在校園網(wǎng)中管理ip地址

上饒縣中學(xué)   林俊
【摘要】  局域網(wǎng)的一大特點(diǎn)就是擁有一定數(shù)量的終端用戶。作為省屬重點(diǎn)中學(xué)，本人所在學(xué)校局域網(wǎng)的終端用戶有600多個(gè)，為了區(qū)分各類不同用戶，我們采用的是終端固定IP設(shè)置的方法。和其他許多學(xué)校的網(wǎng)管一樣，我們也一直被終端用戶私改IP地址造成的網(wǎng)絡(luò)沖突問(wèn)題困擾著。
【關(guān)鍵詞】 防火墻  ip地址 mac地址arp協(xié)議  端口  綁定
引言
本人采用了基于防火墻的IP地址與MAC地址綁定+基于交換機(jī)的MAC地址與端口綁定的二級(jí)管理方法，雙管齊下，較好地解決了這個(gè)問(wèn)題�，F(xiàn)將實(shí)現(xiàn)方法闡述如下：
一、 基于防火墻的IP地址與MAC地址綁定
1.1、根據(jù)用戶的類別統(tǒng)一命名計(jì)算機(jī)，并給定IP地址。這樣一看機(jī)器名，就知道是哪個(gè)部門(mén)哪臺(tái)機(jī)器，便于管理。比如語(yǔ)文組1號(hào)機(jī)器，我們就將其命名為“yuwen01”。
同時(shí)，統(tǒng)一規(guī)劃分配IP地址給每臺(tái)終端機(jī)器，并建立IP地址分配登記表。
江西省上饒縣中學(xué)局域網(wǎng)ip地址管理登記表
序號(hào) 機(jī)器名 Ip地址 Mac地址 備注
01 Yuwen01 172.21.3.1 00-90-f5-d6-16-04
…… …… …… ……
…… …… …… ……
1.2、統(tǒng)計(jì)每個(gè)終端機(jī)器網(wǎng)卡的MAC地址，建立IP地址與MAC地址對(duì)應(yīng)表
我們知道，在MS-DOS方式下鍵入命令“Winipcfg”就可以獲得本機(jī)IP地址和MAC地址(Windows 98系統(tǒng)下)；在win2000系統(tǒng)下，在“開(kāi)始”菜單中的“運(yùn)行”中鍵入“cmd”命令，然后鍵入命令“Ipconfig-all”也可以獲得本機(jī)IP地址和MAC地址（如圖1-1）。我們可以將此方法公布一下，然后要求相關(guān)用戶將本機(jī)MAC地址抄錄上報(bào)到網(wǎng)管中心，再進(jìn)行登記匯總。也可在設(shè)定機(jī)器名和IP地址時(shí)一并統(tǒng)計(jì)好。
1.3、將IP地址與MAC地址綁定
這要根據(jù)局域網(wǎng)接入互聯(lián)網(wǎng)的方式不同而采用不同的辦法。如果是采用代理服務(wù)器接入互聯(lián)網(wǎng)，那就使用命令：
ARP -s IP地址 MAC地址　
例：ARP -s 172.21.3.1-00-90-f5-d6-16-04
1.3.1、關(guān)于ARP協(xié)議
我們知道，當(dāng)我們?cè)跒g覽器里面輸入網(wǎng)址時(shí)，DNS服務(wù)器會(huì)自動(dòng)把它解析為IP地址，瀏覽器實(shí)際上查找的是IP地址而不是網(wǎng)址。那么IP地址是如何轉(zhuǎn)換為第二層物理地址（即MAC地址）的呢？在局域網(wǎng)中，這是通過(guò)ARP協(xié)議來(lái)完成的。ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義。通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。所以網(wǎng)管們應(yīng)深入理解ARP協(xié)議。
ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫(xiě)。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫�”，幀里面是有目�?biāo)主機(jī)的MAC地址的。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過(guò)地址解析協(xié)議獲得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過(guò)程。ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。
在每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表，表里的IP地址與MAC地址是一一對(duì)應(yīng)的。我們以主機(jī)A（172.21.3.1）向主機(jī)B（192.168.1.1）發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了，也就知道了目標(biāo)MAC地址，直接把目標(biāo)MAC地址寫(xiě)入幀里面發(fā)送就可以了；如果在ARP緩存表中沒(méi)有找到相對(duì)應(yīng)的IP地址，主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播，目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問(wèn)：“172.21.3.2的MAC地址是什么？”網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問(wèn)，只有主機(jī)B接收到這個(gè)幀時(shí)，才向主機(jī)A做出這樣的回應(yīng)：“172.21.3.2的MAC地址是00-aa-00-62-c6-09”。這樣，主機(jī)A就知道了主機(jī)B的MAC地址，它就可以向主機(jī)B發(fā)送信息了。同時(shí)它還更新了自己的ARP緩存表，下次再向主機(jī)B發(fā)送信息時(shí)，直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機(jī)制，在一段時(shí)間內(nèi)如果表中的某一行沒(méi)有使用，就會(huì)被刪除，這樣可以大大減少ARP緩存表的長(zhǎng)度，加快查詢速度。
1.3.2、如何查看ARP緩存表
ARP緩存表是可以查看的，也可以添加和修改。在命令提示符下，輸入“arp -a”就可以查看ARP緩存表中的內(nèi)容了，如附圖所示。
用“arp -d”命令可以刪除ARP表中某一行的內(nèi)容；用“arp -s”可以手動(dòng)在ARP表中指定IP地址與MAC地址的對(duì)應(yīng)。
這樣，就將靜態(tài)IP地址172.21.3.1與網(wǎng)卡地址為00-90-f5-d6-16-04的計(jì)算機(jī)綁定在一起了，即使別人盜用您的IP地址172.21.3.1也無(wú)法通過(guò)代理服務(wù)器上網(wǎng)。
如果是通過(guò)路由器直接接入互聯(lián)網(wǎng)，最好通過(guò)硬件防火墻來(lái)實(shí)現(xiàn)IP與MAC地址的綁定。此方法根據(jù)不同的防火墻具體設(shè)置，這里就不一一說(shuō)明。
到這里似乎可以大功告成了，但事情并不像我們想象的那么簡(jiǎn)單�；�了相當(dāng)多的精力構(gòu)筑起來(lái)的防線不到一個(gè)月就又沖突依舊了。原來(lái)，有的終端用戶通過(guò)修改注冊(cè)表、下載專用小工具等方法，沒(méi)費(fèi)多少力氣就更改了本機(jī)的MAC地址，甚至于將本機(jī)的MAC地址和IP地址改得和主服務(wù)器一模一樣，搞得局域網(wǎng)內(nèi)又雞犬不寧了。
二、 基于交換機(jī)的MAC地址與端口綁定
2.1.1、什么是mac地址
在日常的計(jì)算機(jī)使用過(guò)程中，大家都知道IP地址只要規(guī)劃合理，你可以任意更改IP地址。修改的方法也是比較簡(jiǎn)單的，只要在對(duì)應(yīng)網(wǎng)卡的TCP/IP協(xié)議上雙擊一下然后修改參數(shù)就行了。MAC地址與IP地址有相同和相似的地方，具體是在OSI（Open System Interconnection，開(kāi)放系統(tǒng)互連）7層網(wǎng)絡(luò)協(xié)議參考模型中（如圖），第二層為數(shù)據(jù)鏈路層（Data Link）。MAC地址也叫物理地址、硬件地址或鏈路地址，由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時(shí)寫(xiě)在硬件內(nèi)部。IP地址與MAC地址在計(jì)算機(jī)里都是以二進(jìn)制表示的，IP地址是32位的，而MAC地址則是48位的。MAC地址的長(zhǎng)度為48位（6個(gè)字節(jié)），通常表示為12個(gè)16進(jìn)制數(shù)，每2個(gè)16進(jìn)制數(shù)之間用冒號(hào)隔開(kāi)，如：08:00:20:0A:8C:6D就是一個(gè)MAC地址，其中前6位16進(jìn)制數(shù)08:00:20代表網(wǎng)絡(luò)硬件制造商的編號(hào)，它由IEEE（電氣與電子工程師協(xié)會(huì)）分配，而后3位16進(jìn)制數(shù)0A:8C:6D代表該制造商所制造的某個(gè)網(wǎng)絡(luò)產(chǎn)品（如網(wǎng)卡）的系列號(hào)。只要你不去更改自己的MAC地址，那么你的MAC地址在世界是惟一的。
2.1.2 MAC地址的作用
無(wú)論是局域網(wǎng)，還是廣域網(wǎng)中的計(jì)算機(jī)之間的通信，最終都表現(xiàn)為將數(shù)據(jù)包從某種形式的鏈路上的初始節(jié)點(diǎn)出發(fā)，從一個(gè)節(jié)點(diǎn)傳遞到另一個(gè)節(jié)點(diǎn)，最終傳送到目的節(jié)點(diǎn)。數(shù)據(jù)包在這些節(jié)點(diǎn)之間的移動(dòng)都是由ARP（Address Resolution Protocol：地址解析協(xié)議）負(fù)責(zé)將IP地址映射到MAC地址上來(lái)完成的。。數(shù)據(jù)包在傳送過(guò)程中會(huì)不斷詢問(wèn)相鄰節(jié)點(diǎn)的MAC地址，這個(gè)過(guò)程就好比是人類社會(huì)的口信傳送過(guò)程。
2.1.3 MAC地址的應(yīng)用
我們?yōu)榱朔乐笽P地址被盜用，就通過(guò)簡(jiǎn)單的交換機(jī)端口綁定（端口的MAC表使用靜態(tài)表項(xiàng)），可以在每個(gè)交換機(jī)端口只連接一臺(tái)主機(jī)的情況下防止修改MAC地址的盜用，如果是三層設(shè)備還可以提供：交換機(jī)端口/IP/MAC 三者的綁定，防止修改MAC的IP盜用。一般綁定MAC地址都是在交換機(jī)和路由器上配置的。

2.2、為了進(jìn)一步解決這個(gè)問(wèn)題，本人又想到了基于交換機(jī)的MAC地址與端口綁定。這樣一來(lái)，終端用戶如果擅自改動(dòng)本機(jī)網(wǎng)卡的MAC地址，該機(jī)器的網(wǎng)絡(luò)訪問(wèn)將因其MAC地址被交換機(jī)認(rèn)定為非法而無(wú)法實(shí)現(xiàn)，自然也就不會(huì)對(duì)局域網(wǎng)造成干擾了。
以avaya P5500 R 交換機(jī)為例，登錄進(jìn)入交換機(jī)，輸入管理口令進(jìn)入配置模式，敲入命令
（config）arp  ip address mac address
以AVAYA P5500 R 交換機(jī)為例，登錄進(jìn)入交換機(jī)，也可以以web方式進(jìn)入配置模式。具體如圖所示













這樣按 “Make Static”命令將每個(gè)端口與相應(yīng)的計(jì)算機(jī)MAC地址綁定，保存并退出。其他品牌的交換機(jī)只要是可以網(wǎng)管的，大多可以仿此操作。
那么通過(guò)這些設(shè)置，可以將局域網(wǎng)中的ip地址和mac地址互相綁定，任何人在終端上任意更改ip地址，都不能使其登陸互連網(wǎng)，這樣就便于網(wǎng)絡(luò)管理員更好的維護(hù)整個(gè)網(wǎng)絡(luò)的正常、安全的運(yùn)行。



參考文獻(xiàn)：
中國(guó)電腦教育報(bào)  王偉光  《局域網(wǎng)管理》
北京郵電大學(xué)出版社 宏科 蘇偉 武勇《絡(luò)處理器原理與技術(shù)》
清華大學(xué)出版社 潘愛(ài)民 《計(jì)算機(jī)網(wǎng)絡(luò) （第四版）中文版》

【在校園網(wǎng)中管理ip地址】相關(guān)文章：

VxWorks中的地址映射08-06

帶硬件地址識(shí)別的UART IP 的設(shè)計(jì)和實(shí)現(xiàn)08-06

嵌入式網(wǎng)絡(luò)設(shè)備的MAC及IP地址設(shè)置08-06

Linux 中IP包過(guò)濾的實(shí)現(xiàn)08-06

TCP/IP在網(wǎng)絡(luò)中的高效配置08-06

校園網(wǎng)的建設(shè)與管理08-17

校園網(wǎng)絡(luò)管理初探08-07

淺談校園網(wǎng)的管理與維護(hù)08-17

校園網(wǎng)絡(luò)管理制度08-23