在网络管理工作中,常常会碰到这样的情况:某些用户违反管理规定,私自修改自已的IP地址,以达到访问受限资源的目的。这样的行为,不但破坏了信息安全规则,还可能因为地址冲突引起网络通讯故障。
网管管理员可能会试图使用如后文所述的各种技术手段来解决这一问题,但效果不一定很理想:首先技术手段无法完全阻止这种现象的发生,其次是增加了管理的复杂性和成本。所以遏制这种现象最有效的方法是行政手段,这是技术手段所无法替代的。
在介绍这些管理手段之前我们先来看一个模拟的环境:工作站PC和SERVER连接到一台Cisco Catalyst 3550交换机上,它们分属不同的VLAN,借助3550的路由功能进行通讯(附交换机配置):
hostname Cisco3550 ! interface GigabitEthernet0/11 description Connect to PC ! interface GigabitEthernet0/12 description Connect to SERVER switchport access vlan 2 ! interface Vlan1 ip address 1.1.1.254 255.255.255.0 ! interface Vlan2 ip address 2.1.1.254 255.255.255.0 |
如果不需要做权限限制,只是要防止IP地址冲突的话,最佳的方案可能是使用DHCP.DHCP 服务器可以为用户设置IP 地址、子网掩码、网关、DNS等参数,使用方便,还能节省IP地址。在Cisco设备上设置DPCP可以参考:《Cisco路由器上配置DHCP全程详解 》.静态的分配和设置需要较多管理开销,如果用户不捣乱的话,由于用户名和IP地址一一对应,维护起来比较方便,以下均假设采用的是静态的管理方法。
测试1.假设VLAN1内只允许IP 1.1.1.1 访问Server: 2.1.1.1,其它访问全部禁止。
限制方法:使用IP访问控制列表
interface Vlan1
ip address 1.1.1.254 255.255.255.0
ip access-group 100 in
!
access-list 100 permit ip host 1.1.1.1 host 2.1.1.1 |
突破方法:非法用户将IP地址自行改为 1.1.1.1即可访问Server.非法用户抢占地址1.1.1.1将会引起IP地址冲突问题。如果用户将IP地址设成网关的IP,还会影响到整个VLAN的通讯。通过修改Windows 设置,可以防止用户修改“网络”属性,但这一方法也很容易被突破。
浏览地址: http://www.qqread.com/exchange/p327301.html
更多内容请看三层交换技术专题、交换机与路由器密码恢复、交换机的选购专题,或进入讨论组讨论。
【深 度 阅 读】 相 关 文 章
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
相关专题
- 三层交换技术专题 (1708篇文章)
- 交换机与路由器密码恢复 (3943篇文章)
- 交换机的选购 (1634篇文章)
- 常用交换机典型配置 (1634篇文章)
- Cisco IOS技术手册 (3007篇文章)
- 访问控制列表(ACL)介绍 (181篇文章)
- 交换机故障处理手册 (1693篇文章)
- Cisco路由器配置手册 (4759篇文章)
- Cisco交换机专题 (4265篇文章)
- 华为交换机 (2439篇文章)
- 关于思科局域网交换机维护与配置应用技巧 (0次浏览)
- 交换机安全技术 如何架设安全的交换机系统 (0次浏览)
- Juniper出击交换机市场 与老对手思科展开新竞 (0次浏览)
- 智能交换平台迎接存储挑战 (0次浏览)
