防范私自修改IP地址的三種方法

閱讀提示：在實際使用中遇到了經常有用戶為了上網私自修改IP地址，從而造成網絡沖突的問題。那麼怎樣才能防范私自修改IP地址,下面講了三種方法.

我們單位所在局域網有100多台計算機，為了區分不同用戶分配更詳細的訪問權限，我們采用的是設置固定IP的方法，而不是自動獲取IP地址，再就是我們還要有一部分要連到互聯網上。這樣就要設兩個子網如內網我們設為192.168.0.1網段，能連外網的我們設為192.168.1.1網段。在實際使用中遇到了經常有用戶為了上網私自修改IP地址，從而造成網絡沖突的問題。表現如下：

因為我們的計算機都是使用Windows XP系統的可以設兩個以上的IP所以用戶可以私自設置上兩個網段的IP地址這樣第一可以聯入單位的局域網也可以連到因特網，這是公司不允許的。公司經理要求馬上解決這個問題，要不然這個月的獎金就沒了。

下面是我解決的過程和自己的一些心得，希望能給要解決這樣問題的一些提示。

方法一，IP與MAC地址的綁定加上路由器的MAC過濾功能(我用的是TP-LINK路由器)

使用ARP -s 192.168.1.2 00-AO-43-E0-6A-84的命令，這樣就將靜態IP地址192.168.1.2與網卡地址為00-AO-43-E0-6A-84的計算機綁定在一起了，使別人就不能使用這個IP地址了。再進入路由器的MAC過濾功能選中只允許下列MAC的網卡地址連入外網把00-AO-43-E0-6A-84填入即可。

可是上面提到的方法雖然可以在一定程度上解決非法用戶網絡接入的問題和網絡沖突的問題，但用戶還是可以通過修改注冊表，下載專用修改MAC小工具等方法，輕松更改了本機的MAC地址，甚至將本機的MAC地址和IP地址改得和上面能上網的機器一模一樣。非法用戶又可以非法使用網絡了。並且我用的路由器MAC過濾功能只能填入16個MAC(我不是說TP-LINK的東東不好，只是我們用的那個價格太低了)。

方法二，交換機的MAC地址與端口綁定

我可以將交換機的MAC地址與端口綁定後，非法用戶擅自改動本機網卡的MAC地址，該機器的網絡訪問將因其MAC地址被交換機認定為非法而無法實現。這樣他們想改也不敢了。

登錄進入交換機(我單位用的是CISCO交換機，我想別的品牌的交換機也差不多)，輸入管理口令進入配置模式:

敲入命令：(config)#mac_address_table permanent [MAC地址] [以太網端口號]

這樣逐一地將每個端口與相應的計算機MAC地址進行綁定，保存退出後就徹底阻止了用戶的非法修改。

方法三，防火牆與代理服務器

我個人感覺使用防火牆與代理服務器相結合，更能較好地解決IP地址盜用問題：防火牆用來隔離內部網絡和外部網絡，用戶訪問外部網絡通過代理服務器進行。使用這樣的辦法是將IP防盜放到應用層來解決，變IP管理為用戶身份和口令的管理，因為用戶對於網絡的使用歸根結底是要使用網絡進入因特網。這樣實現的好處是，盜用IP地址只能在子網內使用，失去盜用的意義;合法用戶可以選擇任意一台IP主機使用，通過代理服務器訪問外部網絡資源，而無權用戶即使盜用IP，也沒有身份和密碼，不能使用外部網絡。

使用防火牆和代理服務器的缺點也是明顯的，由於使用代理服務器訪問外部網絡對用戶不是透明的，增加了用戶西作的麻煩;另外，對於大數量的用戶群來說，用戶管理也是一個問題。