让IP地址摆脱混乱

风语

现在局域网中的路由器、交换机等网管设备，都有强大的网络管理功能，善于使用它们，可以轻松限制终端用户胡乱使用IP地址，即使终端用户擅自调整IP地址，也不能接入网络。当然，从网管设备上限制终端用户，工作量可能相当大，而且也容易增加网管设备的运行负荷。

网管员每天的工作总是辛苦又繁杂，本来局域网中的所有终端计算机均有指定的方式获取IP地址，但偏偏有很多人不安于现成的规定，总喜欢自行修改计算机上网地址，这么一来IP地址使用起来，不可避免地会出现混乱现象。为了不让这种混乱现象影响局域网稳定运行，我们可以分别着眼于网管设备、终端设备，采取切实有效的措施，禁止普通用户随意调整IP地址。

着眼网管设备

现在局域网中的路由器、交换机等网管设备，都有强大的网络管理功能，善于使用它们，可以轻松限制终端用户胡乱使用IP地址，即使终端用户擅自调整IP地址，也不能接入网络。当然，从网管设备上限制终端用户，工作量可能相当大，而且也容易增加网管设备的运行负荷。

划分不同网段

在终端计算机数量很多的场合下，可以尝试将IP地址管理与虚拟子网划分结合起来，以部门或房间为单位进行划分，这样既能改善网络访问安全性，又能有效预防IP地址混乱使用现象。众所周知，借助交换机的VLAN技术，能将局域网的所有终端计算机按需划分成不同的广播域，一个虚拟工作子网中的数据流量会被自动限制在本地工作子网之中，无法被转发到其他工作子网中，这有利于网管员高效管理维护网络。

在网管设备性能很好的组网环境中，网管员能通过路由器、三层交换机甚至二层快速以态网交换机，来将不同的终端计算机按部门或楼层，划分到各自不同的虚拟工作子网中。正常情况下，大家应该先依照部门或楼层特点，对IP地址的分配进行一下合理规划，并将该规划与VLAN号有机联系在一起，将处于同一个部门或楼层的终端计算机IP地址，以虚拟工作子网接口地址为依据，划分到相同的工作子网中，同时确保这个虚拟工作子网的接口地址就是该子网的网关地址。经过这样划分后，整个网络的安全性会有明显提升，而且这还有利于网管员快速定位网络故障的具体位置。而IP地址混乱使用现象即使发生，也只能出现在单位网络的局部区域，不会引起整个网络的混乱；同时，相同工作子网中的终端用户也会相互监督，尽量避免IP地址混乱使用现象的发生。

比方说，某大楼906房间的上网接口，连接在对应楼层Quidway系列二层交换机的e0/2端口上，现在要限制该房间的终端计算机，只能使用192.168.10.0网段地址，而不允许使用其他网段地址。要做到这一点，只要在对应楼层的交换机上，将e0/2端口划分到一个特定VLAN中，假设将其划分到VLAN10中，同时将该VLAN的网关地址为192.168.10.1，掩码地址为255.255.255.0即可，下面就是具体的设置步骤：首先以超级用户身份登录对应楼层交换机后台系统，使用“system-view”命令将系统切换到全局配置模式状态，如图1所示。其次在该状态下，依次输入如下命令：

[Quidway]vlan enable

[Quidway_3526]vlan 10 //设置VLAN10

[Quidway_3526-vlan10]port e0/2 //将e0/2端口划到VLAN10中

[Quidway_3526-vlan10]int vlan10 //进入VLAN10接口视图模式

[Quidway_3526-vlan-interface10]ip addess 192.168.10.1 255.255.255.0 //配置VLAN10接口参数

经过上述设置操作后，906房间中的所有计算机，日后只能使用192.168.10.0网段范围内的IP地址，使用其他任何地址上网，都会受到交换机的限制，那么该网段内的IP地址使用起来自然就不容易发生混乱了。

启用端口绑定

现在可管理交换机都具有端口绑定功能，通过该功能可以很方便地禁止IP地址被混乱使用的现象，因为交换机的端口地址过滤功能，仅允许具有可信MAC地址的终端计算机访问网络 ，任何具有不可信MAC地址的计算机都将被交换机拒绝访问网络，这样一来即使终端用户抢用了别人的IP地址，也不会造成网络访问的混乱。

比方说，局域网中有一台文件服务器，使用的IP地址为192.168.1.20，为了防止普通终端计算机抢用该地址，引起文件服务器无法正常上网，我们可以在局域网的核心三层交换机后台，将文件服务器的网卡MAC地址与192.168.1.20这个IP地址绑定在一起。日后即使有人抢用了该IP地址，他们也无法通过该地址接入网络，那么局域网的运行就不会出现混乱现象了，下面就是具体的绑定操作步骤：

首先以超级用户身份登录进入局域网文件服务器系统，依次点击“开始”、“运行”命令，弹出系统运行对话框，在其中执行“cmd”字符串命令，进入文件服务器系统的MS-DOS工作窗口。在该窗口命令行状态下，输入“ipconfig /all”命令，从返回的如图2所示结果界面中，我们能直观看到文件服务器系统的网卡MAC地址为“d4be.d98e.a847”。

找到被绑定计算机网卡MAC地址后，以管理员权限远程登录进局域网的核心交换机后台管理界面，在系统全局视图模式状态下，使用“address-bind 192.168.1.20 d4be.d98e.a847”命令将文件服务器IP地址和MAC地址绑定在一起，再使用“arp 192.168.1.20 d4be.d98e.a847 arpa gigabitEthernet 1/2”命令，将特定地址绑定到文件服务器所连的交换机连接光口上。这样的话，局域网中的其他终端计算机即使抢用了文件服务器的IP地址，也不会引起文件服务器发生冲突现象，这是因为其他用户不能通过192.168.1.20这个IP地址进行网络接入操作。

此外，在使用路由器组网的工作环境中，我们也能通过路由器内置的“IP与MAC绑定”功能，快速完成地址绑定操作。例如，在使用TP-LINK R480T宽带路由器组网的工作环境中，我们可以在客户端系统，打开IE浏览器窗口，在该窗口地址栏中输入宽带路由器管理地址，正确输入登录账号和密码后，进入路由器后台系统，依次点击“IP与MAC绑定”、“静态ARP绑定设置”选项，在对应选项设置页面，将“ARP绑定”设置为“启用”，按下“保存”按钮后返回。再点击“增加单个条目”按钮，将之前查询到的文件服务器IP地址与MAC地址绑定起来即可。

着眼终端设备

由于局域网中的终端计算机，往往都是以克隆方式安装起来的，如果我们在克隆之前，加强对IP地址修改操作的防范，让终端用户无法混乱使用IP地址就可以了。

隐藏网络连接图标

终端用户每次修改IP地址时，都需要通过网络连接图标，打开网络连接属性对话框，才能进行修改操作。如果将各个地方的网络连接图标都隐藏起来，那么终端用户就无法找到修改IP地址的“入口”，那么他们自然就会放弃修改操作了。

首先隐藏桌面上的网上邻居图标。通过网上邻居图标，能够进入网络连接属性对话框，所以隐藏桌面上的网上邻居图标，是第一要做的事情。逐一点击“开始”、“运行”选项，弹出系统运行文本框，在其中执行“gpedit.msc”命令，展开系统组策略控制台窗口。将鼠标定位到“本地计算机策略”、“用户配置”、“管理模板”、“桌面”分支上，双击其中的“隐藏桌面上的网上邻居图标”选项，进入如图3所示的选项设置框，选中“已启用”选项，单击“确定”按钮后保存设置操作即可。

其次隐藏控制面板中的网络连接图标。在进行该操作时，只要将鼠标定位到“本地计算机策略”、“用户配置”、“管理模板”、“控制面板”分支上，双击其中的“禁止访问控制面板”选项，选中其后界面中的“已启用”选项即可。这种设置虽然阻止终端用户不能通过控制面板窗口中的网络与拨号连接图标，进入网络连接属性对话框，但它会影响用户调整系统的其他设置，所以这种方法不建议大家选用。

第三删除开始菜单中的网络连接图标。为了拒绝终端用户从系统“开始”菜单中，找到网络连接访问“入口”，我们可以在系统组策略控制台窗口中，依次展开“本地计算机策略”、“用户配置”、“管理模板”、“网络和拨号连接”分支，双击其中的“从开始菜单删除网络和拨号连接”选项，选中“已启用”选项即可。

第四删除IE选项设置中的网络图标。只要在系统组策略控制台窗口中，依次展开“本地计算机策略”、“用户配置”、“Windows 设置”、“Internet Explorer 维护”、“连接”分支，双击其中的“连接设置”选项，选中其后界面中的“删除已有的拨号连接设置”选项，确认后保存设置即可。

第五隐藏任务栏中的网络连接图标。在正常上网访问时，我们能在系统任务栏的托盘区域处看到网络连接状态图标，通过它终端用户仍然可以进入网络连接属性对话框，来胡乱使用IP地址的。所以，尝试将任务栏中的网络连接状态图标隐藏起来，就能阻止部分菜鸟用户随意调整计算机的IP地址了。在进行该操作时，可以用鼠标右击系统桌面上的“网上邻居”图标，点击右键菜单中的“属性”命令，进入网络连接列表界面，打开本地连接图标的快捷菜单，选中其中的“属性”命令，在本地连接属性对话框的“常规”标签页面中，取消选中“连接后在通知区域显示图标”项目，确认后保存设置操作即可。

第六取消网络连接图标显示状态。上面的种种设置操作，根本难不倒有点技术水平的终端用户。为此，我们需要反注册与网络连接图标显示有关的DLL文件，实现彻底隐藏网络连接图标目的。只要先打开系统运行对话框，在其中执行“cmd”命令，进入DOS命令行状态，依次输入“regsvr32 Netman.dll /u”、“regsvr32 Netcfgx.dll /u”、“regsvr32 Netshell.dll /u”等命令，将与网络连接图标显示有关的三个DLL文件反注册掉。对Windows系统重新启动后，任何用户从任何位置都找不到网络连接图标了，那么终端用户也就无法进入网络连接属性对话框，随意使用自己喜欢的IP地址了。

不让访问连接属性

无论选用哪种方法隐藏网络连接图标，或多或少都会给终端用户控制网络连接带来麻烦。如果希望将影响降到最小限度，我们也能通过限制访问网络连接属性的方法，不让终端用户随意使用IP地址。

在进行该操作时，先在系统运行对话框中输入“gpedit.msc”命令，打开系统组策略控制台窗口。依次展开其中的“本地计算机策略”、“用户配置”、“管理模板”、“网络”、“网络连接”分支，双击“禁止访问LAN连接的属性”选项，进入如图4所示的选项设置框，选中“已启用”选项，再单击“确定”按钮保存设置即可。这样，日后终端用户即使能够看到网络连接图标，也无法打开网络连接属性对话框，那么随意使用IP地址的现象自然就不会出现了。