思科认证考试之“摆脱”IP地址冲突麻烦(3)http://news. 2011-01-04 11:04 来源:帮考网-
这是因为上面的地址绑定方法,只能限制恶意用户偷偷使用局域网中重要主机系统的上网地址,但是不能有效防范合法用户自己操作不当引起的地址冲突现象;例如,合法计算机的IP地址虽然被成功绑定到特定网卡设备上了,但是合法用户仍然可以使用其他IP地址进行上网,当合法用户由于自己操作上的不当,随意选用了其他上网地址进行网络连接时,还是可能会出现地址冲突现象的,这个过程与合法用户是否修改网卡MAC地址没有任何关系。具体地说,简单地将IP地址与网卡MAC地址绑定在一起的方法,只能有效防范恶意用户偷偷抢用别人的IP地址,但是无法防范合法用户操作上的无意失误引起的IP地址冲突现象,很明显上面的地址绑定方法,并不能彻底“摆脱”由操作不当引起的麻烦。 有鉴于此,在规模比较大的局域网网络中,我们必须在核心交换机上同时采用两种地址绑定操作,以便彻底“摆脱”由操作不当引起的麻烦:一种是将全部可信任计算机的IP地址与它们的网卡MAC地址绑定在一起,另外一种就是将其他没有被使用到的空闲IP地址集中绑定到一个根本不存在的MAC地址上。经过这样的双重地址绑定操作,局域网中的任何一台可信任计算机系统只能使用事先指定的IP地址进行上网连接,而不能随意使用其他的地址进行上网访问。日后,要是有新的可信任计算机需要接入到局域网网络中时,网络管理员只要从核心交换机上释放一个空闲的上网地址出来,并且将这个释放出来地址绑定到新的可信任计算机网卡MAC地址上。这种双重地址绑定的方法,经过实践测试,笔者发现这种方法在“摆脱”由操作不当引起的地址冲突故障方面,效果非法的好,而且这种方法在防止ARP病毒袭击方面也有不错的效果。 另外,还有一种极端情况,即使我们采用双重地址绑定的方法来防范,仍然还可能发生地址冲突现象:那就是恶意用户同时得到了目标重要主机的网卡MAC地址以及IP地址,而且可信任计算机恰好又不在网络上时,恶意用户只要强行将自己计算机的网卡MAC地址修改成重要主机的网卡MAC地址,再将自己计算机的IP地址设置成目标IP地址,那样的话地址冲突就会发生了。不过,从实际管理网络的过程中,笔者发现这种极端情况出现的几率非常低,毕竟这种情况的出现要同时符合三个条件:一要获得重要主机的MAC地址,二要获得对应系统的IP地址,三要确保重要主机系统不能在线。 当然,对于规模不大的局域网网络来说,可能局域网中没有核心交换机,此时我们只要在客户端系统中执行简单的地址绑定操作就可以了。在进行这种操作时,我们可以先打开客户端系统的“开始”菜单,点选其中的“运行”选项,在弹出的系统运行对话框中,执行“cmd”命令,打开DOS命令行工作窗口;在该窗口中输入“ipconfig /all”命令,单击回车键后,从对应的结果界面中得到对应系统的网卡MAC地址与上网地址,将这些地址信息记录下来;之后再在DOS命令行工作窗口中,执行“arp X Y arpa”字符串命令(其中X为目标IP地址,Y为网卡MAC地址),完成地址绑定操作。 |
|
|
