查看: 18054|回复: 0

如何解决局域网IP冲突问题

字体大小: 正常放大

韩冰

823 主题	3 听众	4048 积分

我的地盘我做主

该用户从未签到

电梯直达

1^#

发表于 2004-10-4 11:58 |只看该作者 |倒序浏览

|招呼Ta 关注Ta

作者：蓝色烟火转自黑基bbs原创作品版 U& {. I8 `9 M5 T 版权归黑客基地所有, 转载请注明出处

网络简介 0 c( E8 ?) O4 e2 h" J- S' n1 H" k; V 1 A) b7 U' q' d- `　　作为典型的企业网架构，本单位网络拓扑结构大致分为三级，并全部采用北电产品。第一级由ATM交换机组成，网络服务器、多媒体工作站等工作在主干网络上，第二级由大量的以太网交换机构成，对第三级桌面提供高密度端口。并根据划分出的VLAN（Vitual Local Area Network）提供实际的VLAN端口。网络协议采用TCP/IP，IP地址规划使用静态IP地址分配，由网管员统一规划。 - g6 @# u. [6 f" \ \9 p ; i9 s& T; A1 ~* W( } 4 [" n, l- Z/ }! ? 3 @; r1 Y! y7 f9 Z　　问题的提出 4 L7 Z H a4 C: M0 j: q6 } 7 Z4 H$ v! Z' A! F% D6 p+ b7 Q# R" F o6 {! p- H 　　我们知道，对于在Internet和Intranet网络上，使用TCP/IP协议时每台主机必须具有独立的IP地址，有了IP地址的主机才能与网络上的其它主机进行通讯。随着网络应用大力推广，网络客户急剧膨胀，由于静态IP地址分配，IP地址冲突的麻烦相继而来。IP地址冲突造成了很坏的影响，首先，网络客户不能正常工作，只要网络上存在冲突的机器，只要电源打开，在客户机上都会频繁出现地址冲突的提示：“如果网络上某项应用的安全策略（诸如访问权限，存取控制等）是基于IP地址进行的，这种非法的IP用户会对应用系统的安全造成了严重威胁。 ; K& P+ J$ I1 J1 g 3 Y# X7 Y7 Z7 b' G1 u N # R+ ^, `: C+ S- c) ]: g) z ' h5 K9 T) D& Z x! _' q7 I　　分析原因 ! e$ e1 x' {5 Y R/ G 5 u0 P3 D% f# y. D2 {( @6 w 6 X1 s$ `% x7 X1 X/ P }# p; C! V : [; g; s7 _3 a9 W0 d% t8 I- b　　出现问题有时并不能及时发现，只有在相互冲突的网络客户同时都在开机状态时才能显露出问题，所以具有相当的隐蔽性。分析原因有如下几种情况可以造成IP地址冲突。 H0 \) D8 T- X, c8 t" i; b$ i( P. |$ C0 P% W, ?8 o; s" A* E( o% d6 A & g1 t4 o+ Z0 p' U6 V& k- u0 Z- a. J 　　1、很多用户对TCP/IP并不了解，不知道“IP地址”、“子网掩码”、“默认网关”等参数如何设置，有时用户不是从管理员处得到的上述参数的信息，或者是用户无意修改了这些信息；2、管理员或用户根据管理员提供的上述参数进行设置时，由于失误造成参数输错；3、在客户机维修调试时，维修人员使用临时IP地址应用造成；4、有人窃用他人的IP地址。 & p( v) w1 a- x1 l- H6 y# R & l/ L& M2 E5 J4 V% m% `, Y7 `' ~+ S c. } ) X' A0 T& a% l, f　　解决方法 2 k7 v, g2 K# A8 m" ^) _ P0 t2 n - e- W9 H0 c4 F5 X' A: l2 Y8 ?0 y ! i5 L' \$ ]( n: \3 Y" p3 D8 X' [5 ~6 Z. f 　　接到冲突报告后，我们首先确定冲突发生的VLAN。通过IP规划的vlan定义，和冲突的IP地址，找到冲突地址所在的网段。这对成功地找到网卡MAC地址很关键，因为有些网络命令不能跨网段存取。 / H/ d, [, V9 U) ` ; x: I; l7 U2 `. i) w6 V # l7 {2 ^/ S0 h' S- k2 b5 p $ K }( ~* E1 A9 \# k　　首先将客户机与网络隔离，让非法的IP地址的微机在网上运行，网管员便可以设法找到它了。应用网络测试命令有ping命令和arp命令。使用ping命令，假设冲突的IP地址为10.119.40.40，在msdos窗口，命令格式如下，其中斜体部分是命令结果。 " Z5 c. Z; U+ a% t4 \9 A F& c . I8 y* m/ K: ^- ` ! B1 ~: L4 A/ X. }; k7 U4 A + z& t- G. i8 n5 X2 n/ m- B　　C:\WIDOWS\〉ping 10.119.40.40 . @& u& U$ |0 f# M( i: C4 _ J % ^- u0 `4 ?: ?6 o, ?: G6 M 9 n$ _ r8 Q. [* c1 h5 D. ^; D% D7 m7 d3 u8 Y5 V8 M' f. _ 　　Request timed out 4 n3 K$ ?* W; a, W: j! M( G 8 w: e; G: F+ {7 k$ M7 f3 l . q7 U$ F% V0 Q* K - X# M# _* _+ c3 C3 E　　Reply from 10.119.40.40 : bytes=32 time〈1ms TTL=128 略 / b! N7 k$ P) u # D, f- ]6 ^; x$ ?5 l! g/ h& ?+ `. b6 s1 r H% Q * X9 w$ v; k: J z# o 　　我们之所以要ping这台机器，是出于两个目的，首先我们要知道我们要找的机器确实在网络上，其次，我们要知道这台机器的网卡的MAC地址，那么我们如何知道它的MAC地址哪？这就需要使用第二个命令arp：arp命令只能在某一个VLAN中使用有效，它是低层协议，并不能跨路由。 * b+ z/ Q" s# ] r9 S 7 b8 d# m$ S$ K7 P2 g& P: }5 R1 J" x& i7 r 6 k6 A( _ I* J$ F$ l+ Y 　　C:\WIDOWS\〉arp -a ; |$ B. p& {' t! n ; X& h# @1 R1 |7 [% Y3 }+ Z) q7 ^2 I& s0 Y+ E2 I2 _) V# ` " W( Y* k) ~5 W% Y$ S" ~9 d X( ?7 ] 　　Interface: ...... on Inerface ...... 1 C5 ]0 o/ O* t! Y0 S4 G- {: @0 i3 H# Y/ |5 C8 K 9 ~8 i% K0 e8 O) U, ^/ x$ O9 @; K6 L0 ?+ ] 　　Internet Address/Physical Address/Type 4 M- k9 U6 k! @ # Q7 i8 a1 u1 q * U a' \+ _: H9 g: x4 s5 e . m' a7 x( O8 a6 j　　10.119.40.40/00-00-21-34-63-56/ dynamic 以下略 0 O3 h9 b# |! f% _. \5 h5 n& q d( }. W) W; C R- z2 G - O" }6 t9 K! p5 V A9 R0 f; Z- r8 X l　　以上列表表示出冲突IP地址10.119.40.40 处网卡的MAC地址为00-00-21-34-63-56。接下来我们要找的是MAC地址为00-00-21-34-63-56的网卡的具体物理位置。 e2 ~" A3 S1 t+ U9 p , O/ B) h( W/ X7 P* M; m+ Q9 h Y$ d 5 c' E) A5 a) t 6 |$ J8 E9 s2 S) s, P- z　　网络简介中已经说明，每台客户机的网卡直接连接到第二级交换机上，接下来面对大量的以太网交换机，我们要查找是冲突MAC所对应交换机端口。本网络中与客户连接的设备是Bay的303/304，本文以303为例，描述如何查找某一个MAC地址所在的端口位置。Bay303的网管有多种方式，下面仅以Web浏览器方式描述查找非法MAC的方法。 4 t% ]4 ~( j9 T3 C r0 z 2 }. q# S1 o, _3 x9 P9 [9 P# D . k7 ~( ]5 O) l: k 0 W8 y1 N+ K |) n% B y1 s　　在查找之前，首先要确定VLAN内的交换机位置，查出这些交换机的IP地址，使用交换机地址可以访问该交换机的网管信息。 ) m) k5 _ f6 J- k) E( ?$ V6 P " l+ O8 H# L& \6 K) C9 d3 J7 e% Q4 d4 X) E / c2 s7 o. K$ w& o7 {　　* 在网管员的机器上启动浏览器 ' {; j' [4 D! [: |. c7 f; Y1 ` ! v3 P( N$ \0 S. U& `% [- ?* ] ' G7 {& V: m, S+ P5 v( A$ X/ j1 @: p; q0 \ 　　* 键入交换机的IP地址 4 z" H2 M* w' ~2 y0 U3 l% T2 S ( h8 @( E; o/ j5 a7 e, d # q# m) ~/ V; P& V, W- O( r# O& g+ B' |# a) F( j. j' Q( I 　　* 提示登陆信息后输入用户名和密码 3 _$ @) _) s. N3 ] # H* @* `' f0 c0 A7 B 9 i3 j( O3 B# m3 U n! G9 A , p! \' M) ]3 \2 |　　* 进入“MAC Address Table”选项 / I6 s8 k/ y. S8 A; g 7 }7 }6 R+ n% T, w 3 N$ \4 G, i; D# v8 a 8 v, g# A2 m/ Q4 o4 B　　显示表格如下： & F( A0 L& Y& a$ }/ N* \ p4 [# Q1 Q: h* y( V. U4 W " R% ^0 O) ^% p 6 f4 y- k# \* m% K Y o2 B Index/MAC address/Learned on Port/Learning Method/Filter Packets to this Address 1; u3 j) O( O, g' w - k, @( L: o1 O. p; |: B; J 00:00:21:34:63:56 e/ y$ x7 v$ C& p( \ 0 C( E/ ^& T( {5 H5 M 130 V( } g+ _' k6 L" E" \" C I9 Q ) a( u1 T5 f4 M. i1 Y- z: q7 P Dynamic 1 w' w8 @( e x' z% e6 X$ h1 d1 d$ {7 H- f7 y$ y No " a" |' r0 i9 V: X; N8 v& [ G! L+ [ 9 H3 O4 ?. `% ~* r/ V) Z4 l3 s t! C2 f. Q0 L7 d: \0 L0 u 2 6 W* a2 b7 U9 { l a. q' w: l% Z00:00:81:65:c3:a0( w$ L6 f% m" P . g3 O5 [+ s! U1 C1 ^* F N/A 9 ~4 p X$ G# a- n& k- l% c8 H8 x; Q- T1 v& s Static , ]+ F; J0 y5 J' U) G, Z; _6 D* q( B6 e W7 L' Y No " U9 ~* R: o* z, z8 A1 N% x0 p- \2 m7 p9 i 8 \0 D0 s' B r $ k6 @' V C2 |, b$ ~" E 3 & x' L- e$ y2 a9 W7 v# v 2 [$ h1 d/ \$ N" _% }) b% @ L5 V00:00:a2:f7:c3:e4 $ w1 U6 o z' k, y, O, V) V4 u" ?4 d/ v2 x4 q 25# o3 {" y# _, f+ n5 @! L3 \5 t / Y( v8 v! }: PDynamic- _( l. E1 B) a( S) E/ H! V ? + `6 i4 }$ w# ], o" mNo " l( u- d7 x. Z' I; J- I* `3 N5 p( D% r: H! v: S& f! F , S7 N# E K, F7 ~6 F 3 a+ ~9 r& F9 y9 k8 L( M7 S 4: \/ r' k4 C- L, }7 y B& A d- C) v2 |9 q; m/ j) a00:00:21:34:63:569 }. F# k, l& _, F4 P" | " h$ U( p* e/ A! d2. }# E0 {: z# n4 X2 r- t; Q: ]+ A # L( U7 n) r* P5 E) H Dynamic 4 V+ Y, `2 g0 v) S/ p/ e8 W- f, ^ - |+ l) ? J7 E" u% tNo 3 \# g# w% d0 i3 s" u" l6 Q % P s# `7 |6 M V. m" t; e6 |& F* x1 R' D/ b0 |3 O3 K8 j & a# v8 k# o, p0 S4 L 5 ?8 z& L* C8 ^, E 9 e, a% _0 F# H以下略。 7 B2 s. }% v8 z7 x: G7 X& K* b# X$ A, n7 B. L& H 　　此时你可以看到索引的第4项，它正是我们要查找的MAC地址，它的端口号为2。根据综合布线资料，可以查找出相应的信息点的物理位置，从而定位到所连接的微机位置。当然，在此是针对特有的交换机所举的例子，在实际工作中我们要查找很多台交换机，才能找到我们要找的MAC地址，当VLAN中存在大量的交换机时，我们需要在这些交换机中逐个去查找，直到找到为止，这是一个相当烦琐的事情。 9 }( I q' q' { M* i ; s ?( J$ }, g# u" o7 O) v& {! ~4 ~& g3 T5 M 8 y/ S2 \, ]/ T" H　　对于某一交换机的端口中存在下联交换机的情况，因为交换机支持多个MAC地址，会在上级的MAC表中有下级MAC的记载，所以首先查找上级交换机MAC表，确定较具体位置后再去查找下一级交换机，这样会大幅度地缩减查找范围。 1 a2 n. R [9 C9 d9 ^/ f& S 1 U& f" c; u! U1 y6 y8 x! ] , v5 B' D& J* E! \' |- ]. P8 n6 D1 [6 }& ?. j& c 　　管理策略 ) e3 v" I' L, } & d# B$ L! B" L( S+ J- z 3 J/ @# }, p; X! ~* ]) S7 Z/ R( J) ]0 Y+ U4 G2 Q 　　对于局域网来讲此类IP地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须深思加以解决。目前有两种方案，一是使用动态IP地址分配（DHCP），另一种方案是使用静态地址分配，但必须加强MAC地址的管理。 8 g- {3 d9 {4 W* q' H1 T9 U. C, S4 n# A - Y$ H$ y: d. b! }+ k9 h 3 Z# R# H/ I. L' n　　用动态IP地址分配（DHCP）的最大优点是客户端网络的配置非常简单，在没有管理员的帮助和干预的情况下，用户自己便可以对网络进行连接设置。但是，因为IP地址是动态分配的，网管员不能从IP地址上鉴定客户的身份，相应的IP层管理将失去作用。而且使用动态IP地址分配需要设置额外DHCP服务器。 % o" _" z: Y5 s 4 _: G& O5 {$ w6 m0 \( ?9 G9 \, _ ' C9 _" j/ i0 c 0 {# Y h) I3 d; z- S$ ]　　使用静态IP地址分配可以对各部门进行合理的IP地址规划，能够在第三层上方便地跟踪管理，如果我们通过加强对MAC地址的管理，同样也会有效地解决这一问题。 & ?" d! |9 e. l; Q# k7 u( { 8 k2 O. C/ F0 e; C; b$ R, ~! A+ ^ ! q; S0 G K$ L4 N3 e- n/ \　　在网络用户连网的同时，建立IP地址和MAC地址的信息档案，自始至终地对局域网客户执行严格的管理、登记制度，将每个用户的IP地址、MAC地址、上联端口、物理位置和用户身份等信息记录在网络管理员的数据库中。试想，在我们上述的案例中，如果知道了非法用户的MAC地址后，我们可以从管理员数据库中进行查寻，如果我们对MAC地址记录全面，我们便可以立即找到具体的使用人的信息，这会节省我们大量宝贵时间，避免大海捞针的烦恼。同时我们对于某些应用应避免使用IP地址来进行权限限制，如果我们从MAC地址上进行限制相对来说要安全的多，这样可以有效地防止有人窃取IP地址的侥幸行为。; l9 v! O9 S& s% J% B! ?% o