查看: 18056|回复: 0

如何解决局域网IP冲突问题

字体大小: 正常放大

韩冰

823 主题	3 听众	4048 积分

我的地盘我做主

该用户从未签到

电梯直达

1^#

发表于 2004-10-4 11:58 |只看该作者 |倒序浏览

|招呼Ta 关注Ta

作者：蓝色烟火转自黑基bbs原创作品版 : |: b2 \% P' g* Q6 p% ?3 O0 P版权归黑客基地所有, 转载请注明出处

网络简介 + s9 ]6 w( m* e( ?3 m3 V 6 }9 V8 B3 K2 y; ~. m3 q1 i: y7 f, u' p9 c5 z, e 　　作为典型的企业网架构，本单位网络拓扑结构大致分为三级，并全部采用北电产品。第一级由ATM交换机组成，网络服务器、多媒体工作站等工作在主干网络上，第二级由大量的以太网交换机构成，对第三级桌面提供高密度端口。并根据划分出的VLAN（Vitual Local Area Network）提供实际的VLAN端口。网络协议采用TCP/IP，IP地址规划使用静态IP地址分配，由网管员统一规划。 0 m, S& j y4 Y e9 B# Y6 N7 K/ a7 ?! |) M0 C& e2 s# A8 Z! W 1 n0 A6 \# U! p E/ N& {5 U8 H9 o# p R: S3 M* R1 ?+ ?( } 　　问题的提出 4 f2 a- v! M; x) D0 Z) Y1 R 7 \- ^! s- m# u+ r 2 a3 V& d! ]% q2 F8 q6 B2 f5 I" v$ P　　我们知道，对于在Internet和Intranet网络上，使用TCP/IP协议时每台主机必须具有独立的IP地址，有了IP地址的主机才能与网络上的其它主机进行通讯。随着网络应用大力推广，网络客户急剧膨胀，由于静态IP地址分配，IP地址冲突的麻烦相继而来。IP地址冲突造成了很坏的影响，首先，网络客户不能正常工作，只要网络上存在冲突的机器，只要电源打开，在客户机上都会频繁出现地址冲突的提示：“如果网络上某项应用的安全策略（诸如访问权限，存取控制等）是基于IP地址进行的，这种非法的IP用户会对应用系统的安全造成了严重威胁。 2 ]; e Z# Y( P+ n& M Y/ P' k$ ? % M* O' Z" C) Z- D 4 ^8 E, f; h: @; d. J( i9 z1 U. ?2 U9 p 　　分析原因 8 a8 J# ~2 x4 g+ @7 c 6 n7 Y* {2 V( b% E( i/ o$ Z , @) d/ ^% R7 W: j4 }: p $ _' k9 m! m7 o8 u: z& e　　出现问题有时并不能及时发现，只有在相互冲突的网络客户同时都在开机状态时才能显露出问题，所以具有相当的隐蔽性。分析原因有如下几种情况可以造成IP地址冲突。 - }4 G2 S* T& T7 s, c3 n5 W ' ~! [# ?' X- i- \ l ) R8 y. [. `4 z, X3 d& v$ a 7 ]* \% @( G+ r8 s* \ 　　1、很多用户对TCP/IP并不了解，不知道“IP地址”、“子网掩码”、“默认网关”等参数如何设置，有时用户不是从管理员处得到的上述参数的信息，或者是用户无意修改了这些信息；2、管理员或用户根据管理员提供的上述参数进行设置时，由于失误造成参数输错；3、在客户机维修调试时，维修人员使用临时IP地址应用造成；4、有人窃用他人的IP地址。 4 ]6 n( B& R8 z/ P. Z3 W" t% K 4 P( O* a) E" M( o8 F . j) D# \- f8 @# s 7 Q! P8 T0 G; ^' X5 N2 E& i8 Z　　解决方法 - h1 Y' }1 X$ d& U& z % T5 a9 r8 L& _4 p$ f4 H3 Q; N$ m; K1 q! ~3 w 2 I* {* z. g! k. M0 d　　接到冲突报告后，我们首先确定冲突发生的VLAN。通过IP规划的vlan定义，和冲突的IP地址，找到冲突地址所在的网段。这对成功地找到网卡MAC地址很关键，因为有些网络命令不能跨网段存取。 ' t! U# Q1 u _5 F0 W* g 1 S- P: L% H3 f/ `) E2 X3 e & P% S; j$ P, _0 i4 ^/ f # b- W1 A0 H2 L5 o+ m　　首先将客户机与网络隔离，让非法的IP地址的微机在网上运行，网管员便可以设法找到它了。应用网络测试命令有ping命令和arp命令。使用ping命令，假设冲突的IP地址为10.119.40.40，在msdos窗口，命令格式如下，其中斜体部分是命令结果。 * \: c0 `: g2 v0 r* z. c" S 8 W% Q0 L; V6 l% J( Y. f* f+ l+ w( Y. W+ f2 R1 r. D! {1 B * d9 ?" F& t% B 　　C:\WIDOWS\〉ping 10.119.40.40 3 k5 u1 r$ ^$ n: T1 ^ ( K8 U: H4 [9 _. I) o. ? " [) W% I7 w. M# @: t) c' Z 4 |8 f0 m) f. s1 g' h 　　Request timed out / |1 M8 @3 u( O" k: a: e4 s2 K ' z/ _- W3 t( K% r % Z' ^; u7 ^: c 0 u, v1 f; B& R2 ^! @　　Reply from 10.119.40.40 : bytes=32 time〈1ms TTL=128 略 * }: B$ y+ x+ z/ V$ t) m* j9 }+ l2 J' I, s% s- C! ` ' f* j y- t$ h3 W2 a$ x2 C: T, x& ~5 X- R# i 　　我们之所以要ping这台机器，是出于两个目的，首先我们要知道我们要找的机器确实在网络上，其次，我们要知道这台机器的网卡的MAC地址，那么我们如何知道它的MAC地址哪？这就需要使用第二个命令arp：arp命令只能在某一个VLAN中使用有效，它是低层协议，并不能跨路由。 + S. q6 X5 c# o) s/ h/ T, q 4 w* U) C6 y! o _2 q , I5 Z) M8 R6 Z; U 0 w' h$ X+ b1 @) M+ r* b# e　　C:\WIDOWS\〉arp -a & d1 f' R; o+ p. ]: h 1 ?6 b& x1 U$ h5 q$ J 1 A1 t$ B/ @$ z ?: A 1 q0 d# h0 a$ F& w8 i, J　　Interface: ...... on Inerface ...... 5 y9 V4 i* B) d. n 1 S) ^5 R# Q6 l- f& w, y$ H . e Q! e$ n7 c4 i. F* e/ U6 d1 [1 ?# B9 a# `/ ^3 ?9 V" } 　　Internet Address/Physical Address/Type 1 A( l, d% U. a% |( X) p6 l: V; Q9 M; ?- ] 5 u1 V9 I. U) U* B7 q6 X; ]2 D) ]3 U# S; L/ F0 K 　　10.119.40.40/00-00-21-34-63-56/ dynamic 以下略 3 {+ J: {0 _# l, P+ P! J1 @# j' L6 `* L# B. Y. p6 f 6 U* k3 s1 {( A+ O, ]6 g' g 0 p" O( y$ ~% Y9 P3 w5 z" |3 k; P& e　　以上列表表示出冲突IP地址10.119.40.40 处网卡的MAC地址为00-00-21-34-63-56。接下来我们要找的是MAC地址为00-00-21-34-63-56的网卡的具体物理位置。 7 o: b# C3 H- S9 | * n2 |$ a/ ^# e" K 6 n7 z6 {% S! V' ^: }6 k% T* m/ V, Y: { 　　网络简介中已经说明，每台客户机的网卡直接连接到第二级交换机上，接下来面对大量的以太网交换机，我们要查找是冲突MAC所对应交换机端口。本网络中与客户连接的设备是Bay的303/304，本文以303为例，描述如何查找某一个MAC地址所在的端口位置。Bay303的网管有多种方式，下面仅以Web浏览器方式描述查找非法MAC的方法。 * d" s( \3 z+ M8 I ' o4 a q6 D, G4 e# X! H# j, U& n& H2 N. b: c t5 w4 f& F& f) F' I0 ? 　　在查找之前，首先要确定VLAN内的交换机位置，查出这些交换机的IP地址，使用交换机地址可以访问该交换机的网管信息。 5 G$ \6 K. R0 r5 A* ^& z2 d# U0 B& M1 e! E$ H8 ` 6 D3 ]( E* s5 x1 Q, {5 C2 |. Z 6 b4 ], S; r6 G G" b) i+ u- v& F　　* 在网管员的机器上启动浏览器 # i! _3 p0 ?/ U: s0 n( t# ^ n* j' h) ~ $ A+ z6 `* k4 ]9 _2 f, m# @* u+ W5 }- V% |' x ( I8 W% ^" F \5 _ Q- u　　* 键入交换机的IP地址 3 [% U- ~9 u! g/ d* H+ w; @) J4 B: ^ {9 C5 T . r* Y% ]$ N* f3 a5 O- d; ^; i6 D2 V. |9 L5 N0 M 　　* 提示登陆信息后输入用户名和密码 ' `+ [0 ~2 \2 P! X 3 A: e& u; _* Y. [. L' [ - K9 t) D8 R' u% g6 t9 N2 } f3 o2 c. A5 _" |' d- }) [6 q　　* 进入“MAC Address Table”选项 ; a/ }- f' b, t- B) S0 U4 n+ Q, w/ A! Q5 Z& ]# H! @ {0 Z m9 c 7 U+ [. i% Q/ O. P6 ?3 l$ u; q; x- ~! _+ Y: D 　　显示表格如下： ( q1 @+ `' \1 n( e0 |: Y# Y+ K" r, m) Z- m i$ o4 k4 Y" } j4 u - ~- J& i h$ U$ X$ I: z5 \2 z Index/MAC address/Learned on Port/Learning Method/Filter Packets to this Address 1/ }3 @& s' L# n# B ?5 f: n# e7 t- r/ K5 o 00:00:21:34:63:56% Q2 N \( W( ?/ F* `1 h ) t5 f `% X: n6 ^$ v2 x9 Y 13 . r1 y! j9 G9 j- u! O% z) a & E9 o2 b0 [, FDynamic" U2 J' V$ s2 n0 a8 z6 K ; N2 {- g1 q; r No 1 w$ ], e- o6 I9 Y; c9 _6 V6 {/ p& ]( P$ S8 [% u+ { 5 W" H$ J9 l' \ ' O n: q3 U+ B" K2 U' D7 W0 B0 S 2 # K" T9 R t4 i; ^ R6 K" i& [% s/ W( L% q 00:00:81:65:c3:a0 9 Z+ e, y; n6 |/ C$ p4 q- N! R3 P) C N/A & U# L9 p' _6 A$ |$ g$ F/ U# Q2 `. O# M9 K Static % @% w" Z9 ~5 e- N M' W' ^6 F+ K$ t4 T No! K) e% |) K+ ^2 \3 r, x : K# f! C( O2 \3 I/ P4 E0 ?( v, ~' E" b8 t6 S4 k 8 z. b0 ^* g/ U. q3 m3 / {7 X; J8 d: y6 C( j( k. G 2 k8 Y3 J6 C7 ^; f" a00:00:a2:f7:c3:e4 , ^8 A' m- C2 c3 Y9 @8 A$ [3 _# d/ B( q$ h M- e 25 / z8 G3 O4 p o# D* ^% c8 C& ^, \7 S; w% }9 b8 ? Dynamic3 A: t4 o. U7 F! H- n, R ' }# m8 ~' L, W/ o' {& ? No ) X% Z% v' u% t! K! M7 S+ y9 l0 F! X& g F" N, j4 ` 7 Y, Y% f, W( i 2 |5 s4 K: e( `7 y6 P" r& \: C4 ( l! \7 F) C- E& x3 v T; s8 x& c- r! c( l9 k 00:00:21:34:63:56* m4 C$ S; o! T S8 y. O( L4 y# o( I29 j! y8 l: ]8 b7 G4 K; [ 5 |* R: D( a' g3 e Dynamic2 {4 V: p9 e2 [$ i6 a( C) |7 H) e; Q; j 6 h2 [. T5 d9 ~) r+ N& b& aNo & @* P' s( x3 @' w& n: T. d% a# U / r' m$ Q( B$ n1 l2 h1 A7 Y' K / V o! R3 K( j4 f+ c + R. g- P4 Q/ Y. a: S0 ^1 F8 l. B& y' \) I( w2 C" R 以下略。 $ o z+ _) J7 ?- b8 \7 l9 a9 O0 L7 p1 w9 w/ X4 c. Y8 d/ U 　　此时你可以看到索引的第4项，它正是我们要查找的MAC地址，它的端口号为2。根据综合布线资料，可以查找出相应的信息点的物理位置，从而定位到所连接的微机位置。当然，在此是针对特有的交换机所举的例子，在实际工作中我们要查找很多台交换机，才能找到我们要找的MAC地址，当VLAN中存在大量的交换机时，我们需要在这些交换机中逐个去查找，直到找到为止，这是一个相当烦琐的事情。 & P$ w& g+ O' \+ Y- o7 \9 t. O# w1 O K8 S0 O1 D8 s0 g5 b 8 J' ]: q# e% Z' F) D- ?- ^6 P　　对于某一交换机的端口中存在下联交换机的情况，因为交换机支持多个MAC地址，会在上级的MAC表中有下级MAC的记载，所以首先查找上级交换机MAC表，确定较具体位置后再去查找下一级交换机，这样会大幅度地缩减查找范围。 ( m1 Y: K% X& p _! r# \# l' J% J1 y- k 8 T5 ]/ D+ g: a0 Q" L . ?2 X% A- I3 J k# T; u2 I/ c: X& t- m 　　管理策略 : J9 @' T' u9 r: z! x5 l/ A7 [5 N8 B: H( N 3 ?& a p0 W7 c0 l2 T 8 H& S9 P Y3 D$ K7 N; \ ?　　对于局域网来讲此类IP地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须深思加以解决。目前有两种方案，一是使用动态IP地址分配（DHCP），另一种方案是使用静态地址分配，但必须加强MAC地址的管理。 & L; i6 U) \# P6 U5 b2 p) n8 N# `3 [ 9 T& \. B; d, e* w' w) `* j! G* ?& {' P8 F! \# p" Y. c( t 6 [$ }3 U1 u* e7 F　　用动态IP地址分配（DHCP）的最大优点是客户端网络的配置非常简单，在没有管理员的帮助和干预的情况下，用户自己便可以对网络进行连接设置。但是，因为IP地址是动态分配的，网管员不能从IP地址上鉴定客户的身份，相应的IP层管理将失去作用。而且使用动态IP地址分配需要设置额外DHCP服务器。 5 X! v1 [, c; x1 K) o ' h& V& ?3 W: T2 S6 P ! z7 K' | D4 `2 U1 }8 x& @4 ?3 r9 H9 Q; P" X3 u6 I2 E" w$ m& A 　　使用静态IP地址分配可以对各部门进行合理的IP地址规划，能够在第三层上方便地跟踪管理，如果我们通过加强对MAC地址的管理，同样也会有效地解决这一问题。 0 G0 v% u- @. m . {# s1 N( [' I3 u 6 n. c6 S$ m3 ^2 |& L R2 _ v" g( t2 n# k 　　在网络用户连网的同时，建立IP地址和MAC地址的信息档案，自始至终地对局域网客户执行严格的管理、登记制度，将每个用户的IP地址、MAC地址、上联端口、物理位置和用户身份等信息记录在网络管理员的数据库中。试想，在我们上述的案例中，如果知道了非法用户的MAC地址后，我们可以从管理员数据库中进行查寻，如果我们对MAC地址记录全面，我们便可以立即找到具体的使用人的信息，这会节省我们大量宝贵时间，避免大海捞针的烦恼。同时我们对于某些应用应避免使用IP地址来进行权限限制，如果我们从MAC地址上进行限制相对来说要安全的多，这样可以有效地防止有人窃取IP地址的侥幸行为。 ^4 a+ F: V: x- m