CN101378350A - 局域网ip地址非法使用的解决方法 - Google Patents
局域网ip地址非法使用的解决方法 Download PDFInfo
- Publication number
- CN101378350A CN101378350A CNA2007100452901A CN200710045290A CN101378350A CN 101378350 A CN101378350 A CN 101378350A CN A2007100452901 A CNA2007100452901 A CN A2007100452901A CN 200710045290 A CN200710045290 A CN 200710045290A CN 101378350 A CN101378350 A CN 101378350A
- Authority
- CN
- China
- Prior art keywords
- address
- lan
- binding
- illegal
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及局域网IP地址的管理方法,特别是一种局域网IP地址非法使用的解决方法。它的步骤是:静态ARP表的绑定;交换机端口绑定;VLAN划分;与应用层的身份认证相结合。本发明可以消除局域网IP地址被非法使用的问题,提高了局域网的质量并确保网络使用安全。
Description
技术领域
本发明涉及局域网IP地址的管理方法,特别是一种局域网IP地址非法使用的解决方法。
背景技术
在大多数局域网的运行管理工作中,网络管理员负责管理用户IP地址的分配,用户通过正确地注册后才被认为是合法用户。在局域网上任何用户使用未经授权的IP地址都应视为IP非法使用。但在Windows操作***中,终端用户可以自由修改IP地址的设置,从而产生了IP地址非法使用的问题。改动后的IP地址在局域网中运行时可能出现的情况如下。
a.非法的IP地址即IP地址不在规划的局域网范围内;
b.重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突,使合法用户无法上网;
c.冒用合法用户的IP地址当合法用户不在线时,冒用其IP地址联网,使合法用户的权益受到侵害。
IP地址的非法使用问题,不是普通的技术问题,而是一个管理问题。只有找到其存在的理由,根除其存在的基础,才可能从根本上杜绝其发生。分析非法使用者的动机有以下几种情况:
a.干扰、破坏网络服务器和网络设备的正常运行。
b.企图拥有被非法使用的IP地址所拥有的特权。最典型的,就是因特网访问权限。
c.因机器重新安装、临时部署等原因,无意中造成的非法使用。
非法使用方法包括如下几种:
第一种:静态修改IP地址配置用户在配置TCP/IP选项时,使用的不是管理员分配的IP地址,就形成了IP地址的非法使用。
第二种:同时修改MAC地址和IP地址
非法用户还有可能将一台计算机的IP地址和MAC地址都改为另一台合法主机的IP地址和MAC地址。他们可以使用允许自定义MAC地址的网卡或使用软件修改MAC地址。
第三种:IP电子欺骗
IP电子欺骗是伪造某台主机IP地址的技术。它通常需要编程来实现。通过使用SOCKET编程,发送带有假冒的源IP地址的IP数据包。
发明内容
本发明的目的在于提供一种局域网IP地址非法使用的解决方法,主要解决上述现有技术所存在的问题,提高了局域网的质量并确保网络使用安全。
为解决上述问题,本发明是这样实现的:
一种局域网IP地址非法使用的解决方法,其特征在于它的步骤如下:
步骤一:静态ARP表的绑定;
步骤二:交换机端口绑定;
步骤三:VLAN划分;
步骤四:与应用层的身份认证相结合。
所述的局域网IP地址非法使用的解决方法,其特征在于该步骤一中对于静态修改IP地址的问题,采用IP-MAC地址绑定。
所述的局域网IP地址非法使用的解决方法,其特征在于该步骤一中配置路由器时,指定静态的ARP表,路由器会根据静态的ARP表检查数据包,如果不能对应,则不进行数据转发。
所述的局域网IP地址非法使用的解决方法,其特征在于所述步骤二中使用交换机提供的端口地址过滤模式,即交换机的每一个端口只具有允许合法MAC地址的主机通过该端口访问网络,任何来自其它MAC地址的主机的访问将被拒绝。
所述的局域网IP地址非法使用的解决方法,其特征在于所述步骤四中综合运用用户名、口令、加密、VPN及其他应用层的身份认证机制,构成多层次的严密的安全体系。
具体实施方式
本发明提供了一种局域网IP地址非法使用的解决方法,具体步骤如下:
第一步:静态ARP表的绑定;
对于静态修改IP地址的问题,可以采用静态路由技术加以解决,即IP-MAC地址绑定。因为在一个网段内的网络寻址不是依靠IP地址而是物理地址。IP地址只是在网际之间寻址使用的。因此作为网关的路由器上有IP-MAC的动态对应表,这是由ARP协议生成并维护的。配置路由器时,可以指定静态的ARP表,路由器会根据静态的ARP表检查数据包,如果不能对应,则不进行数据转发。
该方法可以阻止非法用户在不修改MAC地址的情况下,冒用IP地址进行跨网段的访问。
第二步:交换机端口绑定
借助交换机的端口—MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。可管理的交换机中都有端口—MAC地址绑定功能。使用交换机提供的端口地址过滤模式,即交换机的每一个端口只具有允许合法MAC地址的主机通过该端口访问网络,任何来自其它MAC地址的主机的访问将被拒绝。
第三步:VLAN划分
严格来说,VLAN划分不属于技术手段,而是管理与技术结合的手段。将具有相近权限的IP地址划分到同一个VLAN,设置路由策略,可以有效阻止非法用户冒用其他网段的IP地址的企图。
划分VLAN时,兼顾可管理性和易用性。在不增加网络复杂性的前提下,充分运用VLAN的划分手段,将权限相近的用户划分到同一个VLAN内,弱化非法使用同网段IP地址所带来的利益。
第四步:与应用层的身份认证相结合
避免采用针对IP地址的直接授权的管理模式,综合运用用户名、口令、加密、VPN及其他应用层的身份认证机制,构成多层次的严密的安全体系,可以有效降低IP地址非法使用所带来的危害。
综上所述仅为本发明的较佳实施例而已,并非用来限定本发明的实施范围。即凡依本发明申请专利范围的内容所作的等效变化与修饰,都应为本发明的技术范畴。
Claims (5)
1、一种局域网IP地址非法使用的解决方法,其特征在于它的步骤如下:
步骤一:静态ARP表的绑定;
步骤二:交换机端口绑定;
步骤三:VLAN划分;
步骤四:与应用层的身份认证相结合。
2、根据权利要求1所述的局域网IP地址非法使用的解决方法,其特征在于该步骤一中对于静态修改IP地址的问题,采用IP-MAC地址绑定。
3、根据权利要求1或2所述的局域网IP地址非法使用的解决方法,其特征在于该步骤一中配置路由器时,指定静态的ARP表,路由器会根据静态的ARP表检查数据包,如果不能对应,则不进行数据转发。
4、根据权利要求1所述的局域网IP地址非法使用的解决方法,其特征在于所述步骤二中使用交换机提供的端口地址过滤模式,即交换机的每一个端口只具有允许合法MAC地址的主机通过该端口访问网络,任何来自其它MAC地址的主机的访问将被拒绝。
5、根据权利要求1所述的局域网IP地址非法使用的解决方法,其特征在于所述步骤四中综合运用用户名、口令、加密、VPN及其他应用层的身份认证机制,构成多层次的严密的安全体系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007100452901A CN101378350A (zh) | 2007-08-27 | 2007-08-27 | 局域网ip地址非法使用的解决方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007100452901A CN101378350A (zh) | 2007-08-27 | 2007-08-27 | 局域网ip地址非法使用的解决方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101378350A true CN101378350A (zh) | 2009-03-04 |
Family
ID=40421703
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007100452901A Pending CN101378350A (zh) | 2007-08-27 | 2007-08-27 | 局域网ip地址非法使用的解决方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101378350A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101820432A (zh) * | 2010-05-12 | 2010-09-01 | 中兴通讯股份有限公司 | 无状态地址配置的安全控制方法及装置 |
| CN103944886A (zh) * | 2014-03-24 | 2014-07-23 | 迈普通信技术股份有限公司 | 一种端口安全的实现方法及*** |
| CN102316034B (zh) * | 2011-09-06 | 2017-05-10 | 中兴通讯股份有限公司 | 局域网内防止手动指定ip地址的方法及装置 |
-
2007
- 2007-08-27 CN CNA2007100452901A patent/CN101378350A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101820432A (zh) * | 2010-05-12 | 2010-09-01 | 中兴通讯股份有限公司 | 无状态地址配置的安全控制方法及装置 |
| CN102316034B (zh) * | 2011-09-06 | 2017-05-10 | 中兴通讯股份有限公司 | 局域网内防止手动指定ip地址的方法及装置 |
| CN103944886A (zh) * | 2014-03-24 | 2014-07-23 | 迈普通信技术股份有限公司 | 一种端口安全的实现方法及*** |
| CN103944886B (zh) * | 2014-03-24 | 2017-11-10 | 迈普通信技术股份有限公司 | 一种端口安全的实现方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101585936B1 (ko) | 가상 사설 망 관리 시스템 및 그 방법 | |
| TWI389525B (zh) | 具有多網段存取性的資料傳輸系統及其方法 | |
| US10333897B2 (en) | Distributed firewalls and virtual network services using network packets with security tags | |
| US9948675B2 (en) | Identity-based internet protocol networking | |
| US8055800B1 (en) | Enforcing host routing settings on a network device | |
| EP2239887B1 (en) | User managing method and apparatus | |
| CN104935572B (zh) | 多层级权限管理方法及装置 | |
| CN103428211B (zh) | 基于交换机的网络认证***及其认证方法 | |
| CN100581162C (zh) | 一种防止地址解析欺骗的方法 | |
| CN1719834A (zh) | 防火墙***、加入***的设备以及更新防火墙规则的方法 | |
| CN103441991A (zh) | 一种移动终端安全接入平台 | |
| JP2008512958A (ja) | 無線アクセスゲートウェイのためのダイナミック・ファイアウォール機能 | |
| US7451479B2 (en) | Network apparatus with secure IPSec mechanism and method for operating the same | |
| CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
| CN104601566B (zh) | 认证方法以及装置 | |
| CN106603513A (zh) | 基于主机标识的资源访问控制方法以及*** | |
| CN103647772A (zh) | 一种对网络数据包进行可信访问控制的方法 | |
| TW202137735A (zh) | 網路基礎架構可程式切換裝置 | |
| CN202652534U (zh) | 移动终端安全接入平台 | |
| WO2010003322A1 (zh) | 终端访问的控制方法、***和设备 | |
| CN101378350A (zh) | 局域网ip地址非法使用的解决方法 | |
| Pradana et al. | The dhcp snooping and dhcp alert method in securing dhcp server from dhcp rogue attack | |
| CN1859384B (zh) | 控制用户报文通过网络隔离设备的方法 | |
| EP1694024A1 (en) | Network apparatus and method for providing secure port-based VPN communications | |
| CN100466599C (zh) | 一种专用局域网的安全访问方法及用于该方法的装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090304 |