區域網路的一大特點就是擁有一定數量的終端用戶。作為省屬重點中學,筆者所在學校區域網路的終端用戶有600多個,為了區分各類不同用戶,我們採用的是終端固定IP設定的方法。和其他許多學校的網管一樣,我們也一直被終端用戶私改IP位址造成的網路衝突問題困擾著。咨詢相關網路公司,他們也提供了不少解決方案,但大多價格不菲。沒有辦法,只好絞盡腦汁自己想辦法了。筆者採用了關於防火牆的IP位址與MAC位址綁定+關於交換機的MAC位址與連接阜綁定的二級管理方法,雙管齊下,較好地解決了這個問題。現將實現方法闡述如下:
一、關於防火牆的IP位址與MAC位址綁定
1. 做好整個區域網路終端用戶電腦的命名,指定IP位址
根據用戶的類別統一命名電腦,並給定IP位址。這樣一看機器名,就知道是哪個部門哪台機器,便於管理。比如高一年級語文組1號機器,我們就將其命名為「gaoyiyuwen01」。
同時,統一規劃分配IP位址給每台終端機器,並建立IP位址分配登記表(見附表)。
某中學區域網路ip位址綜合管理登記表
http://www.dvbbs.net/ShowImg.asp?p=/...550b7a55e5.gif
2. 統計每個終端機器網路卡的MAC位址,建立IP位址與MAC位址對應表
我們知道,在MS-DOS方式下按鍵輸入指令「Winipcfg」就可以獲得本地機IP位址和MAC位址(Windows 98系統下)。我們可以將此方法公佈一下,然後要求相關用戶將本地機MAC位址抄錄上報到網管中心,再進去行登記匯總。也可在設定機器名和IP位址時一併統計好。
網路管理員也可以利用Nbtstat指令來遠端獲得指定機器的MAC位址。在MS-DOS方式下按鍵輸入指令「Nbtstat -a 遠端電腦名稱」,即可獲得指定機器的IP位址和MAC位址。
3. 將IP位址與MAC位址綁定
這要根據區域網路接入網際網路的方式不同而採用不同的辦法。如果是採用代理伺服器接入網際網路,那就使用指令:
ARP -s IP位址 MAC位址
例:ARP -s 192.168.1.4 00-EO-4C-6C-08-75
這樣,就將靜態IP位址192.168.1.4與網路卡位址為00-EO-4C-6C-08-75的電腦綁定在一起了,即使別人盜用您的IP位址192.168.1.4,也無法通過代理伺服器上網。
如果是通過路由器直接接入網際網路,最好通過硬體防火牆來實現IP與MAC位址的綁定。一般的硬體防火牆都具有這個功能,具體操作也非常簡單。
到這裡似乎可以大功告成了,但事情並不像我們想像的那麼簡單。花了相當多的精力構築起來的防線不到一個月就又衝突依舊了。原來,有的終端用戶通過修改註冊表、下載專用小工具等方法,沒費多少力氣就更改了本地機的MAC位址,甚至於將本地機的MAC位址和IP位址改得和主伺服器一模一樣,搞得區域網路內又雞犬不寧了。
二、關於交換機的MAC位址與連接阜綁定
為了進一步解決這個問題,筆者又想到了關於交換機的MAC位址與連接阜綁定。這樣一來,終端用戶如果擅自改動本地機網路卡的MAC位址,該機器的網路訪問將因其MAC位址被交換機認定為非法而無法實現,自然也就不會對區域網路造成干擾了。
以思科3548交換機為例,登入進入交換機,輸入管理密碼進入組態模式,敲入指令:
(config)#mac_address_table permanent MAC位址 乙太網連接阜號
這樣逐一將每個連接阜與相應的電腦MAC位址綁定,儲存並結束。其他品牌的交換機只要是可以網管的,大多可以仿此操作。