康向荣

(河北工业职业技术学院宣钢分院计算机系，河北宣化，075100)

0 引言

校园网络普遍采用静态IP地址分配的策略，使网络地址的规划更为便捷和科学，而且便于对校园内部的用户进行详细的实名统计，在发生网络故障时可以快速的定位故障点，实现IP地址的跟踪管理。但同时IP地址盗用或冲突也严重影响网络的稳定和安全，如果合法地址被人盗用，网络上存有的数据就可能被人窃听，甚至盗用或是破坏，损失会非常严重。加强IP地址防盗用的技术措施和管理手段是解决这类问题的主要方式。

1 IP 地址盗用原理

IP地址盗用会影响合法用户正常使用网络，本机的IP地址被盗用者修改为本子网内另一合法用户的IP地址，然后借用该IP地址访问网络，如此，基于该IP地址的一切控制或计费皆会发生错误。

2 IP地址防盗措施

校园网的IP地址防盗可在网管交换机上的实现主要采用各种绑定技术，以下以CISCO交换机为例讨论绑定技术的实现。

2.1 MAC和端口绑定

通过将MAC地址和CISCO交换机的端口进行绑定，使该端口只容许通过绑定的MAC地址的计算机，非绑定的MAC地址的计算机均被阻止，从而使该端口下被容许的计算机才能访问网络。以下为实现的过程。

登陆CISCO2960交换机，输入管理口令进入配置模式：

Switch＃config terminal

进入配置模式

Switch（config）# Interface fastethernet 0/1

进入具体端口配置模式

Switch（config-if）#Switchport port-secruity

配置端口安全模式

Switch（config-if ）switchport port-security macaddress MAC（主机的MAC地址）

配置该端口要绑定的主机的MAC地址

Switch（config-if ）switchport port-security violation protect

设置非授权地址的数据转发方式为不转发数据

2.2 IP和端口绑定

IP地址与交换机端口的绑定，此种方法绑定后的端口只有被容许的IP地址能够通过，其他IP地址将被阻断，有效的防止了乱改IP。这种方法的好处是控制了IP地址和端口，只有该端口下联的主机可以访问网络，其他端口下联的主机只有在其他可控端口下才能访问网络，这种方式需要大量的可网管接入层交换机。以下是实现的过程。

cisco（config）# interface FastEthernet0/17

进入具体端口配置模式

cisco（config-if）# ip access-group 6 in

容许访问控制列表6进入该端口

cisco（config）#access-list 6 permit 192.168.36.58

访问控制列表6的规则为容许192.168.36.58这个IP地址通过

这样就将交换机的FastEthernet0/17端口与IP地址192.168.36.58绑定。

2.3 IP和MAC绑定

IP地址和MAC地址的绑定的作用是通过ARP协议，成对的捆绑IP和MAC，实现该IP地址只能由捆绑的MAC地址使用，其他MAC地址无法使用，IP地址与MAC地址的绑定可以有效的防止IP地址被盗用，将IP地址改成绑定了MAC地址的IP后，其网络被阻断，以下是实现的过程。

cisco（config）# arp 192.168.36.58 0000.e268.9980 ARPA

在CISCO交换机上将IP地址192.168.36.58与MAC地址0000.e268.9980做静态ARPA绑定。

2.4 IP和MAC绑定的实际案例分析

企业网络主要采用静态IP地址的管理模式，通过静态IP地址对最终用户进行详细的信息统计，这里通过分析静态IP地址和MAC地址的绑定，并通过CISCO交换机和IP地址反查，以及MAC地址追踪技术，阻止并查找盗用者具体位置的实际案例，对IP地址和MAC地址的绑定技术进行深入的技术分析。

某网络的IP地址规划为：核心交换机为三层的CISCO6509交换机，接入层交换机为二层的CISCO2960交换机，192.168.11.0网段为教学楼网络，192.168.12.0网段为图书馆网络，教学楼网段的192.168.11.16计算机的IP被盗用，导致该计算机无法进行内部办公。对本案例进行分析后，首先将盗用者的计算机定位，查找到该盗用计算机并中断其网络；之后，将财务计算机进行IP和MAC的捆绑；最后，进行IP地址盗用测试，防止财务的计算机再次发生该类型的问题。

在CISCO6509交换机上对盗用的IP地址进行MAC分析，

cisco6509#show arp | include 192.168.11.16

Internet 192.168.11.16 1 0023.7d3e.11bd ARPA Vlan11

得到192.168.11.16的MAC地址为0023.7d3e.11bd，对该MAC地址进行端口定位，找到具体的地理位置。

cisco2960#show mac address-table address 0023.7d3e.11bd

Total Mac Addresses for this criterion: 1

从交换机的信息上可以明确的发现该MAC地址是从第5口联结的，通过查看交换机的第5口的联结信息，就可以找到第5口联结的房间从而找到盗用者，将该端口shutdown就可以切断该用户的网络。

在切断盗用用户后，将财务的计算机进行IP和MAC的捆绑，使财务的计算机免于IP盗用的影响。在三层交换机CISCO6509上，捆绑192.168.11.16的IP地址和MAC地址。

cisco6509（config）#arp 192.168.11.16 0023.7d3e.11bd ARPA

在捆绑之后192.168.11.16这个IP地址将只能用于0023.7d3e.11bd这个MAC地址。

用测试的计算机盗用192.168.11.16这个IP地址，在测试机修改IP后，测试机无法在交换机上取得192.168.11.16这个IP地址的ARP解析，使得测试机无法进行任何网络操作，从而保证财务计算机可以正常的访问公司的办公网络。这里需要注意的是财务计算机在测试机修改IP后会报IP地址冲突的提示，但是由于三层交换机的ARP解析始终是财务计算机的IP地址和MAC地址的捆绑，所以测试机即便与财务计算机有接入层的冲突，但仍然不影响财务计算机的正常使用。

3 结语

校园网的IP地址管理是校园网稳定和发展的基础，建立IP地址和MAC地址的信息档案，自始至终的对内网用户执行严格的管理、登记制度，将每个用户的IP地址、MAC地址、上联端口、物理位置和用户身份等信息记录在数据库中，合理地利用以上措施会极大的减少IP地址盗用等网络故障发生的几率，同时解决此类故障的效率也将极大的提升。用不断加强的技术措施来控制网络行为，有效的防止窃取IP地址等侥幸心理，让更为先进的技术成为管理的坚实基础，更好的为校园网络的发展提供有力的保证。

[1]吴斌.IP地址管理技术在企业局域网中的应用[J].数字技术与应用,2013,03:67.

[2]杨延朋.校园网IP地址管理系统的设计与实现[D].辽宁科技大学,2011.

[3]郑彦东.IP地址盗用解决方案[J].硅谷,2011,10:21+40.