每个局域网都有一个相应的IP地址规划表，我们应该按照规划表合理地为我们的接入设备进行分配。

划分网段，让IP地址不再混乱

局域网之所以可以有条不紊的运作，离不开路由器，交换机等关键的网络设备，这些设备价格不菲，拥有强悍的管控功能，合理的利用这些设备，就可以对IP地址的使用加以有效管理。这样，即使某些用户在客户机上随意修改IP地址，也因为违反交换机等设备的管理规则而无法连入网络。在一些较大规模的局域网中，网管员往往针对按照部门，楼层，房间等对象，将局域网划分为多个VLAN（Virtual Local Area Network，即虚拟局域网），即从逻辑上将整个网络划分为多个子网，将需要相互通讯的部分划分到同一个VLAN中。各子网之间相互隔离，不能进行直接的数据通讯。VLAN对应于ISO模型的第二层网络，其划分不受网络端口的实际物理位置限制，VLAN具有了普通物理网络相同的属性，数据包不会直接进入其它VALN中。

如果想相互通讯，数据包必须通过一个路由器或者三层交换机。使用VLAN虚拟网，既可以提高网络访问的安全性，又可以防止IP混乱的情况发生。在实际的管理中，网管员可以通过路由器，三层交换机或者二层快速以太网交换机，将不同部门划分到不同的VLAN中。在具体操作时，可以按照部门，楼层的不同，对IP地址的分配进行合理规划，并将其与LAN号合理的关联在一起。将同一部门或者楼层的主机IP，以VLAN子网接口地址为依据，划分到相同的子网中。注意，应该保证该VLAN子网的接口地址就是该子网的网关地址。经过精心的规划，可以有效提高整个局域网的安全性。即使出现IP地址被随意更改，其引起的混乱也只能在特定的VLAN区域，不会对整个网络构成威胁。在相同的VLAN中，用户之间也可以相关制约监督，可可以有效避免IP混乱情况的发生。

例如，本公司广告部位于201单元，其上网接口对应于某品牌二层交换机的F0/6端口上，可以将该部分规划到VLAN20中，使该部门的电脑只能使用“192.168.10.0”网 段，如果擅自修改IP，将无法正常上网。为此，可以在该楼层的交换机上将F0/6端口划分到VLAN20中，同时将该VLAN的网关地址设置为192.168.10.1，掩码为255.255.255.0。首先以超级用户身份登录到该楼层交换机后台管理界面，使用“configure terminal”命令进入全局配置模式，执 行“VLAN 20”命令，设置VLAN20子网，执行“Interface fastEthernet 0/6”命令，将F0/6端口规划到VLAN20中，执 行“Interface vlan 20”命令，创建虚拟接口 Vlan 20。 执 行“ip address 192.168.10.1 255.255.255.0”命令，配置虚拟接口Vlan的IP地址。经过以上操作，广告部中的所有主机只能使用192.168.10.0段的IP地址，才可以顺利上网，如果有用户随意改变IP地址，不在该IP段范围内，就会受到交换机的管控而无法正常上网。当然，上述操作命令需要根据不同型号的交换机而定。

利用端口过滤，限制IP地址盗用

现在的交换机智能程度都比较高，都提供了各种使用的控制功能。例如，其中的端口绑定功能，对于管理IP地址就很实用。通过对交换机的端口地址进行过滤，可以让具有可信任的MAC地址的主机访问网络，而具有不可信MAC地址的主机将被交换机拦截，无法顺利访问网络。这样，即使有某些用户盗用了别人的IP地址，因为其MAC地址是不可信的，自然无法突破交换机的控制而执行非法访问操作。例如，在局域网中某台FTP服务器的地址为192.168.1.19。如果有非法用户抢占该地址，就会造成该文件服务器无法联网的问题。为此，可以将该文件服务器的IP和网卡MAC地址绑定起来，如果有人盗用了该IP，也无法顺利的接入网络。

在文件服务器上打开CMD窗口，执行“ipconfig/all”命令，根据显示的网络配置信息，获得网卡的MAC地址，假设为“4061.868F.259B”。 之后以管理员身份登录到局域网核心三层交换机后台管理界面，先切换到全局试图模式，执行“addressbind192.168.1.194061.868F.259B”命令，将该文件服务器的IP地址和MAC地址绑定在一起，执行“arp 192.168.1.19 4061.868F.259B arpa gigabitEthernet 1/2”命令，将其IP绑定到文件服务器所连接的交换机的连接光口上。这样，即使有别的用户抢占了该IP，也不会出现因为IP地址冲突而影响该文件服务器正常运作的现象。

当然，如果是通过路由器组网的话，也可以通过路由器内置的IP地址和MAC地址绑定功能，来制约地址盗用情况的发生。以磊科NW705路由器为例。先登录到其高级管理界面，在其左侧点击“网络安全”-“IP/MAC绑定”项，在右侧选择“禁止未绑定IP/MAC的主机上网”项，之后点击保存配置信息。在IP/MAC绑定规则列表中输入描述信息，IP地址和MAC地址，选择“LAN”接口，点击增加按钮，完成指定IP和MAC地址的绑定操作。

本例中假设将“192.168.10.20”的IP地址和“000A,2B2D,3F6C” 的MAC地址绑定在一起。通过查看该路由器的内网配置信息，获得其LAN口的IP为 192.168.1.1，LAN MAC为“000A,EBD5,6080”。之 后 在IP为“192.168.1.20”的主机上执行“arp -s 192.168.1.1 00-0a-eb-d5-60-80”， 将磊科NW706路由器的LAN口的IP和MAC地址绑定起来。注意，IP与MAC地址的绑定是双向的，即在路由器上绑定电脑的IP与MAC地址，还需要在电脑上对路由器LAN口的IP地址与MAC地址进行绑定，这样才能有效解决ARP网关欺骗的问题。

在客户机端限制随意更换IP

除了在交换机，路由器等网络设备上配置规则，来管控IP地址外，在局域网中的客户机上，也需要采取各种手段，来控制IP地址被非法修改的现象。例如，将网络连接图标隐藏起来，就可以让用户因为找不到修改IP地址的配置界面，而无法随意更改IP地址。运行“gpedit.msc”程序，在组策略管理器左侧选择“本地计算机策略”-“用户配置”-“管理模板”-“桌面”项，双击窗口右侧的“隐藏桌面上的网上邻居图标”项末，选择“已启用”项，就可以将桌面上的网上邻居图标隐藏起来。或者在组策略窗口左侧选择“本地计算机策略”-“用户配置”-“管理模板”-“网络”-“网络连接”项，在右侧双击“禁止访问LAN连接的属性”项，选择“已启用”项，就可以禁止用户随意打开网络连接属性窗口了。对于Windows 7来说，还需要双击“为管理员启用Windows2000网络连接设置”项，选择“已启用”项。

图1 锁定IP更改功能

为了防止其使用控制面板中的网络连接项目，可以在组策略窗口左侧选择“本地计算机策略”-“用户配置”-“管理模板”-“控制面板”项，在右侧双击“禁止访问控制面板”项，选择“已启用”项，就可以阻止用户使用控制面板。为了防止使用IE中的网络连接项目，在组策略左侧选择“本地计算机策略”-“用户 配 置”-“Windows设置”-“Internet维护”-“连接”项，在右侧双击“连接设置”项，选择“删除已有的拨号连接设置”项即可。为了隐藏任务栏中的网络连接图标，可以在本地连接项的属性窗口中取消“连接后在通知区域显示图标”项。此外，还可以在“开始”→“运行”中输入“services.msc”，确认后打开服务管理窗口，双击名为“Network Connections”的服务，在其属性窗口中点击“停止”按钮禁止该服务运行，同时将“启动类型”设为“已禁用”即可。

在Windows中存在Netcf gx.dll，Netshell.dll和Netman.dll三个动态库文件，它们实际上是系统控件，和网络功能紧密相关。当修改IP地址时，就需要用到这三个控件。因此，只要将上述三个控件卸载，就可以屏蔽网络连接窗口，运行“Cmd.exe”命令打开CMD窗口，在其中分别执行“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netshell.dll”、“Regsvr32 /u Netman.dll”命令，可以将上述控件从系统中卸载。为了简单起见，可以使用NoIPSet这款小工具，来快速锁定IP修改功能，其支持Windows的所有版本。在其主界面（如图1）中显示了三种锁定方式，分别点击对应的“锁定”按钮，就可以解决问题了。为了提高安装速度，局域网中的大多数主机都是使用克隆技术来安装Windows的。而且局域网中的很多电脑配置均相同，所以可以在某台主机上配置好各种控制项目，之后将其进行克隆，然后在别的主机上进行系统安装操作，就可以快速得到所需的系统环境了。