黃可大

（廣東省電信工程有限公司，廣東 惠州 516007）

1.引言

隨著信息網(wǎng)絡的建設和發(fā)展，局域網(wǎng)的建立和應用也越來越廣泛，企業(yè)、學校、小區(qū)、家庭都隨處可見。但隨著局域網(wǎng)內(nèi)用戶數(shù)量的逐步增加，對IP地址的分配就會增多，這就導致局域網(wǎng)內(nèi)IP地址沖突或被盜用的問題越來越多了，對局域網(wǎng)的正常運作已構成了嚴重威脅。為了確保局域網(wǎng)內(nèi)各計算機通信順暢，有必要對局域網(wǎng)內(nèi)的計算機、IP地址資源進行合理規(guī)劃，統(tǒng)一分配，科學管理，對隨意修改IP地址和企圖非法接入局域網(wǎng)的用戶進行限制。從計算機網(wǎng)絡基礎管理和技術實戰(zhàn)兩方面入手，徹底解決局域網(wǎng)IP地址沖突、被盜用的問題，為局域網(wǎng)的順暢性提供更有力的保障。

2.計算機基礎網(wǎng)絡管理策略

對局域網(wǎng)內(nèi)的每一臺電腦分配一個固定IP地址，優(yōu)點是便于管理，特別是在局域網(wǎng)中，只要你連上局域網(wǎng)，網(wǎng)管就能知道是哪臺電腦了。這樣可以有效限制那些不清楚企業(yè)內(nèi)部網(wǎng)絡IP設置規(guī)則的人員，利用電腦非法接入企業(yè)內(nèi)部網(wǎng)絡。

2.1 建立合理IP地址資源分配表

首先，根據(jù)公司的現(xiàn)狀和發(fā)展趨勢，估算出公司最大的電腦主機數(shù)，而從確定局域網(wǎng)所需的IP數(shù)量，不要把公司所有電腦都歸為同一IP網(wǎng)段地址，而是把一個大段IP地址劃分為若干個子網(wǎng)段，公司每個部門對應一個子網(wǎng)IP地址，分配時預留可擴展空間，方便以后擴容。使公司的IP地址就有總體的資源分配表，這樣即使IP地址有沖突也只能在一個子網(wǎng)內(nèi)，不會影響到整個公司的網(wǎng)絡。

然后，將公司內(nèi)的電腦進行編號，把每臺電腦的MAC地址記錄下來，讓電腦編號、IP地址、MAC地址三者數(shù)據(jù)唯一來標識一臺電腦，并錄入到資源分配表中，對其進行統(tǒng)一科學的管理。

這樣做有兩方面的好處：一是從表中可以清楚看到哪些地址已使用，哪些地址為空閑，如有新入網(wǎng)電腦只要從空閑地址中分配就行了；二是當IP地址發(fā)生沖突后，能快速確定沖突電腦所在的區(qū)域和位置，有利于故障的及時排除。

3.技術實戰(zhàn)策略

通過對造成IP地址沖突、被盜用的可能原因和途進行分析，從而制定出相應的實戰(zhàn)策略，采用技術手段來解決問題。

3.1 禁止用戶修改IP地址

為防止用戶自己隨意更改IP地址，在局域網(wǎng)內(nèi)一般禁止用戶修改電腦IP地址。如要讓用戶不能修改IP就必須得事先把電腦的本地連接圖標給隱藏起來，令用戶找不到修改IP的入口來達到禁止的目的。要隱藏電腦的本地連接圖標，只要把電腦系統(tǒng)里netman.dll、netshell.dll、netcfgx.dll三個控健稍作改動就可以實現(xiàn)了。可以通過以下的操作來完成：依次單擊“開始”-“運行”命令，打開系統(tǒng)運行對話框，并在其中輸入字符串命令“cmd”，單擊“確定”按鈕后，將系統(tǒng)運行狀態(tài)切換到MS-DOS命令行模式；在DOS命令行中，輸入字符串命令“regsvr32 Netcfgx.dll/u”；“regsvr32 Netshell.dll /u”；“regsvr32 Netman.dll/u”，三條命令輸完后重新起動電腦就可以隱藏電腦的本地連接圖標了，也就令用戶無法修改IP地址了。如果要恢復修改IP地址的功能，只要將上述命令中的“/u”參數(shù)刪除，然后重新執(zhí)行一遍就行了。這樣既簡單又實用。

3.2 綁定IP-MAC地址，阻止非法接入

這一點只適用于：路由器或者3層交換機設備，代表：為華為路由器或交換機。在路由器中關閉DHCP功能，如果路由器具備綁定VLAN號功能，則建議為每一個用戶分配一個VLAN號，把VLAN號和IP地址捆綁在一起，同時配置該VLAN號下只能接入一個用戶，這樣只有VLAN號和IP地址一一對應的用戶才可以接入公司網(wǎng)絡。因為VLAN號對用戶來說是不可知的，只有網(wǎng)絡管理員才有權限配置。一些非法用戶即使得知公司的IP地址和端口號，由于不清楚VLAN號，也是無法接入到網(wǎng)絡中來，這樣就可以有效限制那些不經(jīng)允許而想進入公司網(wǎng)絡的人員。如果路由器不具備綁定VLAN號功能則可以把IP地址和MAC地址綁在一起。把IP地址和資源表記錄MAC地址關聯(lián)起來，組成一一對應表，讓只有在對應表中的MAC地址才可以分配到正確的IP地址。達到防止IP地址的盜用、阻止電腦的非法接入、避免IP地址沖突的目的。

4.結束語

實踐證明，解決IP地址沖突、被盜用的問題，如果單純使用技術手段來防范IP地址的非法使用是遠遠不夠的，還必須依靠扎實的計算機網(wǎng)絡基礎管理，只有綜合運用管理手段和技術手段兩者相結合，靈活應用，才能防范于未然，從根本上解決局域網(wǎng)IP地址沖突和被盜用的問題。

[1]徐其興.計算機組網(wǎng)技術與配置[M].北京：高等教育出版社，2007.

[2]東方人華，倪文志，杭志.局域網(wǎng)組建、配置與管理入門與提高[M].北京：清華大學出版社，2003.

[3]劉敏涵，王存祥.計算機網(wǎng)絡技術[M].西安：西安電子科技大學出版社，2003.