c. 划分VLAN时,兼顾可治理性和易用性 。在不增加网络复杂性的前提下,充分运用VLAN的划分手段,将权限相近的用户划分到同一个VLAN内,弱化非法使用同网段IP地址所带来的利益 。
d. 部署网络治理系统 。网络治理软件可以实现静态ARP表绑定的初始化操作,避免网络治理员的大量重复性劳动 。网络治理软件的日常监视和日志功能,可以及时有效的发现网络中的IP地址变化、MAC地址变化、交换机端口改变等异常行为,帮助网络治理员查找网络故障的根源 。同时,网络治理员还可以借助网管系统,很方便的治理网络交换机,针对个别问题突出的用户,进行交换机端口绑定操作,禁止其修改MAC地址 。
e. 与应用层的身份认证相结合,建立完整严密的多层次的安全认证体系,弱化IP地址在身份认证体系中的重要性 。与IP地址非法使用的问题类似,用户名和口令也属于轻易盗用的资源,建议有条件的单位采用指纹鼠标等先进的身份认证系统,强化重要系统的安全强度 。
5 结束语
内部人员非法使用IP地址,并不是为了进行侵入和破坏,而是为了谋取某些特定的权限和利益 。网络治理员除有法律手段和技术手段,还拥有各种内部治理手段 。假如单纯使用技术手段来防范IP地址的非法使用,必然产生高昂的系统投资成本和人员开支 。因此,只有综合运用治理手段和技术手段,来处理IP地址非法使用问题,才能实现高可靠性的系统运行与低成本的治理维护的统一 。
推荐阅读
- 【网管成长历程】如何合理规划局域网
- 【网管成长历程】详解局域网设计过程
- 以太网交换机端口被环引起整个局域网瘫痪一例
- 三层交换主宰局域网
- 局域网交换机维护
- 配置Cisco局域网交换机配置概述
- 局域网交换技术
- 局域网交换机的配置与选购扩展功能
- 局域网交换机的配置与选购基础知识
- 局域网交换机的配置与选购指南