如何防止未经授权的电脑分配到IP地址 ( 积分: 100 )

单位有一个较大的局域网，有60多台电脑，两台服务器作为域服务器，同时作为DNS和DHCP服务器，所有电脑都加入到域，通过DHCP得到动态IP地址。现在有某部门私自接入了几台电脑（未加入到域），影响了网络安全，请问怎样使DHCP服务器不分配地址给这几台电脑?
另外他要是用静态IP地址怎么办？

单位有一个较大的局域网，有60多台电脑，两台服务器作为域服务器，同时作为DNS和DHCP服务器，所有电脑都加入到域，通过DHCP得到动态IP地址。现在有某部门私自接入了几台电脑（未加入到域），影响了网络安全，请问怎样使DHCP服务器不分配地址给这几台电脑?
另外他要是用静态IP地址怎么办？

在GOOGLE里面搜索

dhcp IP mac 限定 静态

把那几个电脑的mac邦定，然后在出口的地方限制这个几个IP地址

http://www-lib.lctu.edu.cn/ywzx/dispbbs.asp?boardID=56&RootID=3658&ID=3658

捆绑MAC地址和IP地址实例

--------------------------------------------------------------------------------
发布时间:2002-07-31 10:51:00 来源:

--------------------------------------------------------------------------------

　　在网络管理中，IP地址盗用现象经常发生，不仅对网络的正常使用造成影响，同时由于被盗用的地址往往具有较高的权限，因而也对用户造成了大量的经济上的损失和潜在的安全隐患。有没有什么措施能最大限度地避免此类现象的发生呢？为了防止IP地址被盗用，可以在代理服务器端分配IP地址时，把IP地址与网卡地址进行捆绑。

　　对于动态分配IP，做一个DHCP服务器来绑定用户网卡MAC地址和IP地址，然后再根据不同IP设定权限。对于静态IP，如果用三层交换机的话，你可以在交换机的每个端口上做IP地址的限定，如果有人改了自己的IP地址，那么他的网络就不通了。我们现在针对静态IP地址的绑定讲解一个实例。

　　查看网卡MAC地址

　　先点击“开始”选择“运行”，然后在里面输入Winipcfg命令，这就可以查出自己的网卡地址.

　　记录后再到代理服务器端让网络管理员把您上网的静态IP地址与所记录计算机的网卡地址进行捆绑。具体命令是：

　　ARP -s 192.168.0.4 00-EO-4C-6C-08-75

　　这样，就将您上网的静态IP地址192.168.0.4与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了，即使别人盗用您的IP地址192.168.0.4也无法通过代理服务器上网。其中应注意的是此项命令仅在局域网中上网的代理服务器端有用，还要是静态IP地址，像一般的Modem拨号上网是动态IP地址就不起作用。接下来我们对各参数的功能作一些简单的介绍：

　　ARP ?-s?? -d??-a?

　　-s——将相应的IP地址与物理地址的捆绑。

　　-d——删除所给出的IP地址与物理地址的捆绑。

　　-a——通过查询Arp协议表来显示IP地址和对应物理地址情况。

　　作为一个网络管理人员，如果对MAC地址和IP的绑定能灵活熟练的运用，就会创建一个十分安全有利的环境，可以大大减小安全隐患。　专题推荐



http://blog.verycd.com/tanyh/cmd=showentry&eid=11083


IP与MAC的捆绑
　　MAC地址是网卡的惟一标识，这种惟一性恰好给网络管理带来了福音，因为通过捆绑IP和MAC地址，就可以轻松防止局域网中IP地址盗用现象，阻止非法入侵者。

　　对于动态IP，做一个DHCP服务器来绑定用户网卡MAC地址和IP地址，然后再根据不同IP设定权限；对于静态IP，如果用三层交换机的话，你可以在交换机的每个端口上做IP地址的限定，这样如果改变某台客户端的IP地址，这台PC也就不能连通网络了。

　　以静态IP地址的绑定为例，实现一下上面的高招吧：假设此时的网卡MAC地址为44-45-53-54-00-00。假设我们在Windows 98操作系统中，启动虚拟DOS后，键入"ARP空格-s空格192.168.0.66空格44-45-53-54-00-00"，回车。这样实现了静态IP地址192.168.0.66与网卡地址为44-45-53-54-00-00的计算机的捆绑，接下来我们看看ARP常用参数表。




　　特别提示：ARP命令仅在局域网中上网的代理服务器端有用，还要是静态IP地址。如果你是一名网络管理员，就必须对MAC地址和IP的绑定运用自如，这样才能杜绝很多隐患。

　　MAC的大修大改

　　MAC地址神圣不可侵犯！但是，对于更换了新网卡的朋友，难道真的就不能使用原来的IP了吗？还是有办法的。

　　以常用的Windows 2000/XP为例：第一步，单击"开始"→"运行"→输入"Regedit"，打开注册表编辑器，按Ctrl+F打开查找窗，输入"DriverDesc"单击确定。

双击找到的内容,即为你要修改的网卡的信息描述，左边数形列表显示当前主键（比如0000）。第二步，在相应的0000下新建一串值，命名为NetworkAddress，键值设为你要的MAC地址，注意要连续写，如112233445566。 第三步，重新启动计算机，你就会发现网卡MAC地址已经改变为你所设置的地址。然而，如果你要经常改换地址的话在注册表里改来改去的方法就实在是太繁琐了。不用担心，再进行下面两项修改后你就会发现以后修改MAC地址竟是如此简单！第四步，在相应的0000下的Ndi/Params中加一项，主键名为NetworkAddress，然后在该主键下添加名为default的串值，其值设为你要设的MAC地址，同样也要连续地写。第五步，在NetworkAddress主键下继续添加名为ParamDesc的字符串，其值可设为"MAC Address"。

　　全部设置完成了，关闭注册表，重新启动计算机，打开"网络邻居"的属性，选择相应的网卡，单击"属性"选择"高级"选项卡，属性中会多出MAC Address的选项，也就是在上面第二步在注册表中添加的NetworkAddress项，以后只要在此处的设置值中修改MAC地址就可以了。 Windows 9x的修改方法很类似，在这里我们就不做讨论了。

　　总算把MAC地址的东西完完整整地介绍给大家了。值得提醒大家的是，修改本机MAC地址前一定要把原地址记录下，或者备份注册表，否则需要原地址的时候只能重新安装了。而对于自行修改MAC地址入网，网管员还是有办法侦测出来的。因此，换网卡后别忘记跟网管打个招呼哟。

这些我早就看过了，但是和我的问题没什么关系，我需要的是让这几台电脑不能访问局域网的其他电脑，也就是不让它能自动获取IP地址，而不是仅仅限制它代理上网。
具体说吧，配置好DHCP后，在工作站上网卡设置为自动获取IP地址，启动后自动从DHCP得到一个IP:192.168.0.31，如何让它不能获得IP?能否根据它的MAC地址，或者更高级一些，判断它不是域成员来限制它？
如果这个问题解决了，那他手动设置一个IP:192.168.0.60，又可以上网了，这又怎么解决

有一些共享软件可以用,原理就是只要联网,那么机器的MAC地址必定被广播出去,接收到非法MAC地址之后.可以使用MAC地址冲突来使对方不能联网。具体你自己去搜。

我知道“网络执法官”可以，但我想在DHCP服务器上设置能做到吗？

没弄过，以前公司是把网络隔离的，两个不同的子网，限定之后就只能收发邮件，估计不光是DHCP可以搞定的

如果DHCP可以，我想那些共享软件应该没有市场的。虽然对DHCP不熟悉，不过可能性不大。

不让访问局域网的其它电脑还有很多别的方法，一定要靠限制IP来实现吗？？？？

在三層交換機或路由器上設定﹐你自已查一下。有的二層交換機上也可以。具體也不是很清楚。

他们部门上级分配了两台电脑，加入了域，这是必须要有的，他们自己又私自加了1个hub和4台电脑，这几台没有加入域，并且还有一台是双网卡，接到了互联网上，这就严重威胁了内部网的安全。
to zjan521:我觉得dhcp应该可以做到，毕竟我说的这个针对性很强，从dhcp地址列表里可以看到dhcp服务器能分辨出哪些电脑不是域成员，并且还有mac地址，用arp欺骗之类虽然能达到目的，但总有一点旁门歪道的感觉，限制分配IP地址才是王道啊，呵呵，扯远了。
to app2001:能举出一个方法出来么？以目前这种状态，即使他不访问内部网的其他电脑，也会对网络安全造成很大影响，比如它感染了震荡波、狙击波病毒怎么办？另外前几天没查出来，不知道是谁把一台电脑的ip设成和文件服务器的ip一样，影响了正常的访问。
to hhmyz:我看了交换机的说明书，能做到端口和MAC地址的邦定，但是很麻烦，我还没试过，并且他们六台电脑通过hub接到交换机的一个端口上，这样也能行吗？
刚才试了一下网络执法官，功能的确很强，要是域服务器集成这些功能该多好啊

如果有三层设备可以做 ACL（访问控制） 即可！
否则比较麻烦！

可以限制同一个端口只能有一个MAC(二层交换机有的也支持)

制度是关键.公司还好点.如果是军队,办公网和互联网互联,被上级查出来,要处理的.因此制度是关键,技术仅仅是辅助,避免好奇而犯错误.
你已经这么清楚具体情况,那么通过某种途径反映.或者向上级建议举办一次网络安全的学习.这样比较好.而如果你仅仅通过技术手段,如果你的手段不是很完善,双方形成相互斗法的局面,这才是最不好的,网络安全不说,还会影响到人际关系.
公事着公办

我也认为制度是关键，还有关于冲击波和震荡波的之类和限定不能上网这些的话，可以通过在单位的外网总接入口加装路由器来进行设定是可以做到指定IP上网，和防止冲击波和这样的病毒攻击的一些功能的，我现在自己用一台老机子和从网上找的软路由改装了一台路由器来用，加在我们的ADSL后面，现在用起来，感觉上还可以的.关于这些功能的问题，你可上
http://bbs.router.net.cn/
http://www.routerclub.com/
去找问题，会得到一些较专业的咨询

多人接受答案了。