一、IP自由切換，輕松實現(xiàn)移動辦公

　　1、基于不同子網(wǎng)的IP切換

　　移動辦公在局域網(wǎng)中是非常普遍的，我們經(jīng)常會在不同的子網(wǎng)(部門)間進行相關(guān)的工作。拿著自己的筆記本，利用網(wǎng)卡接口連入局域網(wǎng)，馬上就可以進入工作狀態(tài)，大大提高了工作效率。但是每個子網(wǎng)有不同的網(wǎng)絡(luò)配置，例如IP地址、網(wǎng)關(guān)、DNS、DHCP等等。這樣的話每到一個新的子網(wǎng)(部門)中，就需要員工重新進行網(wǎng)絡(luò)設(shè)置，顯得非常麻煩，而且對于有些人確實比較困難。那如何實現(xiàn)IP的自由切換呢?

　　(1).思路

　　我們可以將不同子網(wǎng)的的網(wǎng)絡(luò)設(shè)置備份下來，當我們需要在某個網(wǎng)絡(luò)環(huán)境中使用時，調(diào)用相應的備份文件即可完成網(wǎng)絡(luò)的相關(guān)設(shè)置，這樣就免去了手工設(shè)置的煩惱，非常方便快捷。

　　(2).實現(xiàn)

　　備份網(wǎng)絡(luò)設(shè)置：先將電腦的網(wǎng)絡(luò)設(shè)置為子網(wǎng)1的網(wǎng)絡(luò)配置，然后在命令提示符(cmd.exe)窗口中敲入如下命令：netsh dump >net1.txt當然你也可以指定其他的保存位置，這樣就完成了對“子網(wǎng)1”的網(wǎng)絡(luò)配置的備份。同樣可以將單位其他子網(wǎng)的網(wǎng)絡(luò)配置備份為net*.txt(*為其他子網(wǎng)的序號)文件。

　　

　　圖1

　　設(shè)置切換：完成備份后，進行切換就比較簡單了。若此時你需要設(shè)置成為“子網(wǎng)1”的網(wǎng)絡(luò)配置，在命令提示符(cmd.exe)窗口中敲入如下命令：netsh exec net1.txt即可完成“子網(wǎng)1”的網(wǎng)絡(luò)配置工作，若需要設(shè)置為其他子網(wǎng)的網(wǎng)絡(luò)配置，將命令行中的配置文件改為net*.txt(*為其他子網(wǎng)的序號)即可。

　　

　　圖2

　　(3). 簡化操作

 

　　上面對網(wǎng)絡(luò)環(huán)境的備份和切換需要輸入命令略顯麻煩，并且需要員工有一定的命令行基礎(chǔ)不宜推廣。我們可以批處理然后共享給大家，當需要切換網(wǎng)絡(luò)時只需運行相應的批處理腳本即可。具體操作方法是：將下面的代碼分別保存為bf.bat和qh.bat，放在同一目錄下。

　　@echo off

　　echo 備份網(wǎng)絡(luò)設(shè)置

　　netsh dump >net1.txt

　　exit

　　@echo off

　　echo 恢復網(wǎng)絡(luò)設(shè)置

　　netsh exec net1.txt

　　exit

　　這樣在備份時只需雙擊bf.bat即可，網(wǎng)絡(luò)切換時也只需雙擊qh.bat就可以了。當然，我們也可以進行共享。做好每個子網(wǎng)設(shè)置的備份然后放到共享服務器上進行共享，在別人需要在某子網(wǎng)移動辦公的時候只需調(diào)用該子網(wǎng)的網(wǎng)絡(luò)配置文件(net*.txt)運行qh.bat即可完成網(wǎng)絡(luò)配置馬上投入工作。

　　2、基于不同帳戶的IP切換

　　通常情況下企業(yè)中有一些公共電腦，管理員為不同用戶創(chuàng)建不同的帳戶，并賦予其不同的權(quán)限供其使用。以企業(yè)中使用最普遍的Windows客戶端來說，不同的帳戶可以賦予不同的權(quán)限，但是網(wǎng)絡(luò)環(huán)境是統(tǒng)一的。在有些情況下我們需要不同的帳戶有不同的網(wǎng)絡(luò)配置，那如何實現(xiàn)呢?

　　(1).思路

　　我們?yōu)槊總€用戶創(chuàng)建一個批處理文件，通過該文件完成用戶的網(wǎng)絡(luò)設(shè)置。如何實現(xiàn)帳戶登錄自動完成網(wǎng)絡(luò)配置呢?大家知道每個帳戶都有各自的桌面環(huán)境，其中有一個“啟動項”，我們可以將相應的用戶網(wǎng)絡(luò)設(shè)置批處理文件放到啟動項中實現(xiàn)帳戶登錄后的網(wǎng)絡(luò)自動配置。

#p#副標題#e#

　　(2).實現(xiàn)

 

　　創(chuàng)建批處理：以創(chuàng)建gslw用戶的網(wǎng)絡(luò)批處理文件為例，其他用戶類似，將下面的代碼保存為gslw.bat：

　　@echo off

　　netsh interface ip show address

　　netsh int ip set address name="本地連接" source=static addr=192.168.1.10 mask=255.255.255.0 gateway=192.168.1.1 gwmetric=1

　　netsh int ip set dns name="本地連接" source=static addr=202.100.64.68

　　netsh int ip add dns name="本地連接" addr=202.100.64.68

　　netsh int ip add dns name="本地連接" addr=61.178.0.93

　　netsh interface ip show address

　　netsh interface ip show dns

　　exit

　　(3).實現(xiàn)自動配置

　　將gslw.bat文件拷貝到帳戶glsw的啟動菜單中，即“C:Documents and Settingsgslw「開始」菜單程序啟動”中。其他帳戶的實現(xiàn)方法類似，大家可以根據(jù)上面的示例找到對于用戶的啟動菜單路徑。

　　

　　圖3

　　二、IP保護從DHCP開始

 

　　其實，具有一定規(guī)模的企業(yè)網(wǎng)絡(luò)，一般會部署DHCP服務器來為客戶端提供網(wǎng)絡(luò)服務，免去了手工設(shè)置IP的麻煩，大大簡化了網(wǎng)絡(luò)管理。此時，客戶端連入網(wǎng)絡(luò)后會發(fā)送DHCP請求包，DHCP服務器會應答并提供IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)，DNS等信息。但是，當局域網(wǎng)中出現(xiàn)了另外一臺非授權(quán)的DHCP后會怎么樣呢?毫無疑問，這必然導致IP的混亂。因此，我們不能忽視對DHCP的保護。

　　1、簡單防范

　　(1).客戶端不斷請求

　　既然廣播包會發(fā)向網(wǎng)絡(luò)中的所有設(shè)備，合法還是非授權(quán)服務器先應答是沒有任何規(guī)律的，那么我們可以通過多次嘗試廣播包的發(fā)送來臨時解決這個問題，直到客戶機可以得到真實的地址為止。

　　客戶端在命令行中先敲入命令“ipconfig /release”釋放非授權(quán)網(wǎng)絡(luò)數(shù)據(jù)，然后輸入命令“ipconfig /renew”嘗試獲得網(wǎng)絡(luò)參數(shù)。如果還是獲得錯誤信息則再次嘗試上面兩條命令，直到得到正確信息。不過這種方法治標不治本，反復嘗試的次數(shù)沒有保證，一般都需要十幾次甚至是幾十次，另外當DHCP租約到期后客戶端需要再次尋找DHCP服務器獲得信息，故障仍然會出現(xiàn)。

　　(2).另類方法干擾

　　在實際使用中筆者發(fā)現(xiàn)了一個另類的方法，該方法和上面介紹的消極防范結(jié)合起來使用效果還算不錯。這個方法就是只要知道非授權(quán)的DHCP的IP，找臺電腦設(shè)置和他同樣的IP，能降低非授權(quán)DHCP發(fā)放的數(shù)量，這樣在執(zhí)行ipconfig /release和ipconfig /renew時獲得合法網(wǎng)絡(luò)信息的概率大大提高。

　　2、主動出擊

　　(1).通過DC對DHCP授權(quán)

　　一般我們使用的操作系統(tǒng)都是Windows，微軟為我們提供了一個官方解決辦法。在windows系統(tǒng)組建的網(wǎng)絡(luò)中，如果非授權(quán)DHCP服務器也是用Windows系統(tǒng)建立的話我們可以通過“域”的方式對非授權(quán)DHCP服務器進行過濾。將合法的DHCP服務器添加到活動目錄(Active Directory)中，通過這種認證方式就可以有效的制止非授權(quán)DHCP服務器了。

　　原理就是沒有加入域中的DHCP Server在相應請求前，會向網(wǎng)絡(luò)中的其他DHCP Server發(fā)送DHCP INFORM查詢包,如果其他DHCP Server有響應，那么這個DHCP Server就不能對客戶的要求作相應，也就是說網(wǎng)絡(luò)中加入域的DHCP服務器的優(yōu)先級比沒有加入域的DHCP服務器要高。這樣當合法DHCP存在時非授權(quán)的就不起任何作用了。

　　授權(quán)合法DHCP的過程如下：“開始→程序→管理工具→DHCP”，選擇DHCP, 用鼠標右鍵單擊選擇“添加服務器”，然后瀏覽選擇需要認證的服務器。點“添加”按鈕, 輸入要認證的DHCP服務器IP地址, 完成授權(quán)操作。

　　

　　圖4

　　這種方法效果雖然不錯，但需要域的支持。要知道對于眾多中小企業(yè)來說“域”對他們是大材小用，基本上使用工作組就足以應對日常的工作了。所以這個方法是微軟推薦的，效果也不錯，但不太適合實際情況。另外該方法只適用于非授權(quán)DHCP服務器是windows系統(tǒng)，對非Windows的操作系統(tǒng)甚至是NT4這樣的系統(tǒng)都會有一定的問題。

#p#副標題#e#

　　(2).在路由器/交換機上封殺

 

　　有的路由交換設(shè)備自身功能比較強，例如具有extreme功能，他可以自動抑制非授權(quán)dhcp的數(shù)據(jù)包。如果沒有extreme功能我們?nèi)绾翁崆邦A防非授權(quán)DHCP服務器的接入呢?

　　首先需要對DHCP數(shù)據(jù)包使用的端口有所了解，DHCP服務主要使用的是UDP的67和68端口，服務器端應答數(shù)據(jù)包使用68端口，67端口為客戶機發(fā)送請求時使用。所以我們可以在路由器和交換機上通過訪問控制列表來屏蔽除合法DHCP服務器以外的所有DHCP應答包，也就是說將68端口封閉。具體命令為：access-list 108 deny udp any eq 68 any

　　

　　圖5

　　這種方法只對于WINDOWS操作系統(tǒng)的DHCP服務器有效，對于在其他操作系統(tǒng)上建立的DHCP服務器則無法完全過濾。而且大量的ACL也會降低路由交換設(shè)備的性能，使網(wǎng)絡(luò)速度受到一定的影響。

　　(3).在路由器/交換機上實施屏蔽

　　第一步：知道了非授權(quán)DHCP服務器的IP地址后使用ping -a ip來反向查看他的計算機主機名。根據(jù)ARP命令查詢該計算機對應的MAC地址，也可以到合法DHCP服務器上查看緩存池中該IP對應的MAC地址。 知道了MAC地址后登錄交換機執(zhí)行show mac add顯示所有MAC地址與交換機端口的對應關(guān)系。

　　

　　圖6

　　(提示：屏蔽非授權(quán)DHCP服務器一定要從MAC地址來入手，因為IP地址可以修改而且自動獲得IP的方法很多，獲得的參數(shù)也會產(chǎn)生變化。)

　　第二步：我們就可以從顯示的對應關(guān)系列表中查看到該MAC對應的端口號了，如果端口比較多還可以使用“sh mac address add 0180.c200.0005”這樣的格式來查詢0180.c200.0005這個MAC地址對應的端口。

 

　　

　　圖7

　　第三步：找到對應的端口后通過int命令進入該接口，然后使用shutdown關(guān)閉該接口，從而阻斷了該計算機與外界的聯(lián)系。

　　利用這種方式屏蔽非授權(quán)DHCP服務器當使用的是集線器連接下方設(shè)備時，會在交換機上的一個端口學習到多個MAC地址，如果我們直接將該端口通過shutdown命令關(guān)閉的話，則集線器連接的所有設(shè)備都無法使用網(wǎng)絡(luò)了。遇到這種情況我們可以使用基于MAC地址的訪問控制列表來控制。具體命令為：

　　mac accesss-list extended gslw

　　deny host 0180.c200.0005 any

　　permit any any

　　

　　圖8

　　然后在進入非授權(quán)DHCP所在的交換機端口執(zhí)行如下命令：mac access-group gslw in設(shè)置完畢后就阻止了MAC地址為0180.c200.0005的計算機對外網(wǎng)的訪問，而又不影響連接到同一臺集線器上的其他設(shè)備。

　　總結(jié)：本文重點談了移動辦公時IP地址的切換，以及從網(wǎng)絡(luò)角度保護DHCP使其更好地提供IP服務兩個方面的問題。其實，單純從保護IP地址來說可以通過地址綁定、子網(wǎng)隔離、制度規(guī)范等方面來實施。作為網(wǎng)絡(luò)管理人員大家都明白，技術(shù)不能解決所有的問題，只有技術(shù)和制度相結(jié)合才能最大可能地防范諸如IP欺騙等網(wǎng)絡(luò)攻擊行為。