技術領域

本發明涉及局域網IP地址的管理方法，特別是一種局域網IP地址非法使用的解決方法。

背景技術

在大多數局域網的運行管理工作中，網絡管理員負責管理用戶IP地址的分配，用戶通過正確地注冊后才被認為是合法用戶。在局域網上任何用戶使用未經授權的IP地址都應視為IP非法使用。但在Windows操作系統中，終端用戶可以自由修改IP地址的設置，從而產生了IP地址非法使用的問題。改動后的IP地址在局域網中運行時可能出現的情況如下。

a.非法的IP地址即IP地址不在規劃的局域網范圍內；

b.重復的IP地址與已經分配且正在局域網運行的合法的IP地址發生資源沖突，使合法用戶無法上網；

c.冒用合法用戶的IP地址當合法用戶不在線時，冒用其IP地址聯網，使合法用戶的權益受到侵害。

IP地址的非法使用問題，不是普通的技術問題，而是一個管理問題。只有找到其存在的理由，根除其存在的基礎，才可能從根本上杜絕其發生。分析非法使用者的動機有以下幾種情況：

a.干擾、破壞網絡服務器和網絡設備的正常運行。

b.企圖擁有被非法使用的IP地址所擁有的特權。最典型的，就是因特網訪問權限。

c.因機器重新安裝、臨時部署等原因，無意中造成的非法使用。

非法使用方法包括如下幾種：

第一種：靜態修改IP地址配置用戶在配置TCP/IP選項時，使用的不是管理員分配的IP地址，就形成了IP地址的非法使用。

第二種：同時修改MAC地址和IP地址

非法用戶還有可能將一臺計算機的IP地址和MAC地址都改為另一臺合法主機的IP地址和MAC地址。他們可以使用允許自定義MAC地址的網卡或使用軟件修改MAC地址。

第三種：IP電子欺騙

IP電子欺騙是偽造某臺主機IP地址的技術。它通常需要編程來實現。通過使用SOCKET編程，發送帶有假冒的源IP地址的IP數據包。

發明內容

本發明的目的在于提供一種局域網IP地址非法使用的解決方法，主要解決上述現有技術所存在的問題，提高了局域網的質量并確保網絡使用安全。

為解決上述問題，本發明是這樣實現的：

一種局域網IP地址非法使用的解決方法，其特征在于它的步驟如下：

步驟一：靜態ARP表的綁定；

步驟二：交換機端口綁定；

步驟三：VLAN劃分；

步驟四：與應用層的身份認證相結合。

所述的局域網IP地址非法使用的解決方法，其特征在于該步驟一中對于靜態修改IP地址的問題，采用IP-MAC地址綁定。

所述的局域網IP地址非法使用的解決方法，其特征在于該步驟一中配置路由器時，指定靜態的ARP表，路由器會根據靜態的ARP表檢查數據包，如果不能對應，則不進行數據轉發。

所述的局域網IP地址非法使用的解決方法，其特征在于所述步驟二中使用交換機提供的端口地址過濾模式，即交換機的每一個端口只具有允許合法MAC地址的主機通過該端口訪問網絡，任何來自其它MAC地址的主機的訪問將被拒絕。

所述的局域網IP地址非法使用的解決方法，其特征在于所述步驟四中綜合運用用戶名、口令、加密、VPN及其他應用層的身份認證機制，構成多層次的嚴密的安全體系。

具體實施方式

本發明提供了一種局域網IP地址非法使用的解決方法，具體步驟如下：

第一步：靜態ARP表的綁定；

對于靜態修改IP地址的問題，可以采用靜態路由技術加以解決，即IP-MAC地址綁定。因為在一個網段內的網絡尋址不是依靠IP地址而是物理地址。IP地址只是在網際之間尋址使用的。因此作為網關的路由器上有IP-MAC的動態對應表，這是由ARP協議生成并維護的。配置路由器時，可以指定靜態的ARP表，路由器會根據靜態的ARP表檢查數據包，如果不能對應，則不進行數據轉發。

該方法可以阻止非法用戶在不修改MAC地址的情況下，冒用IP地址進行跨網段的訪問。

第二步：交換機端口綁定

借助交換機的端口—MAC地址綁定功能可以解決非法用戶修改MAC地址以適應靜態ARP表的問題。可管理的交換機中都有端口—MAC地址綁定功能。使用交換機提供的端口地址過濾模式，即交換機的每一個端口只具有允許合法MAC地址的主機通過該端口訪問網絡，任何來自其它MAC地址的主機的訪問將被拒絕。

第三步：VLAN劃分