摘要：ip地址的治理問題是網絡治理人員最頭痛的問題之一。文章從具體實踐出發，深入分析了IP地址治理的特點，提出了一套完整的IP地址治理方法。該方法綜合運用了治理措施和技術措施，杜絕了IP地址的非法使用，大大減輕了網絡治理人員的負擔。

要害詞：局域網；IP地址；治理；非法使用

PRoblem of Illegal Use of IP Address in a LAN

Abstract：IP address control is one of the problems causing network supervisors bad headache. For practical use, the author, after deeply analyzing the features of IP address management and combining administrative and technical measures, suggests a complete set of method to prevent IP addresses from being illegally used.

Key Words：LAN(Local　area　network)；IP　address；management;illegal use

0 引言

在大多數局域網的運行治理工作中，網絡治理員負責治理用戶IP地址的分配，用戶通過正確地注冊后才被認為是合法用戶。在局域網上任何用戶使用未經授權的IP地址都應視為IP非法使用。但在Windows操作系統中，終端用戶可以自由修改IP地址的設置，從而產生了IP地址非法使用的問題。改動后的IP地址在局域網中運行時可能出現的情況如下。

a. 非法的IP地址即IP地址不在規劃的局域網范圍內。

b.重復的IP地址與已經分配且正在局域網運行的合法的IP地址發生資源沖突，使合法用戶無法上網。

c.冒用合法用戶的IP地址當合法用戶不在線時，冒用其IP地址聯網，使合法用戶的權益受到侵害。

1 IP地址非法使用的動機

IP地址的非法使用問題，不是普通的技術問題，而是一個治理問題。只有找到其存在的理由，根除其存在的基礎，才可能從根本上杜絕其發生。分析非法使用者的動機有以下幾種情況：

a. 干擾、破壞網絡服務器和網絡設備的正常運行。

b. 企圖擁有被非法使用的IP地址所擁有的特權。最典型的，就是因特網訪問權限。

c. 因機器重新安裝、臨時部署等原因，無意中造成的非法使用。

2 非法使用方法

2.1 靜態修改IP地址配置 用戶在配置TCP/IP選項時，使用的不是治理員分配的IP地址，就形成了IP地址的非法使用。

2.2 同時修改MAC地址和IP地址

非法用戶還有可能將一臺計算機的IP地址和MAC地址都改為另一臺合法主機的IP地址和MAC地址。他們可以使用答應自定義MAC地址的網卡或使用軟件修改MAC地址。

2.3 IP電子欺騙

IP電子欺騙是偽造某臺主機IP地址的技術。它通常需要編程來實現。通過使用SOCKET編程，發送帶有假冒的源IP地址的IP數據包

3 治理員的技術手段

3.1 靜態ARP表的綁定

對于靜態修改IP地址的問題，可以采用靜態路由技術加以解決，即IP-MAC地址綁定。因為在一個網段內的網絡尋址不是依靠IP地址而是物理地址。IP地址只是在網際之間尋址使用的。因此作為網關的路由器上有IP-MAC的動態對應表，這是由ARP協議生成并維護的。配置路由器時，可以指定靜態的ARP表，路由器會根據靜態的ARP表檢查數據包，假如不能對應，則不進行數據轉發。

該方法可以阻止非法用戶在不修改MAC地址的情況下，冒用IP地址進行跨網段的訪問。

3.2 交換機端口綁定

借助交換機的端口—MAC地址綁定功能可以解決非法用戶修改MAC地址以適應靜態ARP表的問題。可治理的交換機中都有端口—MAC地址綁定功能。使用交換機提供的端口地址過濾模式，即交換機的每一個端口只具有答應合法MAC地址的主機通過該端口訪問網絡，任何來自其它MAC地址的主機的訪問將被拒絕。

3.3 VLAN劃分

嚴格來說，VLAN劃分不屬于技術手段，而是治理與技術結合的手段。將具有相近權限的IP地址劃分到同一個VLAN，設置路由策略，可以有效阻止非法用戶冒用其他網段的IP地址的企圖。

3.4 與應用層的身份認證相結合

避免采用針對IP地址的直接授權的治理模式，綜合運用用戶名、口令、加密、VPN及其他應用層的身份認證機制，構成多層次的嚴密的安全體系，可以有效降低IP地址非法使用所帶來的危害。

4 治理建議

a.普通用戶明白非法使用IP地址所產生的危害和處罰措施，制定并實施嚴格的IP地址治理制度，包括：IP地址申請和發放流程，IP地址變更流程，臨時IP地址分配流程，機器MAC地址登記治理，IP地址非法使用的處罰制度。

b.非法使用IP的行為，總是內部網絡少數人的行為。因此，對于已經建成的網絡，治理員要根據當前存在的問題，有針對性的運用技術措施，重點阻止個別用戶的非法行為。

c. 劃分VLAN時，兼顧可治理性和易用性。在不增加網絡復雜性的前提下，充分運用VLAN的劃分手段，將權限相近的用戶劃分到同一個VLAN內，弱化非法使用同網段IP地址所帶來的利益。

d. 部署網絡治理系統。網絡治理軟件可以實現靜態ARP表綁定的初始化操作，避免網絡治理員的大量重復性勞動。網絡治理軟件的日常監視和日志功能，可以及時有效的發現網絡中的IP地址變化、MAC地址變化、交換機端口改變等異常行為，幫助網絡治理員查找網絡故障的根源。同時，網絡治理員還可以借助網管系統，很方便的治理網絡交換機，針對個別問題突出的用戶，進行交換機端口綁定操作，禁止其修改MAC地址。

e. 與應用層的身份認證相結合，建立完整嚴密的多層次的安全認證體系，弱化IP地址在身份認證體系中的重要性。與IP地址非法使用的問題類似，用戶名和口令也屬于輕易盜用的資源，建議有條件的單位采用指紋鼠標等先進的身份認證系統，強化重要系統的安全強度。

5 結束語

內部人員非法使用IP地址，并不是為了進行侵入和破壞，而是為了謀取某些特定的權限和利益。網絡治理員除有法律手段和技術手段，還擁有各種內部治理手段。假如單純使用技術手段來防范IP地址的非法使用，必然產生高昂的系統投資成本和人員開支。因此，只有綜合運用治理手段和技術手段，來處理IP地址非法使用問題，才能實現高可靠性的系統運行與低成本的治理維護的統一。