管理IP地址的技术手段

　　1 静态ARP表的绑定
　　对于静态修改IP地址的问题，可以采用静态路由技术加以解决，即IP-MAC地址绑定。因为在一个网段内的网络寻址不是依靠IP地址而是物理地址。IP地址只是在网际之间寻址使用的。因此作为网关的路由器上有IP-MAC的动态对应表，这是由ARP协议生成并维护的。配置路由器时，可以指定静态的ARP表，路由器会根据静态的ARP表检查数据包，如果不能对应，则不进行数据转发。
　　该方法可以阻止非法用户在不修改MAC地址的情况下，冒用IP地址进行跨网段的访问。

　　2 交换机端口绑定
　　借助交换机的端口—MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。可管理的交换机中都有端口—MAC地址绑定功能。使用交换机提供的端口地址过滤模式，即交换机的每一个端口只具有允许合法MAC地址的主机通过该端口访问网络 ，任何来自其它MAC地址的主机的访问将被拒绝。

　　3 VLAN划分
　　严格来说，VLAN划分不属于技术手段，而是管理与技术结合的手段。将具有相近权限的IP地址划分到同一个VLAN，设置路由策略，可以有效阻止非法用户冒用其他网段的IP地址的企图。

　　4 与应用层的身份认证相结合
　　避免采用针对IP地址的直接授权的管理模式，综合运用用户名、口令、加密、VPN及其他应用层的身份认证机制，构成多层次的严密的<安全体系，可以有效降低IP地址非法使用所带来的危害。

4 管理建议

　　a.普通用户明白非法使用IP地址所产生的危害和处罚措施，制定并实施严格的IP地址管理制度，包括：IP地址申请和发放流程，IP地址变更流程，临时IP地址分配流程，机器MAC地址登记管理，IP地址非法使用的处罚制度。
　　b.非法使用IP的行为，总是内部网络少数人的行为。因此，对于已经建成的网络，管理员要根据当前存在的问题，有针对性的运用技术措施，重点阻止个别用户的非法行为。
　　c. 划分VLAN时，兼顾可管理性和易用性。在不增加网络复杂性的前提下，充分运用VLAN的划分手段，将权限相近的用户划分到同一个VLAN内，弱化非法使用同网段IP地址所带来的利益。
　　d. 部署网络管理系统。网络管理软件可以实现静态ARP表绑定的初始化操作，避免网络管理员的大量重复性劳动。网络管理软件的日常监视和日志功能，可以及时有效的发现网络中的IP地址变化、MAC地址变化、交换机端口改变等异常行为，帮助网络管理员查找网络故 障的根源。同时，网络管理员还可以借助网管系统，很方便的管理网络交换机，针对个别问题突出的用户，进行交换机端口绑定操作，禁止其修改MAC地址。
　　e. 与应用层的身份认证相结合，建立完整严密的多层次的安全认证体系，弱化IP地址在身份认证体系中的重要性。与IP地址非法使用的问题类似，用户名和口令也属于容易盗用的资源，建议有条件的单位采用指纹鼠标等先进的身份认证系统，强化重要系统的安全强度。