根据接入互联网的IP地址管理是通过IP地址分配和路由器的配置来实现的原理,可以通过设置路由器的静态ARP表,解决IP地址和MAC地址的绑定,保证合法IP地址的唯一性。
(1)静态ARP表的绑定根据接入互联网的IP地址管理是通过IP地址分配和路由器的配置来实现的原理,可以通过设置路由器的静态ARP表,解决IP地址和MAC地址的绑定,保证合法IP地址的唯一性。
这是因为在一个网段内的网络寻址不是依靠IP而是物理地址。IP只是在网际之间寻址使用的。因此在网段的路由器上有IP和MAC的动念对应表,这是由ARP协议生成并维护的。配置路由器时,可以指定伊态的ARP表,路由器会根据静态的ARP表检查数据包,如果不能对应,则不进行处理。
因此在路由器上建立了一个静态的ARP表,合法的IP地址和MAC建立了一一对应的关系,使未经授权的IP无法通过路由器转发数据。
经过IP地址和MAC地址的绑定,解决了内联网IP地址的盗用问题。
(2)交换机端口绑定
尽管采取了IP地址与MAC地址的绑定措施,但Windows98或Windows000在系统的“控制面板\网络\网卡\属性\高级\Network ddress\设置”中,用户可以随意修改主机的MAC地址,这意味着用户可以同时盗用合法用户的IP及MAC地址。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。
如何来解决这个问题呢?可以借助交换机的端口MAC地址绑定功能。即在TCP/IP第二层进行控制。在各种可管理的交换机中都有端口-MAC地址绑定功能。使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其他地址的主机的访问将被拒绝。
(3)防火墙与代理服务器
使用防火墙与代理服务器相结合,也能较好地解决IP地址盗用问题。这是一种在应用层上解决IP盗用的办法。防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。任何上网用户需要到网络管理部门申请账户和口令,IP地址的使用可以是无偿的,即变IP管理为用户身份和口令的管理。因为用户对于网络的使用归根结底是要使用网络的应用。合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无账户的用户即使盗用IP,也没有用户名和密码,不能使用外部网络。
(4)路由器隔离
检测和保护网络免受IP欺骗的最好办法是安装过滤路由器。对于来自网络外部的IP欺骗,阻止的方法很简单,在局域网对外的路由器上加一个限制条件,只要在路由器上设置不允许声称来自内部的网络的外来包通过就行了。
通过IP -MAC地址的绑定及端口-MAC地址的绑定,内联网的IP地址盗用问题在很大程度上可以得到解决。但仍然有可能存在未经授权的用户使用未经授权的IP地址而造成IP冲突,侵犯合法用户的权益。尽管盗用者无法使用该IP,但给网络带来了混乱。我们可以利用网络交换设备的网络管理功能,完善检测手段,提高网络故障的检测能力。目前有多种网络交换机内置了网络管理软件,具备寻找IP地址设置冲突对应交换机端口的功能,可以迅速准确地定位和查找故障主机点。随着网络设备功能的日趋完善和网络管理人员的管理水平的提高,会有更多更好的防止IP盗用的方法。同时更要培养我们的学生具备良好的道德素质,营造一个良好的网络环境。让我们的校园网络更健康的发展。
可能您还想看