前沿拓展:
win7 ip安全
方法如下:在“運行”里輸入 secpol.msc右擊線口考件管失路隨剛剛添加的IP安全策略義固馬樹病,在本地機器,選擇“創(chuàng)建IP安全策略”,單擊“下一步”,第二輸入一個策略描述,如“noPing”。單擊“下一步”,選中“激活默認響應規(guī)則”復選項,單散務展好離政引充紙擊“下一步”。開始設置身份驗揮觀可步手衛(wèi)誤找方式,選中“此字符串用來保護密鑰交換(預共享密鑰)”選項,第二隨便輸入一些字符(下面還義好引拿究沿困逐會用到這些字符)。單擊“下一步”,就會提示已完成IP安全策略,確認選中了“編輯屬性”復選框,單答擊“完成”按鈕,會打開其屬性對話框。單擊“添加”按鈕,并在打開安全規(guī)則向導中單擊“下一步”進行隧道終結設置,在這工束就謂須己倍的里選擇“此規(guī)則不指定隧道”。單擊“下一步”,并選擇“所有網絡連接”以保證所有牛率質穩(wěn)愛李響財?shù)挠嬎銠C都Ping不通。最后只需在“控制臺根節(jié)點”中拉銀故畫量右擊配置好的“禁止Ping”策略“,選擇“指派”命令使配置生蒸見福效即可。
前言大家好,我是林總,為了提高局域網運行穩(wěn)定性,我們不能等IP地址沖突故障發(fā)生時,才想辦法去應對,而應該主動出擊,讓上網用戶無法搶用局域網中的其他IP地址。正文
一、發(fā)生ip沖突的原因是什么?
發(fā)生IP地址沖突的原因:
1、很多用戶不知道“IP地址”、“子網掩碼”、“默認**”等參數(shù)如何設置,有時用戶不是從管理員處得到的上述參數(shù)的信息,或者是用戶無意和私自修改了這些信息所導致的;
2、有時管理員或用戶根據(jù)管理員提供的參數(shù)進行設置時,由于失誤造成參數(shù)輸錯也會導致該情況發(fā)生;
3、出現(xiàn)得最多的是在客戶機維修調試時,維修人員使用臨時IP地址應用造成;
二、組網舉例
舉例:
局域網大約有150個網絡節(jié)點,這些網絡節(jié)點平均分布在六個樓層,每一個樓層中的網絡節(jié)點都通過100M雙絞線與普通二層交換機保護連接,而每一個普通二層交換機又通過1000M光纖線纜連接到路由交換機上,為了保證網絡訪問安全,所有網絡節(jié)點都通過硬件防火墻與Internet網絡互聯(lián)互通。
目前,單位局域網使用的是10.168.163.0網段的IP地址:
該網段中使用的默認**地址為10.168.163.1,子網掩碼地址255.255.255.0,
由于該網段最多能擁有250多個IP地址,在平時工作中實際只用到150多個地址,顯然足夠大的地址空間余量完全可以滿足工作站數(shù)量不斷增加的需求。
但由于單位局域網采用了靜態(tài)地址分配方法,每當工作站系統(tǒng)發(fā)生突然崩潰或遭遇**攻擊不能正常啟動時,上網用戶都自行其是,隨意重新安裝系統(tǒng)、修改上網地址,結果局域網中頻繁出現(xiàn)IP地址沖突現(xiàn)象,這不但嚴重影響了他人的正常上網訪問,而且也加大了網絡管理員的維護工作量。
三、解決方案
為了有效避免上網用戶任意改動IP地址,所以打算采用地址綁定的方法,將工作站的IP地址與對應網卡設備的物理地址(MAC)綁定在一起,然而這種方法還并不是最有效的,是治標不治本,因為上網用戶仍然可以采用修改電腦網卡物理地址的方法,來竊取他人的IP地址,很顯然這種不是最有效的解決辦法。
四、如何才能有效的解決
分析
核心交換機上對普通工作站的IP地址和網卡物理地址(MAC)進行綁定**作,可是簡單地進行綁定**作,也不能解決上網用戶隨意設置IP地址的現(xiàn)象,
因為某個IP地址一旦被設置綁定后,雖然上網用戶不能繼續(xù)搶用這個IP地址,但是他仍然可以搶用局域網中處于空閑的IP地址,這樣一來IP地址沖突現(xiàn)象仍然可能會發(fā)生。
這也是很多網絡管理員百思不得其解的問題:在核心交換機中將所有工作站使用的IP地址綁定到對應MAC地址上后,仍然無法有效避免地址沖突故障。
要想徹底解決IP地址沖突故障,我們不但需要將局域網中已分配出去的IP地址綁定到對應網卡設備上。而且還需要對那些處于空閑狀態(tài)的IP地址進行綁定。
這樣一來上網用戶既不能使用已經連網工作站的IP地址,又不能使用局域網中空閑的IP地址,因此只要局域網中的上網用戶隨意改動IP地址的話,他就不能正常接入到局域網網絡中。
不過這樣配置后,也帶來了另外一個麻煩,那就是如果局域網中有新的用戶需要上網訪問時,就不能由自己作主任選IP地址,而必須事先向網絡管理員單獨申請上網,網絡管理員接受到申請后需要登錄進入交換機后臺管理系統(tǒng)對空閑地址進行放號,上網用戶才能正常連接到局域網中。實踐證明,這種方法不但可以有效避免IP地址沖突故障發(fā)生,而且還能有效地防止網絡**通過局域網非法傳播,從而可以有效地保障局域網的穩(wěn)定運行!
五、實施過程
依照上述理論分析,打算先將局域網中默認**地址10.168.1.143綁定到對應的物理地址上,這樣可以有效控制局域網中ARP**的爆發(fā),之后再想辦法對已經上網工作站的IP地址執(zhí)行綁定**作,最后將那些處于空閑狀態(tài)的IP地址集中綁定到一個虛擬的網卡物理地址上,如此一來就能實現(xiàn)一石二鳥的效果了。
1、那么如何綁定ip地址與mac物理地址呢?
第一輸入cmd進入命令配置符,第二輸入命令ipconfig/all,查看本機ip及mac地址情況。
輸入字符串命令“arp -s 10.168.1.1 34-F3-9A-2B-9E-13“,即可綁定。
緊接著輸入命令arp -a查詢綁定是否成功。
很明顯,默認**地址10.168.1.143就被成功綁定36-F3-9A-2B-9E-13, MAC地址上了,其他工作站日后上網時如果搶用10.168.1.143地址時,就會出現(xiàn)無法上網的故障現(xiàn)象,如此一來整個局域網的運行穩(wěn)定性就能得到保證了。
為了防止用戶搶用其他IP地址,我們需要把已經上網的150個左右網絡節(jié)點地址綁定起來,由于待綁定的地址數(shù)量比較多,單純依靠手工方法獲取每臺工作站的網卡物理地址和IP地址,工作量將會十分巨大,所以在交換機后臺系統(tǒng)的全局配置狀態(tài)下,執(zhí)行“display arp”字符串命令,之后將顯示出來的交換機ARP表中的內容**拷貝到本地紀事本編輯窗口中,通過簡單的編輯修改后,再將修改后的ARP表內容**粘貼到交換機ARP表中,這樣一來就能快速完成已上網工作站地址的綁定任務。
2、綁定空閑的ip地址
對于剩下100個左右的空閑IP地址,我們可以采用手工方法依次將每一個空閑的IP地址綁定到虛擬的MAC地址上,例如要將 10.168.1.156地址綁定到07-1e-33-ea-89-75上時,我們可以在交換機后臺系統(tǒng)的全局配置狀態(tài)下,執(zhí)行字符串命令“arp 10.168.1.143 07 1e 33 ea 89 75”,之后我們再按同樣的方法將其他空閑IP地址綁定到虛擬MAC地址07 1e 33 ea 89 75上。
3、對于新用戶來了,可以釋放ip地址給他
完成上面的地址綁定任務后,任何用戶都不能隨意更改IP地址,倘若此時有新的用戶需要使用空閑的10.168.1.156地址上網訪問時,網絡管理員可以按照下面的**作步驟,將10.168.1.156地址從綁定地址列表中釋放出來:
a、第一在路由交換機后臺管理系統(tǒng)執(zhí)行“system”命令,將系統(tǒng)狀態(tài)切換到全局配置狀態(tài),在該狀態(tài)下輸入字符串命令“display arp”,單擊回車鍵后,從其后出現(xiàn)的ARP列表中檢查一下10.168.1.156地址是否處于空閑狀態(tài),要是目標IP地址處于空閑狀態(tài),我們就能繼續(xù)執(zhí)行下面的釋放步驟了:
b、 第三輸入字符串命令“no arp 10.168.1.156 07 1e 33 ea 89 75 arpa”,單擊回車鍵后,目標IP地址10.168.1.156就從地址綁定列表中釋放出來了;
c、下面將10.168.1.156地址告訴給需要上網的用戶,讓他將該IP地址設置到對應工作站系統(tǒng)中,如此一來新增用戶就能順利地接入到單位局域網網絡中了;
d、之后在核心交換機的后臺管理系統(tǒng),繼續(xù)執(zhí)行字符串命令“display arp in 10.168.1.156”,從其后返回的結果界面中我們可以查看得到對應10.168.1.156地址的網卡物理地址為00-bb-eb-c3-c6-d0;
e、得到該MAC地址后,我們可以繼續(xù)執(zhí)行字符串命令“arp 10.168.1.156 00 bb eb c3 c6 d0 arpa”,這樣一來新上網用戶的IP地址與網卡物理地址就被成功綁定在一起了,最后依次執(zhí)行字符串命令“quit”、“save”,將上述配置**作保存到交換機系統(tǒng)中,結束交換機配置任務。
拓展知識:
原創(chuàng)文章,作者:九賢生活小編,如若轉載,請注明出處:http:///133207.html