- 相關(guān)推薦
在校園網(wǎng)中管理ip地址
上饒縣中學 林俊【摘要】 局域網(wǎng)的一大特點就是擁有一定數(shù)量的終端用戶。作為省屬重點中學,本人所在學校局域網(wǎng)的終端用戶有600多個,為了區(qū)分各類不同用戶,我們采用的是終端固定IP設(shè)置的方法。和其他許多學校的網(wǎng)管一樣,我們也一直被終端用戶私改IP地址造成的網(wǎng)絡沖突問題困擾著。
【關(guān)鍵詞】 防火墻 ip地址 mac地址arp協(xié)議 端口 綁定
引言
本人采用了基于防火墻的IP地址與MAC地址綁定+基于交換機的MAC地址與端口綁定的二級管理方法,雙管齊下,較好地解決了這個問題。現(xiàn)將實現(xiàn)方法闡述如下:
一、 基于防火墻的IP地址與MAC地址綁定
1.1、根據(jù)用戶的類別統(tǒng)一命名計算機,并給定IP地址。這樣一看機器名,就知道是哪個部門哪臺機器,便于管理。比如語文組1號機器,我們就將其命名為“yuwen01”。
同時,統(tǒng)一規(guī)劃分配IP地址給每臺終端機器,并建立IP地址分配登記表。
江西省上饒縣中學局域網(wǎng)ip地址管理登記表
序號 機器名 Ip地址 Mac地址 備注
01 Yuwen01 172.21.3.1 00-90-f5-d6-16-04
…… …… …… ……
…… …… …… ……
1.2、統(tǒng)計每個終端機器網(wǎng)卡的MAC地址,建立IP地址與MAC地址對應表
我們知道,在MS-DOS方式下鍵入命令“Winipcfg”就可以獲得本機IP地址和MAC地址(Windows 98系統(tǒng)下);在win2000系統(tǒng)下,在“開始”菜單中的“運行”中鍵入“cmd”命令,然后鍵入命令“Ipconfig-all”也可以獲得本機IP地址和MAC地址(如圖1-1)。我們可以將此方法公布一下,然后要求相關(guān)用戶將本機MAC地址抄錄上報到網(wǎng)管中心,再進行登記匯總。也可在設(shè)定機器名和IP地址時一并統(tǒng)計好。
1.3、將IP地址與MAC地址綁定
這要根據(jù)局域網(wǎng)接入互聯(lián)網(wǎng)的方式不同而采用不同的辦法。如果是采用代理服務器接入互聯(lián)網(wǎng),那就使用命令:
ARP -s IP地址 MAC地址
例:ARP -s 172.21.3.1-00-90-f5-d6-16-04
1.3.1、關(guān)于ARP協(xié)議
我們知道,當我們在瀏覽器里面輸入網(wǎng)址時,DNS服務器會自動把它解析為IP地址,瀏覽器實際上查找的是IP地址而不是網(wǎng)址。那么IP地址是如何轉(zhuǎn)換為第二層物理地址(即MAC地址)的呢?在局域網(wǎng)中,這是通過ARP協(xié)議來完成的。ARP協(xié)議對網(wǎng)絡安全具有重要的意義。通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙,能夠在網(wǎng)絡中產(chǎn)生大量的ARP通信量使網(wǎng)絡阻塞。所以網(wǎng)管們應深入理解ARP協(xié)議。
ARP協(xié)議是“Address Resolution Protocol”(地址解析協(xié)議)的縮寫。在局域網(wǎng)中,網(wǎng)絡中實際傳輸?shù)氖恰皫保瑤锩媸怯心繕酥鳈C的MAC地址的。在以太網(wǎng)中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉(zhuǎn)換成目標MAC地址的過程。ARP協(xié)議的基本功能就是通過目標設(shè)備的IP地址,查詢目標設(shè)備的MAC地址,以保證通信的順利進行。
在每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表,表里的IP地址與MAC地址是一一對應的。我們以主機A(172.21.3.1)向主機B(192.168.1.1)發(fā)送數(shù)據(jù)為例。當發(fā)送數(shù)據(jù)時,主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了,也就知道了目標MAC地址,直接把目標MAC地址寫入幀里面發(fā)送就可以了;如果在ARP緩存表中沒有找到相對應的IP地址,主機A就會在網(wǎng)絡上發(fā)送一個廣播,目標MAC地址是“FF.FF.FF.FF.FF.FF”,這表示向同一網(wǎng)段內(nèi)的所有主機發(fā)出這樣的詢問:“172.21.3.2的MAC地址是什么?”網(wǎng)絡上其他主機并不響應ARP詢問,只有主機B接收到這個幀時,才向主機A做出這樣的回應:“172.21.3.2的MAC地址是00-aa-00-62-c6-09”。這樣,主機A就知道了主機B的MAC地址,它就可以向主機B發(fā)送信息了。同時它還更新了自己的ARP緩存表,下次再向主機B發(fā)送信息時,直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機制,在一段時間內(nèi)如果表中的某一行沒有使用,就會被刪除,這樣可以大大減少ARP緩存表的長度,加快查詢速度。
1.3.2、如何查看ARP緩存表
ARP緩存表是可以查看的,也可以添加和修改。在命令提示符下,輸入“arp -a”就可以查看ARP緩存表中的內(nèi)容了,如附圖所示。
用“arp -d”命令可以刪除ARP表中某一行的內(nèi)容;用“arp -s”可以手動在ARP表中指定IP地址與MAC地址的對應。
這樣,就將靜態(tài)IP地址172.21.3.1與網(wǎng)卡地址為00-90-f5-d6-16-04的計算機綁定在一起了,即使別人盜用您的IP地址172.21.3.1也無法通過代理服務器上網(wǎng)。
如果是通過路由器直接接入互聯(lián)網(wǎng),最好通過硬件防火墻來實現(xiàn)IP與MAC地址的綁定。此方法根據(jù)不同的防火墻具體設(shè)置,這里就不一一說明。
到這里似乎可以大功告成了,但事情并不像我們想象的那么簡單。花了相當多的精力構(gòu)筑起來的防線不到一個月就又沖突依舊了。原來,有的終端用戶通過修改注冊表、下載專用小工具等方法,沒費多少力氣就更改了本機的MAC地址,甚至于將本機的MAC地址和IP地址改得和主服務器一模一樣,搞得局域網(wǎng)內(nèi)又雞犬不寧了。
二、 基于交換機的MAC地址與端口綁定
2.1.1、什么是mac地址
在日常的計算機使用過程中,大家都知道IP地址只要規(guī)劃合理,你可以任意更改IP地址。修改的方法也是比較簡單的,只要在對應網(wǎng)卡的TCP/IP協(xié)議上雙擊一下然后修改參數(shù)就行了。MAC地址與IP地址有相同和相似的地方,具體是在OSI(Open System Interconnection,開放系統(tǒng)互連)7層網(wǎng)絡協(xié)議參考模型中(如圖),第二層為數(shù)據(jù)鏈路層(Data Link)。MAC地址也叫物理地址、硬件地址或鏈路地址,由網(wǎng)絡設(shè)備制造商生產(chǎn)時寫在硬件內(nèi)部。IP地址與MAC地址在計算機里都是以二進制表示的,IP地址是32位的,而MAC地址則是48位的。MAC地址的長度為48位(6個字節(jié)),通常表示為12個16進制數(shù),每2個16進制數(shù)之間用冒號隔開,如:08:00:20:0A:8C:6D就是一個MAC地址,其中前6位16進制數(shù)08:00:20代表網(wǎng)絡硬件制造商的編號,它由IEEE(電氣與電子工程師協(xié)會)分配,而后3位16進制數(shù)0A:8C:6D代表該制造商所制造的某個網(wǎng)絡產(chǎn)品(如網(wǎng)卡)的系列號。只要你不去更改自己的MAC地址,那么你的MAC地址在世界是惟一的。
2.1.2 MAC地址的作用
無論是局域網(wǎng),還是廣域網(wǎng)中的計算機之間的通信,最終都表現(xiàn)為將數(shù)據(jù)包從某種形式的鏈路上的初始節(jié)點出發(fā),從一個節(jié)點傳遞到另一個節(jié)點,最終傳送到目的節(jié)點。數(shù)據(jù)包在這些節(jié)點之間的移動都是由ARP(Address Resolution Protocol:地址解析協(xié)議)負責將IP地址映射到MAC地址上來完成的。。數(shù)據(jù)包在傳送過程中會不斷詢問相鄰節(jié)點的MAC地址,這個過程就好比是人類社會的口信傳送過程。
2.1.3 MAC地址的應用
我們?yōu)榱朔乐笽P地址被盜用,就通過簡單的交換機端口綁定(端口的MAC表使用靜態(tài)表項),可以在每個交換機端口只連接一臺主機的情況下防止修改MAC地址的盜用,如果是三層設(shè)備還可以提供:交換機端口/IP/MAC 三者的綁定,防止修改MAC的IP盜用。一般綁定MAC地址都是在交換機和路由器上配置的。
2.2、為了進一步解決這個問題,本人又想到了基于交換機的MAC地址與端口綁定。這樣一來,終端用戶如果擅自改動本機網(wǎng)卡的MAC地址,該機器的網(wǎng)絡訪問將因其MAC地址被交換機認定為非法而無法實現(xiàn),自然也就不會對局域網(wǎng)造成干擾了。
以avaya P5500 R 交換機為例,登錄進入交換機,輸入管理口令進入配置模式,敲入命令
(config)arp ip address mac address
以AVAYA P5500 R 交換機為例,登錄進入交換機,也可以以web方式進入配置模式。具體如圖所示
這樣按 “Make Static”命令將每個端口與相應的計算機MAC地址綁定,保存并退出。其他品牌的交換機只要是可以網(wǎng)管的,大多可以仿此操作。
那么通過這些設(shè)置,可以將局域網(wǎng)中的ip地址和mac地址互相綁定,任何人在終端上任意更改ip地址,都不能使其登陸互連網(wǎng),這樣就便于網(wǎng)絡管理員更好的維護整個網(wǎng)絡的正常、安全的運行。
參考文獻:
中國電腦教育報 王偉光 《局域網(wǎng)管理》
北京郵電大學出版社 宏科 蘇偉 武勇《絡處理器原理與技術(shù)》
清華大學出版社 潘愛民 《計算機網(wǎng)絡 (第四版)中文版》
【在校園網(wǎng)中管理ip地址】相關(guān)文章:
VxWorks中的地址映射08-06
帶硬件地址識別的UART IP 的設(shè)計和實現(xiàn)08-06
嵌入式網(wǎng)絡設(shè)備的MAC及IP地址設(shè)置08-06
校園網(wǎng)的建設(shè)與管理08-17
校園網(wǎng)絡管理初探08-07
淺談校園網(wǎng)的管理與維護08-17
校園網(wǎng)絡管理制度08-23