三,中级方法——多种办法应对非法IP:
虽然上面我们通过禁用DHCP服务或建立一个假的DHCP服务可以阻止非法用户连接网络后自动获得IP地址。但是如果非法用户知道了公司的网络规划,对客户机网络地址比较了解的话,他就可以自由修改IP地址的设置,从而产生了IP地址非法使用的问题。不过改动后的IP地址在局域网中运行时可能出现的情况如下。
(1)非法的IP地址即IP地址不在规划的局域网范围内。
(2)重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突,使合法用户无法上网。
(3)冒用合法用户的IP地址当合法用户不在线时,冒用其IP地址联网,使合法用户的权益受到侵害。
对于第一种情况非法IP也不能上网,所以我们不用理会。但是第二种和第三种情况则严重的影响了公司内部其他员工正常上网,并且公司内部数据也存在丢失的可能。我们这些网络管理员可以通过以下几个办法来对付非法用户自行修改IP地址。
(1)静态ARP表的绑定:(如下图)
 |
| ARP命令(点击看大图) |
对于静态修改IP地址的问题,可以采用静态路由技术加以解决,即IP-MAC地址绑定。因为在一个网段内的网络寻址不是依靠IP地址而是物理地址。IP地址只是在网际之间寻址使用的。因此作为网关的路由器上有IP-MAC的动态对应表,这是由ARP协议生成并维护的。配置路由器时,可以指定静态的ARP表,路由器会根据静态的ARP表检查数据包,如果不能对应,则不进行数据转发。 该方法可以阻止非法用户在不修改MAC地址的情况下,冒用IP地址进行跨网段的访问。
(2)交换机端口绑定:
借助交换机端口的MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。可管理的交换机中都有端口MAC地址绑定功能。使用交换机提供的端口地址过滤模式,即交换机的每一个端口只具有允许合法MAC地址的主机通过该端口访问网络,任何来自其它MAC地址的主机的访问将被拒绝。
(3)VLAN划分:
严格来说,VLAN划分不属于技术手段,而是管理与技术结合的手段。将具有相近权限的IP地址划分到同一个VLAN,设置路由策略,可以有效阻止非法用户冒用其他网段的IP地址的企图。
(4)与应用层的身份认证相结合:(如下图)
 |
| 身份认证 |
避免采用针对IP地址的直接授权的管理模式,综合运用用户名、口令、加密、VPN及其他应用层的身份认证机制,构成多层次的严密的安全体系,或者启用一些诸如RADIUS AAA以及802.1x等具有认证的功能,这些都可以有效降低IP地址非法使用所带来的危害。
四,高级方法——DHCP SNOOPING:
实际情况中上面出现问题都是因为非法用户自己修改自己的IP地址以及MAC地址造成的,那么我们有没有一种办法能够限定普通用户必须使用自动获得IP地址的方法来上网呢?如果可以限制的话,那么非法用户即使修改自己的IP地址与MAC地址为合法信息也无法正常上网。一般来说我们可以在路由交换设备上启用DHCP SNOOPING功能。不过这个功能并不是所有设备都有的,使用前请仔细查询说明书。
DHCP SNOOPING使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络。以下是一个简单的例子。
ip dhcp snooping vlan 180-181
// 对哪些VLAN 进行限制
ip dhcp snooping
ip arp inspection vlan 180-181
ip arp inspection validate src-mac dst-mac ip
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause l2ptguard
errdisable recovery cause psecure-violation
errdisable recovery cause gbic-invalid
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause arp-inspection
errdisable recovery interval 30
spanning-tree extend system-id
!
!
interface GigabitEthernet2/1
// 对该端口接入的用户进行限制,可以下联交换机
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
- 推荐阅讯
- [独家]视频:构建ADSL外网服务器
- 高级网络管理技巧之“七招鲜”
- 初级网管的网络安全
- 网络安全中的ARP协议和欺骗技术及其对策
- ADSL Modem防攻击“修炼秘技”
- 如何配置局域网的通信协议(2)
- 网吧管理员贴身装备之《网吧管理专家》
- 攻防之道矛与盾:反击网络执法官
- 关于网络故障的全面分析排除实战
- 远程控制 PcAnywhere使用全攻略