我們單位所在局域網(wǎng)有100多臺計(jì)算機(jī)，為了區(qū)分不同用戶分配更詳細(xì)的訪問權(quán)限，我們采用的是設(shè)置固定IP的方法，而不是自動獲取IP地址，再就是我們還要有一部分要連到互聯(lián)網(wǎng)上。這樣就要設(shè)兩個(gè)子網(wǎng)如內(nèi)網(wǎng)我們 設(shè)為192.168.0.1網(wǎng)段，能連外網(wǎng)的我們設(shè)為192.168.1.1網(wǎng)段。在實(shí)際使用中遇到了經(jīng)常有用戶為了上網(wǎng)私自修改IP地址，從而造成網(wǎng)絡(luò)沖突的問題。表現(xiàn)如下：

　　因?yàn)槲覀兊挠?jì)算機(jī)都是使用Windows XP操作系統(tǒng)的可以設(shè)兩個(gè)以上的IP所以用戶可以私自設(shè)置上兩個(gè)網(wǎng)段的IP地址這樣第一可以聯(lián)入單位的局域網(wǎng)也可以連到因特網(wǎng)，這是公司不允許的。公司經(jīng)理要求馬上解決這個(gè)問題，要不然這個(gè)月的獎(jiǎng)金就沒了。

　　下面是我解決的過程和自己的一些心得，希望能給要解決這樣問題的一些提示。

　　方法一，IP與MAC地址的綁定加上路由器的MAC過濾功能（我用的是TP-LINK路由器）

　　使用ARP -s 192.168.1.2 00-AO-43-E0-6A-84的命令，這樣就將靜態(tài)IP地址192.168.1.2與網(wǎng)卡地址為00-AO-43-E0-6A-84的計(jì)算機(jī)綁定在一起了，使別人就不能使用這個(gè)IP地址了。再進(jìn)入路由器的MAC過濾功能選中只允許下列MAC的網(wǎng)卡地址連入外網(wǎng)把00-AO-43-E0-6A-84填入即可。

　　可是上面提到的方法雖然可以在一定程度上解決非法用戶網(wǎng)絡(luò)接入的問題和網(wǎng)絡(luò)沖突的問題，但用戶還是可以通過修改注冊表，下載專用修改MAC小工具等方法，輕松更改了本機(jī)的MAC地址，甚至將本機(jī)的MAC地址和IP地址改得和上面能上網(wǎng)的機(jī)器一模一樣。非法用戶又可以非法使用網(wǎng)絡(luò)了。并且我用的路由器MAC過濾功能只能填入16個(gè)MAC（我不是說TP-LINK的東東不好，只是我們用的那個(gè)價(jià)格太低了）。

　　方法二，交換機(jī)的MAC地址與端口綁定

　　我可以將交換機(jī)的MAC地址與端口綁定后，非法用戶擅自改動本機(jī)網(wǎng)卡的MAC地址，該機(jī)器的網(wǎng)絡(luò)訪問將因其MAC地址被交換機(jī)認(rèn)定為非法而無法實(shí)現(xiàn)。這樣他們想改也不敢了。

　　登錄進(jìn)入交換機(jī)（我單位用的是CISCO交換機(jī)，我想別的品牌的交換機(jī)也差不多），輸入管理口令進(jìn)入配置模式:

　　敲入命令：(config)#mac_address_table permanent [MAC地址] [以太網(wǎng)端口號]

　　這樣逐一地將每個(gè)端口與相應(yīng)的計(jì)算機(jī)MAC地址進(jìn)行綁定，保存退出后就徹底阻止了用戶的非法修改。

　　方法三，防火墻與代理服務(wù)器

　　我個(gè)人感覺使用防火墻與代理服務(wù)器相結(jié)合，更能較好地解決IP地址盜用問題：防火墻用來隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，用戶訪問外部網(wǎng)絡(luò)通過代理服務(wù)器進(jìn)行。使用這樣的辦法是將IP防盜放到應(yīng)用層來解決，變IP管理為用戶身份和口令的管理，因?yàn)橛脩魧τ诰W(wǎng)絡(luò)的使用歸根結(jié)底是要使用網(wǎng)絡(luò)進(jìn)入因特網(wǎng)。這樣實(shí)現(xiàn)的好處是，盜用IP地址只能在子網(wǎng)內(nèi)使用，失去盜用的意義；合法用戶可以選擇任意一臺IP主機(jī)使用，通過代理服務(wù)器訪問外部網(wǎng)絡(luò)資源，而無權(quán)用戶即使盜用IP，也沒有身份和密碼，不能使用外部網(wǎng)絡(luò)。

　　使用防火墻和代理服務(wù)器的缺點(diǎn)也是明顯的，由于使用代理服務(wù)器訪問外部網(wǎng)絡(luò)對用戶不是透明的，增加了用戶操作的麻煩；另外，對于大數(shù)量的用戶群來說，用戶管理也是一個(gè)問題。