企業網絡管理之IP地址

    當我們接觸了Internet，就意味著我們將與IP地址打交道。無論我們用何種方式訪問 Internet資源，歸根究底都需要用IP地址來實現資源訪問。IP地址是網絡的根基，要想管理和維護好網絡，就必須從管理IP地址開始。

以甲公司為例：

    甲公司所在的辦公局域網有100多臺計算機，為區分不同用戶分配更詳細的訪問權限，采用的是設置固定IP的方法，而不是自動獲取IP地址，還有一部分電腦要聯到Internet上。這樣就要設兩個子網，如內網設為192.168.0.1網段，能聯外網的設為192.168.1.1網段。在實際使用中經常遇到有些用戶為了上網，私自修改IP地址，從而造成網絡沖突的問題。由于計算機都是使用Windows XP操作系統的，用戶可私自設兩個IP網段的地址，這樣即可聯入單位的局域網也可以聯到Internet，但這是公司不允許的。下面就此問題的解決方法，我做了幾個方案，供大家參考。 (我用的是TP-LINK路由器)。

方法一：IP地址與MAC地址的綁定加上路由器的MAC過濾功能

    使用ARP -s 192.168.1.2 00-AO-43-E0-6A-84的命令，將靜態IP地址192.168.1.2與網卡地址為00-AO-43-E0-6A-84的計算機綁定在一起，使別人就不能使用這個IP地址了。再進入路由器的MAC過濾功能選中只允許下列MAC的網卡地址聯入外網把00-AO-43-E0-6A-84填入即可。

    可是上面提到的方法雖然可以在一定程度上解決非法用戶網絡接入的問題和網絡沖突的問題，但用戶還是可以通過修改注冊表，下載專用修改MAC小工具等方法，輕松更改本機MAC地址，甚至將本機的MAC地址和IP地址改得和上面能上網的機器一模一樣。非法用戶又可以非法使用網絡。并且我用的路由器的MAC過濾功能只能填入16個MAC。

方法二：交換機的MAC地址與端口綁定

    將交換機的MAC地址與端口綁定后，非法用戶擅自改動本機網卡的MAC地址，該機器的網絡訪問將因其MAC地址被交換機認定為非法而無法實現。

登錄進入交換機，輸入管理口令進入配置模式：

    敲入命令：(config)#mac_address_table permanent [MAC地址] [以太網端口號]

    這樣逐一的將每個端口與相應的計算機MAC地址進行綁定，保存退出后就徹底阻止了用戶的非法修改。

方法三：防火墻與代理服務器

    使用防火墻與代理服務器相結合，更能較好地解決IP地址盜用問題：防火墻用來隔離內部網絡和外部網絡，用戶訪問外部網絡通過代理服務器進行。使用這樣的辦法是將IP防盜放到應用層來解決，變IP管理為用戶身份和口令的管理，因為用戶對于網絡的使用歸根結底是要使用網絡進入因特網。這樣實現的好處是，盜用IP地址只能在子網內使用，失去盜用的意義；合法用戶可以選擇任意一臺IP主機使用，通過代理服務器訪問外部網絡資源，而無權用戶即使盜用IP，也沒有身份和密碼，不能使用外部網絡。使用防火墻和代理服務器的缺點也是明顯的，由于使用代理服務器訪問外部網絡對用戶不是透明的，增加了用戶操作的麻煩；另外，對于大數量的用戶群來說，用戶管理也是一個問題。

方法四：利用網絡管理軟件管理IP地址

    總的來說，我是比較青睞這種方法的，簡單快捷，可以節省很多時間。以聚生網管為例，

    來分享一下我的管理經驗。聚生網管是一款功能非常強大的網絡管理軟件，只需部署在局域網內任意一臺機器上就可以，操作方式目前是國內最簡單的。把聚生網管部署在局域網以后，啟動網絡控制服務，啟動IP-MAC地址綁定功能，這樣局域網中的機器就不能隨意更改IP了，如果有人改IP會有警告提示，而且也可以設置只有加入到IP和MAC綁定表內的電腦才可以上網，以防止外部電腦私自接入局域網，保證了網絡安全。這種方法是最安全的，即使有人使用攻擊性的軟件，聚生網管也可以查出是哪臺機器在攻擊，還可以將其強行隔離。除了在管理IP地址方面，聚生網管在控制流量、帶寬、封P2P方面目前是國內做的最好的，有興趣的朋友可以去他們官方網站下載個試用版，體驗一下(www.grabsun.com)。