网管技巧：防范MAC、IP盗网贼

　　最近笔者发现有些非法用户不仅将自己的IP地址改为了高级用户的IP地址，还通过ARP命令获得了高级用户所用计算机的MAC地址，将自身的MAC地址也进行了修改。这样一来不仅没有IP地址冲突的提示，而且两台计算机都可以上网了，非法用户轻松享受了高级用户的权限。

　　作为一名合格的网络管理员我们需要“扼杀”一切非法使用网络的行为，本文将为大家讲解如何防范修改IP地址与MAC地址违规上网的行为。

　　IP冲突基础知识

　　一般情况下两台设置了相同IP地址的计算机在启动后会出现IP地址冲突的提示，先启动的计算机可以使用网络，而后启动的计算机无法使用网络资源。所以在公司所有计算机都开机的情况下如果有人手动修改了IP地址一定会出现IP冲突的警告。当正常用户不能使用网络时建议及时通知网络管理员，网络管理员可以迅速查找出非法使用者的计算机。

　　什么是IP地址与MAC地址的绑定?

　　在代理服务器上一般都通过“arp -s 157.55.85.212 00-aa-00-62-c6-09”这个命令将IP地址与相应的MAC地址捆绑在一起，这样IP地址相同MAC地址不符的计算机就不能通过代理服务器上网了。简单地修改IP地址进行非法资源访问的方法将无效。

　　谁在盗用网络?

　　这里需要指出的是，IP地址冲突检测的原理就是查找本地网络中是否存在IP地址相同而MAC地址不同的主机，一旦有这样的情况就会出现ARP解析错误从而报IP地址冲突。不过如果将MAC地址也设置相同，ARP解析就不会出现任何错误，自然不会报IP地址冲突，而且上网没有问题，这就是本文刚开始中提到的非法用户使用网络的方法。

　　ARP解析防非法用户

　　鉴于很多用户通过修改IP地址实现非法使用网络的功能，那么我们可以在代理服务器上通过ARP命令将IP地址与MAC地址绑定起来，从而防止用户随意修改IP地址非法使用网络。

　　第一步:在Windows 98系统中执行winipcfg查看MAC地址(在Windows 2000及其以上操作系统中运行ipconfig/all进行查看)。将所有计算机的MAC地址与IP地址记录下来。

　　实际上网络管理员也可以利用Nbtstat命令来远程获得指定机器的MAC地址。在MS-DOS方式下键入命令“Nbtstat -a 远程计算机名”，即可获得指定机器的IP地址和MAC地址。不过需要实现建立IPC连接，如果初次使用不会有任何反应。建立IPC连接的最方便快捷的办法就是在执行“Nbtstat -a 远程计算机名”前先使用一款扫描工具对整个局域网扫描，自动建立IPC连接。这样运行“Nbtstat -a 远程计算机名”就不会出现没有任何反馈信息的情况了。

　　第二步:在代理服务器上使用ARP命令建立IP地址与MAC地址的映射关系，例如使用“ARP -s 10.91.30.45 00-EO-4C-6C-08-75”命令，这样就将静态IP地址10.91.30.45与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了，即使别人盗用了IP地址192.168.1.4，也无法通过代理服务器上网。

　　提示:ARP的映射信息会在每次重新启动计算机后消失，所以请将所有的映射命令保存到一个批处理BAT文件中，并将这个文件设置为随系统启动而加载，从而保证代理服务器重新启动ARP映射信息也不会消失了。

　　绑定端口，限制盗用

　　本文说明了仅仅通过将IP地址与MAC地址绑定起来防止非法用户使用网络不是非常有效的，应该采用将交换机的端口与MAC地址或IP地址进行绑定的方法来限制。

　　我们以CISCO交换机为例讲解配置命令。登录进入交换机，输入管理口令进入配置模式，输入命令:(config)#mac_address_table permanent [MAC地址] [以太网端口号]。将交换机的MAC地址与端口绑定后擅自改动本机网卡的MAC地址，该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网，自然也就不会对局域网造成干扰了。

　　逐一地将每个端口与相应的计算机MAC地址进行绑定保存退出后就彻底阻止了用户的非法修改。当然其他品牌的交换机只要是可以网管的，大多可以按照此方法进行操作。