网管心得——IP地址与MAC地址绑定策略

网管心得——IP地址与MAC地址绑定策略

TCP/IP网络是一个四层协议结构的网络，从下往上依次为网络接口层、网络层、传输层和应用层。

为什么要绑定MAC与IP地址，使它们一一对应呢？因为影响网络安全的因素很多，IP地址盗用或地址欺骗就是其中一个常见且危害极大的因素。网络中，许多应用都是基于IP的，比如流量统计、用户账号控制等都把IP地址作为标志用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户，网络上传输的数据就可能被破坏，甚至盗用，造成无法弥补的损失。

相对来说，盗用外部网络的IP地址比较困难，因为路由器等网络互连设备一般都会设置通过各个端口的IP地址范围，不属于该IP地址范围的报文将无法通过这些互连设备。但如果盗用的是网络内部合法用户的IP地址，这样网络互连设备显然就无能为力了。

对于网络内部的IP地址被盗用，当然也有相应的解决办法。绑定MAC地址与IP地址就是防止内部IP地址被盗用的一种常用的、简单的、有效的措施。

目前，很多单位的内部网络，尤其是学校校园网都采用了MAC地址与IP地址的绑定技术。许多防火墙(硬件防火墙和软件防火墙)为了防止网络内部的IP地址被盗用，也都内置了MAC地址与IP地址的绑定功能。

MAC与IP地址绑定原理，虽然IP地址的修改非常容易，但是MAC地址是存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。因此，为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败，并且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。