实施过程
依照上述理论分析,笔者打算先将局域网中默认网关地址10.168.163.1绑定到对应的物理地址上,这样可以有效控制局域网中ARP病毒的爆发;之后再想办法对已经上网工作站的IP地址执行绑定操作,最后将那些处于空闲状态的IP地址集中绑定到一个虚拟的网卡物理地址上,如此一来就能实现一石二鸟的效果了。
在绑定网关地址时,笔者先是以系统管理员身份登录进入QuidWay S8500系列路由交换机后台管理系统,在该系统的命令行状态执字符串命令“system”,将系统切换到交换配置全局状态;下面在该全局配置状态下,输入字符串命令“arp 10.168.163.1 0215.9cae.1156 arpa”,单击回车键后,默认网关地址10.168.163.1就被成功绑定到0215.9cae.1156MAC地址上了,其他工作站日后上网时如果抢用10.168.163.1地址时,就会出现无法上网的故障现象,如此一来整个局域网的运行稳定性就能得到保证了。
为了防止用户抢用其他IP地址,我们需要把已经上网的150个左右网络节点地址绑定起来;由于待绑定的地址数量比较多,单纯依靠手工方法获取每台工作站的网卡物理地址和IP地址,工作量将会十分巨大,为此笔者在交换机后台系统的全局配置状态下,执行“display arp”字符串命令,之后将显示出来的交换机ARP表中的内容复制拷贝到本地纪事本编辑窗口中,通过简单的编辑修改后,再将修改后的ARP表内容复制粘贴到交换机ARP表中,这样一来就能快速完成已上网工作站地址的绑定任务。
对于剩下100个左右的空闲IP地址,我们可以采用手工方法依次将每一个空闲的IP地址绑定到虚拟的MAC地址上,例如要将10.168.163.156地址绑定到071e.33ea.8975上时,我们可以在交换机后台系统的全局配置状态下,执行字符串命令“arp 10.168.163.156 071e.33ea.8975 arpa”,之后我们再按同样的方法将其他空闲IP地址绑定到虚拟MAC地址071e.33ea.8975上。
完成上面的地址绑定任务后,任何用户都不能随意更改IP地址;倘若此时有新的用户需要使用空闲的10.168.163.156地址上网访问时,网络管理员可以按照下面的操作步骤,将10.168.163.156地址从绑定地址列表中释放出来:
首先在QuidWay S8500系列路由交换机后台管理系统执行“system”命令,将系统状态切换到全局配置状态,在该状态下输入字符串命令“display arp”,单击回车键后,从其后出现的ARP列表中检查一下10.168.163.156地址是否处于空闲状态,要是目标IP地址处于空闲状态,我们就能继续执行下面的释放步骤了:
其次输入字符串命令“no arp 10.168.163.156 071e.33ea.8975 arpa”,单击回车键后,目标IP地址10.168.163.156就从地址绑定列表中释放出来了;
下面将10.168.163.156地址告诉给需要上网的用户,让他将该IP地址设置到对应工作站系统中,如此一来新增用户就能顺利地接入到单位局域网网络中了;
之后在核心交换机的后台管理系统,继续执行字符串命令“display arp
in 10.168.163.156”,从其后返回的结果界面中我们可以查看得到对应10.168.163.156地址的网卡物理地址为00bb.ebc3.c6d0;
得到该MAC地址后,我们可以继续执行字符串命令“arp 10.168.163.156 00bb.ebc3.c6d0 arpa”,这样一来新上网用户的IP地址与网卡物理地址就被成功绑定在一起了;最后依次执行字符串命令“quit”、“save”,将上述配置操作保存到交换机系统中,结束交换机配置任务。
最后结语
通过上面的配置,局域网中的所有IP地址都被成功控制起来,任何用户私自改动IP地址,都将不能接入网络;整个控制过程虽然有点复杂,但是可以很好地控制网络的接入安全,避免不明真相的工作站将网络病毒或木马程序带入到局域网工作环境中。当然,上面的控制方案还不能保证万无一失,还有一种情况会引发地址冲突现象发生,那就是非法用户窃取了交换机ARP列表中的内容,他只要同时修改自己工作站的网卡物理地址以及IP地址,并且在被窃用户没有在线的情况下,就能成功抢用他人地址进行上网访问了,不过这种情况出现的可能性相当低,除非网络管理员有意而为之。