局域網(wǎng)IP地址非法使用問題的解決

管理員的技術(shù)手段

　　1. 靜態(tài)ARP表的綁定

　　對于靜態(tài)修改IP地址的問題，可以采用靜態(tài)路由技術(shù)加以解決，即IP-MAC地址綁定。因為在一個網(wǎng)段內(nèi)的網(wǎng)絡尋址不是依靠IP地址而是物理地址。IP地址只是在網(wǎng)際之間尋址使用的。因此作為網(wǎng)關(guān)的路由器上有IP-MAC的動態(tài)對應表，這是由ARP協(xié)議生成并維護的。配置路由器時，可以指定靜態(tài)的ARP表，路由器會根據(jù)靜態(tài)的ARP表檢查數(shù)據(jù)包，如果不能對應，則不進行數(shù)據(jù)轉(zhuǎn)發(fā)。

　　該方法可以阻止非法用戶在不修改MAC地址的情況下，冒用IP地址進行跨網(wǎng)段的訪問。
　　2. 交換機端口綁定

　　借助交換機的端口—MAC地址綁定功能可以解決非法用戶修改MAC地址以適應靜態(tài)ARP表的問題�？晒芾淼慕粨Q機中都有端口—MAC地址綁定功能。使用交換機提供的端口地址過濾模式，即交換機的每一個端口只具有允許合法MAC地址的主機通過該端口訪問網(wǎng)絡，任何來自其它MAC地址的主機的訪問將被拒絕。

　　3.VLAN劃分

　　嚴格來說，VLAN劃分不屬于技術(shù)手段，而是管理與技術(shù)結(jié)合的手段。將具有相近權(quán)限的IP地址劃分到同一個VLAN，設置路由策略，可以有效阻止非法用戶冒用其他網(wǎng)段的IP地址的企圖。

　　4.與應用層的身份認證相結(jié)合

　　避免采用針對IP地址的直接授權(quán)的管理模式，綜合運用用戶名、口令、加密、VPN及其他應用層的身份認證機制，構(gòu)成多層次的嚴密的安全體系，可以有效降低IP地址非法使用所帶來的危害。

　　管理建議

　　a.普通用戶明白非法使用IP地址所產(chǎn)生的危害和處罰措施，制定并實施嚴格的IP地址管理制度，包括：IP地址申請和發(fā)放流程，IP地址變更流程，臨時IP地址分配流程，機器MAC地址登記管理，IP地址非法使用的處罰制度。

　　b.非法使用IP的行為，總是內(nèi)部網(wǎng)絡少數(shù)人的行為。因此，對于已經(jīng)建成的網(wǎng)絡，管理員要根據(jù)當前存在的問題，有針對性的運用技術(shù)措施，重點阻止個別用戶的非法行為。

　　c. 劃分VLAN時，兼顧可管理性和易用性。在不增加網(wǎng)絡復雜性的前提下，充分運用VLAN的劃分手段，將權(quán)限相近的用戶劃分到同一個VLAN內(nèi)，弱化非法使用同網(wǎng)段IP地址所帶來的利益。

　　d. 部署網(wǎng)絡管理系統(tǒng)。網(wǎng)絡管理軟件可以實現(xiàn)靜態(tài)ARP表綁定的初始化操作，避免網(wǎng)絡管理員的大量重復性勞動。網(wǎng)絡管理軟件的日常監(jiān)視和日志功能，可以及時有效的發(fā)現(xiàn)網(wǎng)絡中的IP地址變化、MAC地址變化、交換機端口改變等異常行為，幫助網(wǎng)絡管理員查找網(wǎng)絡故障的根源。同時，網(wǎng)絡管理員還可以借助網(wǎng)管系統(tǒng)，很方便的管理網(wǎng)絡交換機，針對個別問題突出的用戶，進行交換機端口綁定操作，禁止其修改MAC地址。

　　e. 與應用層的身份認證相結(jié)合，建立完整嚴密的多層次的安全認證體系，弱化IP地址在身份認證體系中的重要性。與IP地址非法使用的問題類似，用戶名和口令也屬于容易盜用的資源，建議有條件的單位采用指紋鼠標等先進的身份認證系統(tǒng)，強化重要系統(tǒng)的安全強度。

　　結(jié)束語

　　內(nèi)部人員非法使用IP地址，并不是為了進行侵入和破壞，而是為了謀取某些特定的權(quán)限和利益。網(wǎng)絡管理員除有法律手段和技術(shù)手段，還擁有各種內(nèi)部管理手段。如果單純使用技術(shù)手段來防范IP地址的非法使用，必然產(chǎn)生高昂的系統(tǒng)投資成本和人員開支。因此，只有綜合運用管理手段和技術(shù)手段，來處理IP地址非法使用問題，才能實現(xiàn)高可靠性的系統(tǒng)運行與低成本的管理維護的統(tǒng)一。