讓IP地址擺脫混亂

風(fēng)語

現(xiàn)在局域網(wǎng)中的路由器、交換機(jī)等網(wǎng)管設(shè)備，都有強(qiáng)大的網(wǎng)絡(luò)管理功能，善于使用它們，可以輕松限制終端用戶胡亂使用IP地址，即使終端用戶擅自調(diào)整IP地址，也不能接入網(wǎng)絡(luò)。當(dāng)然，從網(wǎng)管設(shè)備上限制終端用戶，工作量可能相當(dāng)大，而且也容易增加網(wǎng)管設(shè)備的運(yùn)行負(fù)荷。

網(wǎng)管員每天的工作總是辛苦又繁雜，本來局域網(wǎng)中的所有終端計(jì)算機(jī)均有指定的方式獲取IP地址，但偏偏有很多人不安于現(xiàn)成的規(guī)定，總喜歡自行修改計(jì)算機(jī)上網(wǎng)地址，這么一來IP地址使用起來，不可避免地會(huì)出現(xiàn)混亂現(xiàn)象。為了不讓這種混亂現(xiàn)象影響局域網(wǎng)穩(wěn)定運(yùn)行，我們可以分別著眼于網(wǎng)管設(shè)備、終端設(shè)備，采取切實(shí)有效的措施，禁止普通用戶隨意調(diào)整IP地址。

著眼網(wǎng)管設(shè)備

現(xiàn)在局域網(wǎng)中的路由器、交換機(jī)等網(wǎng)管設(shè)備，都有強(qiáng)大的網(wǎng)絡(luò)管理功能，善于使用它們，可以輕松限制終端用戶胡亂使用IP地址，即使終端用戶擅自調(diào)整IP地址，也不能接入網(wǎng)絡(luò)。當(dāng)然，從網(wǎng)管設(shè)備上限制終端用戶，工作量可能相當(dāng)大，而且也容易增加網(wǎng)管設(shè)備的運(yùn)行負(fù)荷。

劃分不同網(wǎng)段

在終端計(jì)算機(jī)數(shù)量很多的場合下，可以嘗試將IP地址管理與虛擬子網(wǎng)劃分結(jié)合起來，以部門或房間為單位進(jìn)行劃分，這樣既能改善網(wǎng)絡(luò)訪問安全性，又能有效預(yù)防IP地址混亂使用現(xiàn)象。眾所周知，借助交換機(jī)的VLAN技術(shù)，能將局域網(wǎng)的所有終端計(jì)算機(jī)按需劃分成不同的廣播域，一個(gè)虛擬工作子網(wǎng)中的數(shù)據(jù)流量會(huì)被自動(dòng)限制在本地工作子網(wǎng)之中，無法被轉(zhuǎn)發(fā)到其他工作子網(wǎng)中，這有利于網(wǎng)管員高效管理維護(hù)網(wǎng)絡(luò)。

在網(wǎng)管設(shè)備性能很好的組網(wǎng)環(huán)境中，網(wǎng)管員能通過路由器、三層交換機(jī)甚至二層快速以態(tài)網(wǎng)交換機(jī)，來將不同的終端計(jì)算機(jī)按部門或樓層，劃分到各自不同的虛擬工作子網(wǎng)中。正常情況下，大家應(yīng)該先依照部門或樓層特點(diǎn)，對IP地址的分配進(jìn)行一下合理規(guī)劃，并將該規(guī)劃與VLAN號有機(jī)聯(lián)系在一起，將處于同一個(gè)部門或樓層的終端計(jì)算機(jī)IP地址，以虛擬工作子網(wǎng)接口地址為依據(jù)，劃分到相同的工作子網(wǎng)中，同時(shí)確保這個(gè)虛擬工作子網(wǎng)的接口地址就是該子網(wǎng)的網(wǎng)關(guān)地址。經(jīng)過這樣劃分后，整個(gè)網(wǎng)絡(luò)的安全性會(huì)有明顯提升，而且這還有利于網(wǎng)管員快速定位網(wǎng)絡(luò)故障的具體位置。而IP地址混亂使用現(xiàn)象即使發(fā)生，也只能出現(xiàn)在單位網(wǎng)絡(luò)的局部區(qū)域，不會(huì)引起整個(gè)網(wǎng)絡(luò)的混亂；同時(shí)，相同工作子網(wǎng)中的終端用戶也會(huì)相互監(jiān)督，盡量避免IP地址混亂使用現(xiàn)象的發(fā)生。

比方說，某大樓906房間的上網(wǎng)接口，連接在對應(yīng)樓層Quidway系列二層交換機(jī)的e0/2端口上，現(xiàn)在要限制該房間的終端計(jì)算機(jī)，只能使用192.168.10.0網(wǎng)段地址，而不允許使用其他網(wǎng)段地址。要做到這一點(diǎn)，只要在對應(yīng)樓層的交換機(jī)上，將e0/2端口劃分到一個(gè)特定VLAN中，假設(shè)將其劃分到VLAN10中，同時(shí)將該VLAN的網(wǎng)關(guān)地址為192.168.10.1，掩碼地址為255.255.255.0即可，下面就是具體的設(shè)置步驟：首先以超級用戶身份登錄對應(yīng)樓層交換機(jī)后臺(tái)系統(tǒng)，使用“system-view”命令將系統(tǒng)切換到全局配置模式狀態(tài)，如圖1所示。其次在該狀態(tài)下，依次輸入如下命令：

[Quidway]vlan enable

[Quidway_3526]vlan 10 //設(shè)置VLAN10

[Quidway_3526-vlan10]port e0/2 //將e0/2端口劃到VLAN10中

[Quidway_3526-vlan10]int vlan10 //進(jìn)入VLAN10接口視圖模式

[Quidway_3526-vlan-interface10]ip addess 192.168.10.1 255.255.255.0 //配置VLAN10接口參數(shù)

經(jīng)過上述設(shè)置操作后，906房間中的所有計(jì)算機(jī)，日后只能使用192.168.10.0網(wǎng)段范圍內(nèi)的IP地址，使用其他任何地址上網(wǎng)，都會(huì)受到交換機(jī)的限制，那么該網(wǎng)段內(nèi)的IP地址使用起來自然就不容易發(fā)生混亂了。

啟用端口綁定

現(xiàn)在可管理交換機(jī)都具有端口綁定功能，通過該功能可以很方便地禁止IP地址被混亂使用的現(xiàn)象，因?yàn)榻粨Q機(jī)的端口地址過濾功能，僅允許具有可信MAC地址的終端計(jì)算機(jī)訪問網(wǎng)絡(luò) ，任何具有不可信MAC地址的計(jì)算機(jī)都將被交換機(jī)拒絕訪問網(wǎng)絡(luò)，這樣一來即使終端用戶搶用了別人的IP地址，也不會(huì)造成網(wǎng)絡(luò)訪問的混亂。

比方說，局域網(wǎng)中有一臺(tái)文件服務(wù)器，使用的IP地址為192.168.1.20，為了防止普通終端計(jì)算機(jī)搶用該地址，引起文件服務(wù)器無法正常上網(wǎng)，我們可以在局域網(wǎng)的核心三層交換機(jī)后臺(tái)，將文件服務(wù)器的網(wǎng)卡MAC地址與192.168.1.20這個(gè)IP地址綁定在一起。日后即使有人搶用了該IP地址，他們也無法通過該地址接入網(wǎng)絡(luò)，那么局域網(wǎng)的運(yùn)行就不會(huì)出現(xiàn)混亂現(xiàn)象了，下面就是具體的綁定操作步驟：

首先以超級用戶身份登錄進(jìn)入局域網(wǎng)文件服務(wù)器系統(tǒng)，依次點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，在其中執(zhí)行“cmd”字符串命令，進(jìn)入文件服務(wù)器系統(tǒng)的MS-DOS工作窗口。在該窗口命令行狀態(tài)下，輸入“ipconfig /all”命令，從返回的如圖2所示結(jié)果界面中，我們能直觀看到文件服務(wù)器系統(tǒng)的網(wǎng)卡MAC地址為“d4be.d98e.a847”。

找到被綁定計(jì)算機(jī)網(wǎng)卡MAC地址后，以管理員權(quán)限遠(yuǎn)程登錄進(jìn)局域網(wǎng)的核心交換機(jī)后臺(tái)管理界面，在系統(tǒng)全局視圖模式狀態(tài)下，使用“address-bind 192.168.1.20 d4be.d98e.a847”命令將文件服務(wù)器IP地址和MAC地址綁定在一起，再使用“arp 192.168.1.20 d4be.d98e.a847 arpa gigabitEthernet 1/2”命令，將特定地址綁定到文件服務(wù)器所連的交換機(jī)連接光口上。這樣的話，局域網(wǎng)中的其他終端計(jì)算機(jī)即使搶用了文件服務(wù)器的IP地址，也不會(huì)引起文件服務(wù)器發(fā)生沖突現(xiàn)象，這是因?yàn)槠渌脩舨荒芡ㄟ^192.168.1.20這個(gè)IP地址進(jìn)行網(wǎng)絡(luò)接入操作。

此外，在使用路由器組網(wǎng)的工作環(huán)境中，我們也能通過路由器內(nèi)置的“IP與MAC綁定”功能，快速完成地址綁定操作。例如，在使用TP-LINK R480T寬帶路由器組網(wǎng)的工作環(huán)境中，我們可以在客戶端系統(tǒng)，打開IE瀏覽器窗口，在該窗口地址欄中輸入寬帶路由器管理地址，正確輸入登錄賬號和密碼后，進(jìn)入路由器后臺(tái)系統(tǒng)，依次點(diǎn)擊“IP與MAC綁定”、“靜態(tài)ARP綁定設(shè)置”選項(xiàng)，在對應(yīng)選項(xiàng)設(shè)置頁面，將“ARP綁定”設(shè)置為“啟用”，按下“保存”按鈕后返回。再點(diǎn)擊“增加單個(gè)條目”按鈕，將之前查詢到的文件服務(wù)器IP地址與MAC地址綁定起來即可。

著眼終端設(shè)備

由于局域網(wǎng)中的終端計(jì)算機(jī)，往往都是以克隆方式安裝起來的，如果我們在克隆之前，加強(qiáng)對IP地址修改操作的防范，讓終端用戶無法混亂使用IP地址就可以了。

隱藏網(wǎng)絡(luò)連接圖標(biāo)

終端用戶每次修改IP地址時(shí)，都需要通過網(wǎng)絡(luò)連接圖標(biāo)，打開網(wǎng)絡(luò)連接屬性對話框，才能進(jìn)行修改操作。如果將各個(gè)地方的網(wǎng)絡(luò)連接圖標(biāo)都隱藏起來，那么終端用戶就無法找到修改IP地址的“入口”，那么他們自然就會(huì)放棄修改操作了。

首先隱藏桌面上的網(wǎng)上鄰居圖標(biāo)。通過網(wǎng)上鄰居圖標(biāo)，能夠進(jìn)入網(wǎng)絡(luò)連接屬性對話框，所以隱藏桌面上的網(wǎng)上鄰居圖標(biāo)，是第一要做的事情。逐一點(diǎn)擊“開始”、“運(yùn)行”選項(xiàng)，彈出系統(tǒng)運(yùn)行文本框，在其中執(zhí)行“gpedit.msc”命令，展開系統(tǒng)組策略控制臺(tái)窗口。將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“用戶配置”、“管理模板”、“桌面”分支上，雙擊其中的“隱藏桌面上的網(wǎng)上鄰居圖標(biāo)”選項(xiàng)，進(jìn)入如圖3所示的選項(xiàng)設(shè)置框，選中“已啟用”選項(xiàng)，單擊“確定”按鈕后保存設(shè)置操作即可。

其次隱藏控制面板中的網(wǎng)絡(luò)連接圖標(biāo)。在進(jìn)行該操作時(shí)，只要將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“用戶配置”、“管理模板”、“控制面板”分支上，雙擊其中的“禁止訪問控制面板”選項(xiàng)，選中其后界面中的“已啟用”選項(xiàng)即可。這種設(shè)置雖然阻止終端用戶不能通過控制面板窗口中的網(wǎng)絡(luò)與撥號連接圖標(biāo)，進(jìn)入網(wǎng)絡(luò)連接屬性對話框，但它會(huì)影響用戶調(diào)整系統(tǒng)的其他設(shè)置，所以這種方法不建議大家選用。

第三刪除開始菜單中的網(wǎng)絡(luò)連接圖標(biāo)。為了拒絕終端用戶從系統(tǒng)“開始”菜單中，找到網(wǎng)絡(luò)連接訪問“入口”，我們可以在系統(tǒng)組策略控制臺(tái)窗口中，依次展開“本地計(jì)算機(jī)策略”、“用戶配置”、“管理模板”、“網(wǎng)絡(luò)和撥號連接”分支，雙擊其中的“從開始菜單刪除網(wǎng)絡(luò)和撥號連接”選項(xiàng)，選中“已啟用”選項(xiàng)即可。

第四刪除IE選項(xiàng)設(shè)置中的網(wǎng)絡(luò)圖標(biāo)。只要在系統(tǒng)組策略控制臺(tái)窗口中，依次展開“本地計(jì)算機(jī)策略”、“用戶配置”、“Windows 設(shè)置”、“Internet Explorer 維護(hù)”、“連接”分支，雙擊其中的“連接設(shè)置”選項(xiàng)，選中其后界面中的“刪除已有的撥號連接設(shè)置”選項(xiàng)，確認(rèn)后保存設(shè)置即可。

第五隱藏任務(wù)欄中的網(wǎng)絡(luò)連接圖標(biāo)。在正常上網(wǎng)訪問時(shí)，我們能在系統(tǒng)任務(wù)欄的托盤區(qū)域處看到網(wǎng)絡(luò)連接狀態(tài)圖標(biāo)，通過它終端用戶仍然可以進(jìn)入網(wǎng)絡(luò)連接屬性對話框，來胡亂使用IP地址的。所以，嘗試將任務(wù)欄中的網(wǎng)絡(luò)連接狀態(tài)圖標(biāo)隱藏起來，就能阻止部分菜鳥用戶隨意調(diào)整計(jì)算機(jī)的IP地址了。在進(jìn)行該操作時(shí)，可以用鼠標(biāo)右擊系統(tǒng)桌面上的“網(wǎng)上鄰居”圖標(biāo)，點(diǎn)擊右鍵菜單中的“屬性”命令，進(jìn)入網(wǎng)絡(luò)連接列表界面，打開本地連接圖標(biāo)的快捷菜單，選中其中的“屬性”命令，在本地連接屬性對話框的“常規(guī)”標(biāo)簽頁面中，取消選中“連接后在通知區(qū)域顯示圖標(biāo)”項(xiàng)目，確認(rèn)后保存設(shè)置操作即可。

第六取消網(wǎng)絡(luò)連接圖標(biāo)顯示狀態(tài)。上面的種種設(shè)置操作，根本難不倒有點(diǎn)技術(shù)水平的終端用戶。為此，我們需要反注冊與網(wǎng)絡(luò)連接圖標(biāo)顯示有關(guān)的DLL文件，實(shí)現(xiàn)徹底隱藏網(wǎng)絡(luò)連接圖標(biāo)目的。只要先打開系統(tǒng)運(yùn)行對話框，在其中執(zhí)行“cmd”命令，進(jìn)入DOS命令行狀態(tài)，依次輸入“regsvr32 Netman.dll /u”、“regsvr32 Netcfgx.dll /u”、“regsvr32 Netshell.dll /u”等命令，將與網(wǎng)絡(luò)連接圖標(biāo)顯示有關(guān)的三個(gè)DLL文件反注冊掉。對Windows系統(tǒng)重新啟動(dòng)后，任何用戶從任何位置都找不到網(wǎng)絡(luò)連接圖標(biāo)了，那么終端用戶也就無法進(jìn)入網(wǎng)絡(luò)連接屬性對話框，隨意使用自己喜歡的IP地址了。

不讓訪問連接屬性

無論選用哪種方法隱藏網(wǎng)絡(luò)連接圖標(biāo)，或多或少都會(huì)給終端用戶控制網(wǎng)絡(luò)連接帶來麻煩。如果希望將影響降到最小限度，我們也能通過限制訪問網(wǎng)絡(luò)連接屬性的方法，不讓終端用戶隨意使用IP地址。

在進(jìn)行該操作時(shí)，先在系統(tǒng)運(yùn)行對話框中輸入“gpedit.msc”命令，打開系統(tǒng)組策略控制臺(tái)窗口。依次展開其中的“本地計(jì)算機(jī)策略”、“用戶配置”、“管理模板”、“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)連接”分支，雙擊“禁止訪問LAN連接的屬性”選項(xiàng)，進(jìn)入如圖4所示的選項(xiàng)設(shè)置框，選中“已啟用”選項(xiàng)，再單擊“確定”按鈕保存設(shè)置即可。這樣，日后終端用戶即使能夠看到網(wǎng)絡(luò)連接圖標(biāo)，也無法打開網(wǎng)絡(luò)連接屬性對話框，那么隨意使用IP地址的現(xiàn)象自然就不會(huì)出現(xiàn)了。