給你參考下:1.鎖定交換機埠 對於交換機的每一個乙太網埠,採用MAC地址表(MAC-address-table)的方式對埠進行鎖定。只有網路管理員在MAC地址表中指定的網絡卡的MAC地址才能透過該埠與網路連線,其他的網絡卡地址不能透過該埠訪問網路。我們可以在計算機上先執行ping命令,然後用arp-a命令就可以看到網路使用者相應的IP地址對應的MAC地址,這樣就使MAC地址和物理順序對應起來,使得一根網線、一個埠對應一個MAC地址。這種方法比較適合於單幢大樓的寬頻使用者,在每一層樓或每個單元放置一臺交換機,對交換機的每一個乙太網埠進行限定,讓每個使用者單獨佔用一個埠,如果有人盜用了IP地址也將無濟於事。下面用一段程式,舉例說明指定交換機的e0/9口對應MAC地址083c.0000.0002,只有這個MAC地址可以透過該埠訪問網路。 2.應用ARP繫結IP地址和MAC地址 ARP(Address Resolution Protocol)即地址解析協議,這個協議是將IP地址與網路物理地址一一對應的協議。每臺計算機的網絡卡的MAC地址都是唯一的。在三層交換機和路由器中有一張稱為ARP的表,用來支援在IP地址和MAC地址之間的一一對應關係,它提供兩者的相互轉換,具體說就是將網路層地址解析為資料鏈路層的地址。 我們可以在ARP表裡將合法使用者的IP地址和網絡卡的MAC地址進行繫結。當有人盜用IP地址時,儘管盜用者修改了IP地址,但由於網絡卡的MAC地址和ARP表中對應的MAC地址不一致,那麼也不能訪問網路。以Cisco交換機為例,在Cisco Catalyst 5000網路交換機上,關於ARP表的設定和刪除有以下幾條命令: Set arp [dynamic | static] {ip_addr hw_addr}( 設定動態或靜態的ARP表); ip_addr(IP地址),hw_addr(MAC地址); Set arp static 20.89.21.1 00-80-1c-93-80-40(將將IP地址20.89.21.1和網絡卡MAC地址00-80-1c-93-80-40繫結); Set arp static 20.89.21.3 00-00-00-00-00-00(對未用的IP進行繫結,將MAC地址設定為0); Set arp agingtime seconds(設定ARP表的重新整理時間,如Set arp agingtime 300); show arp (用來顯示ARP表的內容); clear arp [dynamic | static] {ip_addr hw_addr}(清除ARP表中的內容)。 其他品牌的三層交換機也有類似的命令和功能,用其他交換機來構建寬頻網路時,也可以採用這種設定ARP表的辦法來防止盜用IP地址,以達到限制每個IP地址的流量和根據網路流量進行計費的目的。這種方法比較適合於社群的寬頻使用者,但它只能防止盜用者靜態地修改IP地址。 3. 用PPPoE協議進行使用者認證 對於盜用者使用第二種方法同時修改IP地址和MAC地址時,可以使用PPPoE協議進行使用者認證。現在有很多基於PPPoE協議的軟體,在ADSL的寬頻網中廣泛使用。PPPoE全稱是Point to Point Protocol over Ethernet(基於區域網的點對點通訊協議),這個協議是為了滿足越來越多的寬頻上網裝置和網路之間的通訊而最新制定開發的標準,它基於兩個廣泛接受的標準,即乙太網和PPP點對點撥號協議。對運營商來說,在現有區域網基礎上不必花費巨資來做大面積改造,使得PPPoE 在寬頻接入服務中比其他協議更具有優勢,因此逐漸成為寬頻上網的最佳選擇。 PPPoE的實質是乙太網和撥號網路之間的一箇中繼協議,它兼有乙太網的快速性和PPP協議撥號的簡易性以及使用者驗證和IP分配等優勢。在ADSL寬頻網的實際應用中,PPPoE利用乙太網的工作原理,將ADSL Modem的10BASE-T介面與內部乙太網絡互聯,PPPoE接入利用在網路側和ADSL Modem之間建立一條PVC(永久虛電路)就可以完成乙太網上多使用者的共同接入,實際組網方式簡單易行,大大降低了網路的複雜程度。 在客戶端,其設定和撥號上網方式一樣,安裝虛擬撥號軟體,透過虛擬撥號的方式完成。在客戶機接入網路後,由PPP伺服器或RADIUS伺服器來進行認證,其使用的驗證協議有兩種:PAP和CHAP。 PAP是密碼身份驗證協議,它使用原文(不加密)密碼,是一種最簡單的身份驗證協議。如果網路的接入不能用更安全的驗證方式,一般就使用PAP。
給你參考下:1.鎖定交換機埠 對於交換機的每一個乙太網埠,採用MAC地址表(MAC-address-table)的方式對埠進行鎖定。只有網路管理員在MAC地址表中指定的網絡卡的MAC地址才能透過該埠與網路連線,其他的網絡卡地址不能透過該埠訪問網路。我們可以在計算機上先執行ping命令,然後用arp-a命令就可以看到網路使用者相應的IP地址對應的MAC地址,這樣就使MAC地址和物理順序對應起來,使得一根網線、一個埠對應一個MAC地址。這種方法比較適合於單幢大樓的寬頻使用者,在每一層樓或每個單元放置一臺交換機,對交換機的每一個乙太網埠進行限定,讓每個使用者單獨佔用一個埠,如果有人盜用了IP地址也將無濟於事。下面用一段程式,舉例說明指定交換機的e0/9口對應MAC地址083c.0000.0002,只有這個MAC地址可以透過該埠訪問網路。 2.應用ARP繫結IP地址和MAC地址 ARP(Address Resolution Protocol)即地址解析協議,這個協議是將IP地址與網路物理地址一一對應的協議。每臺計算機的網絡卡的MAC地址都是唯一的。在三層交換機和路由器中有一張稱為ARP的表,用來支援在IP地址和MAC地址之間的一一對應關係,它提供兩者的相互轉換,具體說就是將網路層地址解析為資料鏈路層的地址。 我們可以在ARP表裡將合法使用者的IP地址和網絡卡的MAC地址進行繫結。當有人盜用IP地址時,儘管盜用者修改了IP地址,但由於網絡卡的MAC地址和ARP表中對應的MAC地址不一致,那麼也不能訪問網路。以Cisco交換機為例,在Cisco Catalyst 5000網路交換機上,關於ARP表的設定和刪除有以下幾條命令: Set arp [dynamic | static] {ip_addr hw_addr}( 設定動態或靜態的ARP表); ip_addr(IP地址),hw_addr(MAC地址); Set arp static 20.89.21.1 00-80-1c-93-80-40(將將IP地址20.89.21.1和網絡卡MAC地址00-80-1c-93-80-40繫結); Set arp static 20.89.21.3 00-00-00-00-00-00(對未用的IP進行繫結,將MAC地址設定為0); Set arp agingtime seconds(設定ARP表的重新整理時間,如Set arp agingtime 300); show arp (用來顯示ARP表的內容); clear arp [dynamic | static] {ip_addr hw_addr}(清除ARP表中的內容)。 其他品牌的三層交換機也有類似的命令和功能,用其他交換機來構建寬頻網路時,也可以採用這種設定ARP表的辦法來防止盜用IP地址,以達到限制每個IP地址的流量和根據網路流量進行計費的目的。這種方法比較適合於社群的寬頻使用者,但它只能防止盜用者靜態地修改IP地址。 3. 用PPPoE協議進行使用者認證 對於盜用者使用第二種方法同時修改IP地址和MAC地址時,可以使用PPPoE協議進行使用者認證。現在有很多基於PPPoE協議的軟體,在ADSL的寬頻網中廣泛使用。PPPoE全稱是Point to Point Protocol over Ethernet(基於區域網的點對點通訊協議),這個協議是為了滿足越來越多的寬頻上網裝置和網路之間的通訊而最新制定開發的標準,它基於兩個廣泛接受的標準,即乙太網和PPP點對點撥號協議。對運營商來說,在現有區域網基礎上不必花費巨資來做大面積改造,使得PPPoE 在寬頻接入服務中比其他協議更具有優勢,因此逐漸成為寬頻上網的最佳選擇。 PPPoE的實質是乙太網和撥號網路之間的一箇中繼協議,它兼有乙太網的快速性和PPP協議撥號的簡易性以及使用者驗證和IP分配等優勢。在ADSL寬頻網的實際應用中,PPPoE利用乙太網的工作原理,將ADSL Modem的10BASE-T介面與內部乙太網絡互聯,PPPoE接入利用在網路側和ADSL Modem之間建立一條PVC(永久虛電路)就可以完成乙太網上多使用者的共同接入,實際組網方式簡單易行,大大降低了網路的複雜程度。 在客戶端,其設定和撥號上網方式一樣,安裝虛擬撥號軟體,透過虛擬撥號的方式完成。在客戶機接入網路後,由PPP伺服器或RADIUS伺服器來進行認證,其使用的驗證協議有兩種:PAP和CHAP。 PAP是密碼身份驗證協議,它使用原文(不加密)密碼,是一種最簡單的身份驗證協議。如果網路的接入不能用更安全的驗證方式,一般就使用PAP。