1.登记用户的IP和MAC地址
用户在申请入网的时候,网管要登记他的IP和MAC地址(IP是网管分配给他的,MAC是网卡固有的)。MAC地址可以在用户的机器上用命令的方法获取,Win2000/XP用户可以单击“开始→程序→命令提示符”,在命令提示符下输入“Ipconfig/all”,回车后即显示一个清单,其中“Physical Address...”右边列出的就是所查的MAC地址。Win9X/Me用户,要获得MAC地址,可以依次单击“开始→运行”,输入“winipcfg”回车即可。
2.将用户的IP与MAC地址捆绑起来
接下来,网管在交换机和路由器上配置,或者进入“MS-DOS方式”,在命令提示符下输入命令:“ARP -s 202.201.101.01 00-01-02-03-04-05”,把MAC地址(00-01-02-03-04-05)和IP地址(202.201.101.01)捆绑在一起。
注意:ARP命令仅对局域网的上网代理服务器有用,而且是针对静态IP地址,如果采用的是Modem拨号上网或是动态IP地址就不起作用了。
3.IP、MAC、PORT三者绑定
虽然上面介绍的方法绑定了IP和MAC,但并不能真正解决IP被盗用问题,要彻底解决隐患还应该在IP、MAC绑定的基础上,把端口(PORT)绑定进去,即IP-MAC-PORT三者绑定在一起。
在布线的时候,建议每个交换机端口只连接一台主机,网管应该把用户墙上的接线盒和交换机的端口一一对应,并做好登记工作;然后把用户交上来的MAC地址填入对应的交换机端口;进而再和IP一起绑定,实现IP-MAC-PORT的三者绑定。
除此之外,网管还可以采用其他方法防止盗用IP上网,例如配置交换机的VLAN、使用用户认证等等,由于篇幅所限,这里就不再继续展开了。
4.使用软件监控网络
建议网管经常使用“MAC扫描器”(下载地址)来监控网络情况。该软件可以运行在局域网或Internet内的一台机器上,监控整个网络的连接情况,能够实时检测各用户的IP、MAC、主机名、用户名等并记录以供查询(如图),而且还可以跨网段扫描,能够和数据库中的IP和MAC地址进行比较,只要发现某用户修改了IP或MAC地址,即会报警。
