想象一下,您有一个网络,其他用户可以用他们的电脑连接到该网络,您已经设置了一些规则,例如,有一个 DHCP 服务器提供地址 192.168.2.100 - .254,前 100 个地址保留给需要静态 IPv4 地址的人。
从技术上来说,如何防止有人使用其他 IPv4 地址?如何限制某人只能使用特定 IP?
例如,ISP 如何强制人们只使用分配给他们的公共 IP?例如,我在服务器机房有一台服务器,我被授予了 N 个 IPv4 地址,我收到了允许使用的所有 IPv4 地址的列表(它们都是可以通过互联网访问的公共 IPv4)。我没有尝试使用允许之外的任何其他 IP,因为这可能会违反某些规则,他们可能会关闭服务器,所以我甚至不会尝试这样做,但出于好奇,这在技术上是否可以以某种方式进行限制?如何做到?
答案1
有了合适的硬件,这很容易做到。托管交换机允许您将一个或多个 IP 分配给一个(物理)端口,并阻止来自该端口上任何其他 IP 的流量。您还可以在服务器上为每台计算机使用不同的网络接口,但这可能会增加成本。
如果没有这样的硬件,您能做的最好的事情就是 MAC 过滤并阻止来自与 MAC 无关的 IP 的流量。这可以在 Linux 上使用 iptables 来实现。但请注意,伪造 MAC 地址非常容易。
这不会阻止计算机“获取” IP,因为它仍然可以在接口上静态设置,但是使用该 IP 的所有数据包都将被丢弃,因此它不是很有用。
答案2
无法阻止计算机使用不同的 IP 地址。但是,您可以根据 MAC 地址通过 DHCP 为计算机分配特定的 IP 地址,这样当该计算机从 DHCP 服务器请求 IP 时,它们每次都会获得相同的 IP 地址。
下面我将给出一些可能性,但请记住,它不会阻止某人分配他们选择的任何静态 IP 地址并可能导致网络上出现重复的 IP。
- DHCP 预留- 这种方法将使用每台计算机的 MAC 地址来“保留”或“租用”特定 IP 地址给该设备。这不是白名单或黑名单方法,任何计算机都可以在网络上分配 IP。我相信这只用于家用路由器。
- MAC 地址过滤- 类似于 DHCP 保留,只是将 MAC 地址添加到白名单或黑名单以允许/拒绝访问网络。
编辑 :
当我进一步思考这个问题时,我发现其实有一种方法可以防止更改 IP 地址,但是不仅仅从网络方面。如果计算机位于域中,系统管理员可以通过 Active Directory 组策略锁定操作系统的各个部分,例如网络适配器设置、命令行等。
答案3
我认为这是不可能的。即使在我的家庭 pppoe 帐户中,我也设置了静态 IP,但只配置了动态 IP。唯一的问题是 IP 冲突。
答案4
在 ISP 层面,你可以给自己分配任何你喜欢的 IP 地址,但只有分配给你的 IP 地址才会路由,其余的 IP 地址不会有返回流量。他们不会禁止你,只是不起作用。
在本地,这有点棘手。也许可以阻止非 DHCP 客户端,但实际上你只是想将客户机划分为 VLAN,这样它们就不会造成任何麻烦。