VLAN(Virtual Local Area Network,即虛擬局域網(wǎng)),即從邏輯上將整個(gè)網(wǎng)絡(luò)劃分為多個(gè)子網(wǎng),將需要相互通訊的部分劃分到同一個(gè)VLAN中。各子網(wǎng)之間相互隔離,不能進(jìn)行直接的數(shù)據(jù)通訊。VLAN對(duì)應(yīng)于ISO模型的第二層網(wǎng)絡(luò),其劃分不受網(wǎng)絡(luò)端口的實(shí)際物理位置限制,VLAN具有了普通物理網(wǎng)絡(luò)相同的屬性,數(shù)據(jù)包不會(huì)直接進(jìn)入其它VALN中。
如果想相互通訊,數(shù)據(jù)包必須通過(guò)一個(gè)路由器或者三層交換機(jī)。使用VLAN虛擬網(wǎng),既可以提高網(wǎng)絡(luò)訪問(wèn)的安全性,又可以防止IP混亂的情況發(fā)生。在實(shí)際的管理中,網(wǎng)管員可以通過(guò)路由器,三層交換機(jī)或者二層快速以太網(wǎng)交換機(jī),將不同部門劃分到不同的VLAN中。在具體操作時(shí),可以按照部門,樓層的不同,對(duì)IP地址的分配進(jìn)行合理規(guī)劃,并將其與LAN號(hào)合理的關(guān)聯(lián)在一起。將同一部門或者樓層的主機(jī)IP,以VLAN子網(wǎng)接口地址為依據(jù),劃分到相同的子網(wǎng)中。注意,應(yīng)該保證該VLAN子網(wǎng)的接口地址就是該子網(wǎng)的網(wǎng)關(guān)地址。經(jīng)過(guò)精心的規(guī)劃,可以有效提高整個(gè)局域網(wǎng)的安全性。即使出現(xiàn)IP地址被隨意更改,其引起的混亂也只能在特定的VLAN區(qū)域,不會(huì)對(duì)整個(gè)網(wǎng)絡(luò)構(gòu)成威脅。在相同的VLAN中,用戶之間也可以相關(guān)制約監(jiān)督,可可以有效避免IP混亂情況的發(fā)生。
例如,本公司廣告部位于201單元,其上網(wǎng)接口對(duì)應(yīng)于某品牌二層交換機(jī)的F0/6端口上,可以將該部分規(guī)劃到VLAN20中,使該部門的電腦只能使用“192.168.10.0”網(wǎng) 段,如果擅自修改IP,將無(wú)法正常上網(wǎng)。為此,可以在該樓層的交換機(jī)上將F0/6端口劃分到VLAN20中,同時(shí)將該VLAN的網(wǎng)關(guān)地址設(shè)置為192.168.10.1,掩碼為255.255.255.0。首先以超級(jí)用戶身份登錄到該樓層交換機(jī)后臺(tái)管理界面,使用“configure terminal”命令進(jìn)入全局配置模式,執(zhí) 行“VLAN 20”命令,設(shè)置VLAN20子網(wǎng),執(zhí)行“Interface fastEthernet 0/6”命令,將F0/6端口規(guī)劃到VLAN20中,執(zhí) 行“Interface vlan 20”命令,創(chuàng)建虛擬接口 Vlan 20。 執(zhí) 行“ip address 192.168.10.1 255.255.255.0”命令,配置虛擬接口Vlan的IP地址。經(jīng)過(guò)以上操作,廣告部中的所有主機(jī)只能使用192.168.10.0段的IP地址,才可以順利上網(wǎng),如果有用戶隨意改變IP地址,不在該IP段范圍內(nèi),就會(huì)受到交換機(jī)的管控而無(wú)法正常上網(wǎng)。當(dāng)然,上述操作命令需要根據(jù)不同型號(hào)的交換機(jī)而定。
現(xiàn)在的交換機(jī)智能程度都比較高,都提供了各種使用的控制功能。例如,其中的端口綁定功能,對(duì)于管理IP地址就很實(shí)用。通過(guò)對(duì)交換機(jī)的端口地址進(jìn)行過(guò)濾,可以讓具有可信任的MAC地址的主機(jī)訪問(wèn)網(wǎng)絡(luò),而具有不可信MAC地址的主機(jī)將被交換機(jī)攔截,無(wú)法順利訪問(wèn)網(wǎng)絡(luò)。這樣,即使有某些用戶盜用了別人的IP地址,因?yàn)槠銶AC地址是不可信的,自然無(wú)法突破交換機(jī)的控制而執(zhí)行非法訪問(wèn)操作。例如,在局域網(wǎng)中某臺(tái)FTP服務(wù)器的地址為192.168.1.19。如果有非法用戶搶占該地址,就會(huì)造成該文件服務(wù)器無(wú)法聯(lián)網(wǎng)的問(wèn)題。為此,可以將該文件服務(wù)器的IP和網(wǎng)卡MAC地址綁定起來(lái),如果有人盜用了該IP,也無(wú)法順利的接入網(wǎng)絡(luò)。
在文件服務(wù)器上打開(kāi)CMD窗口,執(zhí)行“ipconfig/all”命令,根據(jù)顯示的網(wǎng)絡(luò)配置信息,獲得網(wǎng)卡的MAC地址,假設(shè)為“4061.868F.259B”。 之后以管理員身份登錄到局域網(wǎng)核心三層交換機(jī)后臺(tái)管理界面,先切換到全局試圖模式,執(zhí)行“addressbind192.168.1.194061.868F.259B”命令,將該文件服務(wù)器的IP地址和MAC地址綁定在一起,執(zhí)行“arp 192.168.1.19 4061.868F.259B arpa gigabitEthernet 1/2”命令,將其IP綁定到文件服務(wù)器所連接的交換機(jī)的連接光口上。這樣,即使有別的用戶搶占了該IP,也不會(huì)出現(xiàn)因?yàn)镮P地址沖突而影響該文件服務(wù)器正常運(yùn)作的現(xiàn)象。
當(dāng)然,如果是通過(guò)路由器組網(wǎng)的話,也可以通過(guò)路由器內(nèi)置的IP地址和MAC地址綁定功能,來(lái)制約地址盜用情況的發(fā)生。以磊科NW705路由器為例。先登錄到其高級(jí)管理界面,在其左側(cè)點(diǎn)擊“網(wǎng)絡(luò)安全”-“IP/MAC綁定”項(xiàng),在右側(cè)選擇“禁止未綁定IP/MAC的主機(jī)上網(wǎng)”項(xiàng),之后點(diǎn)擊保存配置信息。在IP/MAC綁定規(guī)則列表中輸入描述信息,IP地址和MAC地址,選擇“LAN”接口,點(diǎn)擊增加按鈕,完成指定IP和MAC地址的綁定操作。
本例中假設(shè)將“192.168.10.20”的IP地址和“000A,2B2D,3F6C” 的MAC地址綁定在一起。通過(guò)查看該路由器的內(nèi)網(wǎng)配置信息,獲得其LAN口的IP為 192.168.1.1,LAN MAC為“000A,EBD5,6080”。之 后 在IP為“192.168.1.20”的主機(jī)上執(zhí)行“arp -s 192.168.1.1 00-0a-eb-d5-60-80”, 將磊科NW706路由器的LAN口的IP和MAC地址綁定起來(lái)。注意,IP與MAC地址的綁定是雙向的,即在路由器上綁定電腦的IP與MAC地址,還需要在電腦上對(duì)路由器LAN口的IP地址與MAC地址進(jìn)行綁定,這樣才能有效解決ARP網(wǎng)關(guān)欺騙的問(wèn)題。
除了在交換機(jī),路由器等網(wǎng)絡(luò)設(shè)備上配置規(guī)則,來(lái)管控IP地址外,在局域網(wǎng)中的客戶機(jī)上,也需要采取各種手段,來(lái)控制IP地址被非法修改的現(xiàn)象。例如,將網(wǎng)絡(luò)連接圖標(biāo)隱藏起來(lái),就可以讓用戶因?yàn)檎也坏叫薷腎P地址的配置界面,而無(wú)法隨意更改IP地址。運(yùn)行“gpedit.msc”程序,在組策略管理器左側(cè)選擇“本地計(jì)算機(jī)策略”-“用戶配置”-“管理模板”-“桌面”項(xiàng),雙擊窗口右側(cè)的“隱藏桌面上的網(wǎng)上鄰居圖標(biāo)”項(xiàng)末,選擇“已啟用”項(xiàng),就可以將桌面上的網(wǎng)上鄰居圖標(biāo)隱藏起來(lái)。或者在組策略窗口左側(cè)選擇“本地計(jì)算機(jī)策略”-“用戶配置”-“管理模板”-“網(wǎng)絡(luò)”-“網(wǎng)絡(luò)連接”項(xiàng),在右側(cè)雙擊“禁止訪問(wèn)LAN連接的屬性”項(xiàng),選擇“已啟用”項(xiàng),就可以禁止用戶隨意打開(kāi)網(wǎng)絡(luò)連接屬性窗口了。對(duì)于Windows 7來(lái)說(shuō),還需要雙擊“為管理員啟用Windows2000網(wǎng)絡(luò)連接設(shè)置”項(xiàng),選擇“已啟用”項(xiàng)。
圖1 鎖定IP更改功能
為了防止其使用控制面板中的網(wǎng)絡(luò)連接項(xiàng)目,可以在組策略窗口左側(cè)選擇“本地計(jì)算機(jī)策略”-“用戶配置”-“管理模板”-“控制面板”項(xiàng),在右側(cè)雙擊“禁止訪問(wèn)控制面板”項(xiàng),選擇“已啟用”項(xiàng),就可以阻止用戶使用控制面板。為了防止使用IE中的網(wǎng)絡(luò)連接項(xiàng)目,在組策略左側(cè)選擇“本地計(jì)算機(jī)策略”-“用戶 配 置”-“Windows設(shè)置”-“Internet維護(hù)”-“連接”項(xiàng),在右側(cè)雙擊“連接設(shè)置”項(xiàng),選擇“刪除已有的撥號(hào)連接設(shè)置”項(xiàng)即可。為了隱藏任務(wù)欄中的網(wǎng)絡(luò)連接圖標(biāo),可以在本地連接項(xiàng)的屬性窗口中取消“連接后在通知區(qū)域顯示圖標(biāo)”項(xiàng)。此外,還可以在“開(kāi)始”→“運(yùn)行”中輸入“services.msc”,確認(rèn)后打開(kāi)服務(wù)管理窗口,雙擊名為“Network Connections”的服務(wù),在其屬性窗口中點(diǎn)擊“停止”按鈕禁止該服務(wù)運(yùn)行,同時(shí)將“啟動(dòng)類型”設(shè)為“已禁用”即可。
在Windows中存在Netcf gx.dll,Netshell.dll和Netman.dll三個(gè)動(dòng)態(tài)庫(kù)文件,它們實(shí)際上是系統(tǒng)控件,和網(wǎng)絡(luò)功能緊密相關(guān)。當(dāng)修改IP地址時(shí),就需要用到這三個(gè)控件。因此,只要將上述三個(gè)控件卸載,就可以屏蔽網(wǎng)絡(luò)連接窗口,運(yùn)行“Cmd.exe”命令打開(kāi)CMD窗口,在其中分別執(zhí)行“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netshell.dll”、“Regsvr32 /u Netman.dll”命令,可以將上述控件從系統(tǒng)中卸載。為了簡(jiǎn)單起見(jiàn),可以使用NoIPSet這款小工具,來(lái)快速鎖定IP修改功能,其支持Windows的所有版本。在其主界面(如圖1)中顯示了三種鎖定方式,分別點(diǎn)擊對(duì)應(yīng)的“鎖定”按鈕,就可以解決問(wèn)題了。為了提高安裝速度,局域網(wǎng)中的大多數(shù)主機(jī)都是使用克隆技術(shù)來(lái)安裝Windows的。而且局域網(wǎng)中的很多電腦配置均相同,所以可以在某臺(tái)主機(jī)上配置好各種控制項(xiàng)目,之后將其進(jìn)行克隆,然后在別的主機(jī)上進(jìn)行系統(tǒng)安裝操作,就可以快速得到所需的系統(tǒng)環(huán)境了。