在大多数局域网的运行管理工作中，网络管理员负责管理用户ip地址的分配，用户通过正确地注册后才被认为是合法用户。在局域网上任何用户使用未经授权的ip地址都应视为ip非法使用。但在windows操作系统中，终端用户可以自由修改ip地址的设置，从而产生了ip地址非法使用的问题。改动后的ip地址在局域网中运行时可能出现的情况如下。

a. 非法的ip地址即ip地址不在规划的局域网范围内。

b.重复的ip地址与已经分配且正在局域网运行的合法的ip地址发生资源冲突，使合法用户无法上网。

c.冒用合法用户的ip地址当合法用户不在线时，冒用其ip地址联网，使合法用户的权益受到侵害。 V!a3 dOe7AyD"EF: [ 本 资 料 来 源 于 贵 州 学 习 网 网络世界局域网技术 http://Www.gzU521.com ] V!a3 dOe7AyD"EF:

1 ip地址非法使用的动机?

ip地址的非法使用问题，不是普通的技术问题，而是一个管理问题。只有找到其存在的理由，根除其存在的基础，才可能从根本上杜绝其发生。分析非法使用者的动机有以下几种情况：

a. 干扰、破坏网络服务器和网络设备的正常运行。

b. 企图拥有被非法使用的ip地址所拥有的特权。最典型的，就是因特网访问权限。

c. 因机器重新安装、临时部署等原因，无意中造成的非法使用。

2 非法使用方法

2.1 静态修改ip地址配置 用户在配置tcp/ip选项时，使用的不是管理员分配的ip地址，就形成了ip地址的非法使用。

2.2 同时修改mac地址和ip地址

非法用户还有可能将一台计算机的ip地址和mac地址都改为另一台合法主机的ip地址和mac地址。他们可以使用允许自定义mac地址的网卡或使用软件修改mac地址。

2.3 ip电子欺骗

ip电子欺骗是伪造某台主机ip地址的技术。它通常需要编程来实现。通过使用socket编程，发送带有假冒的源ip地址的ip数据包

3 管理员的技术手段

3.1 静态arp表的绑定

对于静态修改ip地址的问题，可以采用静态路由技术加以解决，即ip-mac地址绑定。因为在一个网段内的网络寻址不是依靠ip地址而是物理地址。ip地址只是在网际之间寻址使用的。因此作为网关的路由器上有ip-mac的动态对应表，这是由arp协议生成并维护的。配置路由器时，可以指定静态的arp表，路由器会根据静态的arp表检查数据包，如果不能对应，则不进行数据转发。

该方法可以阻止非法用户在不修改mac地址的情况下，冒用ip地址进行跨网段的访问。

3.2 交换机端口绑定

借助交换机的端口—mac地址绑定功能可以解决非法用户修改mac地址以适应静态arp表的问题。可管理的交换机中都有端口—mac地址绑定功能。使用交换机提供的端口地址过滤模式，即交换机的每一个端口只具有允许合法mac地址的主机通过该端口访问网络，任何来自其它mac地址的主机的访问将被拒绝。

3.3 vlan划分

严格来说，vlan划分不属于技术手段，而是管理与技术结合的手段。将具有相近权限的ip地址划分到同一个vlan，设置路由策略，可以有效阻止非法用户冒用其他网段的ip地址的企图。

3.4 与应用层的身份认证相结合

避免采用针对ip地址的直接授权的管理模式，综合运用用户名、口令、加密、vpn及其他应用层的身份认证机制，构成多层次的严密的安全体系，可以有效降低ip地址非法使用所带来的危害。|Hf[c!$w"k}!}s&V[ 此文转贴于我的学习网网络世界局域网技术 http://www.Gzu521.com]|Hf[c!$w"k}!}s&V

本文共2页：第 [1] [2] 页