林海工作室 IOHY 论坛

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://qq4508509.yourblog.org/logs/240273.html

在日益庞大的局域网络中，IP地址的规划和管理是一个非常复杂和艰巨的工作。如何有效的规范IP地址的使用，根本杜绝盗用IP的现象呢？这要从IP地址是如何被盗用的说起。 ★IP地址是如何被盗用的？ 静态修改IP地址 ：由于IP地址是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IP地址的静态修改，除非使用DHCP服务器分配IP地址，但又会带来其他管理问题。 http://upload.yourblog.org/20049/qq4508509.20040904142632.jpg 成对修改IP-MAC地址：通过一些兼容网卡厂商推出的配置程序，可以对IP地址和MAC地址进行修改，使其合法化。另外，对于那些MAC地址不能直接修改的网卡来说，盗用者采用软件的办法来修改MAC地址，即通过工具软件或修改Windows注册表的方法达到欺骗上层网络软件的目的。比如非常流行的工具软件“超级兔子魔法设置”从4.9版本开始支持网卡MAC地址的修改（如图1）。 ★交换机帮你防盗用 我们测试了实达锐捷网络的安全接入交换机和S-Radius认证计费系统，几点体会，和大家共享。 静态IP冲突解决方案——IP和账号绑定 1. 用户进行802.1X认证前不是指定分配的IP，而滥用其他IP：认证前：因为这个时候，用户还没有通过认证，该用户与网络是隔离的，其指定的IP不会与别的用户IP冲突；试图认证：当用户使用账号密码试图通过认证，因为认证服务器端该用户账号和其IP做了绑定，认证服务器对其不予通过认证，从而同样不会造成IP冲突。 2. 用户使用正确的账号/IP通过认证后，再更改IP http://upload.yourblog.org/20049/qq4508509.20040904142657.jpg 测试当中实达锐捷网络S-RADIUS客户端软件能够检测到IP的更改，即刻剔除用户下线，同时发送计费结束报文，结束计费，从而不会造成IP冲突。 动态IP冲突解决方案——客户IP属性校验 1. 用户进行802.1X认证前不用动态获得IP，而是静态指定：1）认证前：因为这个时候，用户还没有通过认证，该用户与网络是隔离的，其指定的IP不会与别的用户IP冲突；2）试图认证：当用户使用账号密码试图通过认证，因为认证服务器端该用户账号的IP属性是动态IP，认证报文中该用户的IP属性确是静态IP，则认证服务器对其不予通过认证，从而同样不会造成IP冲突。 2. 用户使用正确的账号，动态IP设置通过认证后，再更改IP。 我们测试当中同样能够检测到IP的更改，剔除用户下线，从而不会造成IP冲突。另外测试当中我们还发现实达的S-RADIUS认证计费系统可实现用户账号、MAC地址、IP地址、VLAN ID、交换机IP、交换机端口之间的智能多元绑定的功能，从而大大提高了网络的安全系数（如图2）。 根据我们的实验室测试和实地网络运行测试，我们发现通过实达网络科技有限公司这套解决方案可以较好的解决局域网内IP地址盗用的问题。