如何解决局域网IP冲突问题

韩冰

作者：蓝色烟火 转自黑基bbs原创作品版 版权归黑客基地所有, 转载请注明出处

+ o3 G+ Q( E9 F _, j/ K

网络简介 　　作为典型的企业网架构，本单位网络拓扑结构大致分为三级，并全部采用北电产品。第一级由ATM交换机组成，网络服务器、多媒体工作站等工作在主干网络上，第二级由大量的以太网交换机构成，对第三级桌面提供高密度端口。并根据划分出的VLAN（Vitual Local Area Network）提供实际的VLAN端口。网络协议采用TCP/IP，IP地址规划使用静态IP地址分配，由网管员统一规划。 " c [7 T' l: x+ Z 4 S" k$ f6 ~0 [) t " H# R# h9 D k$ Q1 d　　问题的提出 ) `% Q# |- h* { / e# [, a! C3 W- ?' O+ Y% A1 H" j　　我们知道，对于在Internet和Intranet网络上，使用TCP/IP协议时每台主机必须具有独立的IP地址，有了IP地址的主机才能与网络上的其它主机进行通讯。随着网络应用大力推广，网络客户急剧膨胀，由于静态IP地址分配，IP地址冲突的麻烦相继而来。IP地址冲突造成了很坏的影响，首先，网络客户不能正常工作，只要网络上存在冲突的机器，只要电源打开，在客户机上都会频繁出现地址冲突的提示：“如果网络上某项应用的安全策略（诸如访问权限，存取控制等）是基于IP地址进行的，这种非法的IP用户会对应用系统的安全造成了严重威胁。 & \: F1 `# g% H- I- s5 {' ] ' o n# S8 w _ 　　分析原因 . h4 `0 G; p& ]6 x- j- F0 y' b . Z; Z1 [0 n) T- F2 S 　　出现问题有时并不能及时发现，只有在相互冲突的网络客户同时都在开机状态时才能显露出问题，所以具有相当的隐蔽性。分析原因有如下几种情况可以造成IP地址冲突。 ) v m5 C! \7 f' r + o! K m9 W1 ~5 W) L: l3 M; ^/ q ' s+ ]: q3 w. i; V0 ]/ P　　1、很多用户对TCP/IP并不了解，不知道“IP地址”、“子网掩码”、“默认网关”等参数如何设置，有时用户不是从管理员处得到的上述参数的信息，或者是用户无意修改了这些信息；2、管理员或用户根据管理员提供的上述参数进行设置时，由于失误造成参数输错；3、在客户机维修调试时，维修人员使用临时IP地址应用造成；4、有人窃用他人的IP地址。 : M: @, W/ `' {# i; {0 h 4 x) A$ Q: T. @- e. o+ |! _( { " w% R1 X! L1 E + V' W7 m# r8 Y　　解决方法 4 N" |8 E3 l& D' E7 B2 `/ N & u6 |' [+ m; I+ ~ 9 k, L" _0 e' c1 X　　接到冲突报告后，我们首先确定冲突发生的VLAN。通过IP规划的vlan定义，和冲突的IP地址，找到冲突地址所在的网段。这对成功地找到网卡MAC地址很关键，因为有些网络命令不能跨网段存取。 : U% q8 ~) g, z7 y X1 v) [2 W% X$ ^& o0 ] 　　首先将客户机与网络隔离，让非法的IP地址的微机在网上运行，网管员便可以设法找到它了。应用网络测试命令有ping命令和arp命令。使用ping命令，假设冲突的IP地址为10.119.40.40，在msdos窗口，命令格式如下，其中斜体部分是命令结果。 & P" l9 n9 f4 V+ B # m1 ~0 U8 z$ M: X　　C:\WIDOWS\〉ping 10.119.40.40 5 e- M+ i* i8 @. E9 ~- T: F4 I, _ 0 O% Y# Z# [. j+ p6 a' w　　Request timed out 8 }9 V; y- T8 R' T& m ; R# g( E& x( ]2 B! F( V7 ]1 p1 f: t" Q9 l9 _ 　　Reply from 10.119.40.40 : bytes=32 time〈1ms TTL=128 略 5 X6 L! o9 E: X0 ^! @0 A 4 e4 D- N2 Q: f* l, x; _( m, X 6 f, U6 t0 H( I! ~+ q　　我们之所以要ping这台机器，是出于两个目的，首先我们要知道我们要找的机器确实在网络上，其次，我们要知道这台机器的网卡的MAC地址，那么我们如何知道它的MAC地址哪？这就需要使用第二个命令arp：arp命令只能在某一个VLAN中使用有效，它是低层协议，并不能跨路由。 ! g& B7 N7 {0 w" ~ t; a 　　C:\WIDOWS\〉arp -a - y& J) w1 R. l* T9 e5 m% S 　　Interface: ...... on Inerface ...... ; k, E- H" H7 l " H! R) E3 Y) i: F 　　Internet Address/Physical Address/Type " |% L0 [: g$ S; G 　　10.119.40.40/00-00-21-34-63-56/ dynamic 以下略 ( M3 ]4 C- l- [* e 1 g8 ~( j" d) s% C$ R8 O4 P5 | ( C' E. N! ~# |. i' j' N1 _ 9 I+ N; G$ V) J7 r. ~+ E3 n　　以上列表表示出冲突IP地址10.119.40.40 处网卡的MAC地址为00-00-21-34-63-56。接下来我们要找的是MAC地址为00-00-21-34-63-56的网卡的具体物理位置。 / e2 g, M: ]7 m1 U/ z |. K& l ! a7 e. X8 @- J t c7 p' C0 E' P　　网络简介中已经说明，每台客户机的网卡直接连接到第二级交换机上，接下来面对大量的以太网交换机，我们要查找是冲突MAC所对应交换机端口。本网络中与客户连接的设备是Bay的303/304，本文以303为例，描述如何查找某一个MAC地址所在的端口位置。Bay303的网管有多种方式，下面仅以Web浏览器方式描述查找非法MAC的方法。 ! B J% D$ l7 h) S% c & |* ^7 ?1 @; Z3 J. J4 ^* Q 　　在查找之前，首先要确定VLAN内的交换机位置，查出这些交换机的IP地址，使用交换机地址可以访问该交换机的网管信息。 6 }% j/ W% |1 t9 ?% s . G+ X" a, m) N- ?; g! [ c7 S0 a 4 r9 ?( G2 l* q& o5 V 　　* 在网管员的机器上启动浏览器 5 E! A! k+ |; Z" v/ j % k2 ]- I6 |% m8 Q' R* m1 ~1 J * c6 }# R6 z+ V* _* n' Y: b 　　* 键入交换机的IP地址 $ ?+ L, T' H& ~. W8 z: ?' ^3 i, v 9 Z+ D2 V$ z" ^+ @! c9 p1 @ 　　* 提示登陆信息后输入用户名和密码 7 e3 K/ b, M8 S ; @9 h' F; ~( X5 P) d' P* E# f' a　　* 进入“MAC Address Table”选项 ; E0 V2 U, p; a# z, _6 w+ o5 Q* V : S* G" J( E1 Y6 z ! O$ i' y" p: B9 B8 C6 Z8 {, z # F' x& _/ q$ ]$ P2 q1 ^; @ f　　显示表格如下： ) d/ C/ O9 E, | ) ^, @: F6 a5 z9 K: g5 s$ N. T. t Index/MAC address/Learned on Port/Learning Method/Filter Packets to this Address 1 8 K/ [1 r2 f1 o! u& u 2 T0 Y( \# m" \% H5 a8 b& z% g00:00:21:34:63:56 & U; m$ P' u1 O2 p! Z1 y13 6 ]: L& R) a- y) |! Z; k Dynamic 7 d8 |% X7 w* R& d! j# v, Z$ |* R6 x 9 }8 g3 O5 N9 x3 iNo % n) M3 [, c& J [+ {4 A 2 e( O& L; f* v" x1 z 6 Y+ s( @( h( V% ^ V0 U9 L , q7 O+ K6 C2 d2 ) z2 e0 F7 L2 S0 N ( N* R3 s |! G$ y8 z+ p00:00:81:65:c3:a0 + A& E' C+ C6 o) R5 _" N; K3 jN/A 8 E+ }1 m! c$ }8 W: a3 F; G 8 U; @8 Q+ G5 J; k: ?2 lStatic No 8 {8 L. G! A; K * L1 K2 d( p/ |3 ( Y0 X5 u7 _3 a5 L 00:00:a2:f7:c3:e4 ) M; D8 b7 ?" |" d& n5 S 25 " d. N; b" ~ {8 U ' r! E1 d3 k E/ L0 o- D, TDynamic No 9 t/ X1 E/ y9 g' p* \/ \, i' d8 l 4 |2 P1 J Y+ J+ n5 x 4 6 s1 c1 C% `9 u, n 00:00:21:34:63:56 " A0 j4 `9 a- O6 k ) X4 M. m1 o* }! z, D2 # }7 q G+ c) ?1 [( m% t' k ( F5 Y. Y* W* v- {Dynamic & u7 L& w# G( {) M& y1 @1 @! L& INo ' k; ]+ ]8 |% _ 5 _" k) L6 R0 s5 X( A ( ^+ M5 P. C0 {5 u* Y5 m" V以下略。 & E4 p% C c0 n J9 Q) d5 ^; T 　　此时你可以看到索引的第4项，它正是我们要查找的MAC地址，它的端口号为2。根据综合布线资料，可以查找出相应的信息点的物理位置，从而定位到所连接的微机位置。当然，在此是针对特有的交换机所举的例子，在实际工作中我们要查找很多台交换机，才能找到我们要找的MAC地址，当VLAN中存在大量的交换机时，我们需要在这些交换机中逐个去查找，直到找到为止，这是一个相当烦琐的事情。 # s7 H* [7 }8 `9 v 0 @" y8 L2 _' S" \ 　　对于某一交换机的端口中存在下联交换机的情况，因为交换机支持多个MAC地址，会在上级的MAC表中有下级MAC的记载，所以首先查找上级交换机MAC表，确定较具体位置后再去查找下一级交换机，这样会大幅度地缩减查找范围。 5 M8 w8 n7 P1 q2 M0 s5 A ' ?8 D* a: ?9 w　　管理策略 ( m/ K# u: G$ A! W " {* r% @) D7 e7 C8 @8 y　　对于局域网来讲此类IP地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须深思加以解决。目前有两种方案，一是使用动态IP地址分配（DHCP），另一种方案是使用静态地址分配，但必须加强MAC地址的管理。 6 m) a. _1 X5 i- T 　　用动态IP地址分配（DHCP）的最大优点是客户端网络的配置非常简单，在没有管理员的帮助和干预的情况下，用户自己便可以对网络进行连接设置。但是，因为IP地址是动态分配的，网管员不能从IP地址上鉴定客户的身份，相应的IP层管理将失去作用。而且使用动态IP地址分配需要设置额外DHCP服务器。 * F8 c/ p2 A0 K( Q5 [) c, w( B ]- }) t" M. X! }% K2 G5 _/ X 5 j6 k2 {6 F7 m 6 h) a0 l& M( T7 A9 F0 X　　使用静态IP地址分配可以对各部门进行合理的IP地址规划，能够在第三层上方便地跟踪管理，如果我们通过加强对MAC地址的管理，同样也会有效地解决这一问题。 2 h$ z" y$ U( T8 n3 D5 J7 F: d2 G# j " m/ Z: X- w C0 j4 ~ 3 m- j+ x* D5 E0 q# M0 X 　　在网络用户连网的同时，建立IP地址和MAC地址的信息档案，自始至终地对局域网客户执行严格的管理、登记制度，将每个用户的IP地址、MAC地址、上联端口、物理位置和用户身份等信息记录在网络管理员的数据库中。试想，在我们上述的案例中，如果知道了非法用户的MAC地址后，我们可以从管理员数据库中进行查寻，如果我们对MAC地址记录全面，我们便可以立即找到具体的使用人的信息，这会节省我们大量宝贵时间，避免大海捞针的烦恼。同时我们对于某些应用应避免使用IP地址来进行权限限制，如果我们从MAC地址上进行限制相对来说要安全的多，这样可以有效地防止有人窃取IP地址的侥幸行为。

编者：这篇文章发表后，关于文章中的内容， 讨论的很是热烈， 有兴趣的朋友可以去http://hackbase.org/bbs/viewthread.php?tid=38464参加讨论 学习， 交流， 进步才是最重要的！