查看: 18033|回复: 0

如何解决局域网IP冲突问题

字体大小: 正常放大

韩冰

823 主题	3 听众	4048 积分

我的地盘我做主

该用户从未签到

电梯直达

1^#

发表于 2004-10-4 11:58 |只看该作者 |正序浏览

|招呼Ta 关注Ta

作者：蓝色烟火转自黑基bbs原创作品版 3 q' C& n. w, l4 z1 ?3 j! X* a6 u# o* u版权归黑客基地所有, 转载请注明出处

网络简介 - r9 [" C$ n0 q* a: x1 L3 W9 b % y6 @5 Q- }: i) E6 n" o9 E2 t ) U) L" z! |1 r( b# N; K* e# Y　　作为典型的企业网架构，本单位网络拓扑结构大致分为三级，并全部采用北电产品。第一级由ATM交换机组成，网络服务器、多媒体工作站等工作在主干网络上，第二级由大量的以太网交换机构成，对第三级桌面提供高密度端口。并根据划分出的VLAN（Vitual Local Area Network）提供实际的VLAN端口。网络协议采用TCP/IP，IP地址规划使用静态IP地址分配，由网管员统一规划。 3 S7 g" h5 b! X2 |7 Y$ G1 M 8 A4 B4 v% @6 ~& r2 H3 Z: P. p) e) M+ B4 t 2 D% R8 a( e- G. O1 F- _ 　　问题的提出 * ^7 d7 ?; ?. q: R# U" |4 j+ z* x6 d" k- Z " L9 [1 x6 r: t9 [　　我们知道，对于在Internet和Intranet网络上，使用TCP/IP协议时每台主机必须具有独立的IP地址，有了IP地址的主机才能与网络上的其它主机进行通讯。随着网络应用大力推广，网络客户急剧膨胀，由于静态IP地址分配，IP地址冲突的麻烦相继而来。IP地址冲突造成了很坏的影响，首先，网络客户不能正常工作，只要网络上存在冲突的机器，只要电源打开，在客户机上都会频繁出现地址冲突的提示：“如果网络上某项应用的安全策略（诸如访问权限，存取控制等）是基于IP地址进行的，这种非法的IP用户会对应用系统的安全造成了严重威胁。 ) b" i, D- m# g/ Z6 i1 t( H5 x 5 A; a' C- A' T5 T) H' A + h! m1 Q6 x) ]4 V" U# n ' m& e1 V5 {. J" L+ `; q 　　分析原因 7 v R8 b6 Y2 G- i( C- L6 ] 8 i6 O) Y0 F9 O" U% D# p ; `0 k# f4 d9 g' ?% k+ r w 0 u; C3 c4 g9 J% T" t! s; j) Q$ g　　出现问题有时并不能及时发现，只有在相互冲突的网络客户同时都在开机状态时才能显露出问题，所以具有相当的隐蔽性。分析原因有如下几种情况可以造成IP地址冲突。 : b" Q& _) e, W% C( m' g% T 2 N8 ^2 h. B4 m * A! `* q7 ~+ e5 l0 t+ f ) P# M2 E" R/ G5 P! y* b% A6 N　　1、很多用户对TCP/IP并不了解，不知道“IP地址”、“子网掩码”、“默认网关”等参数如何设置，有时用户不是从管理员处得到的上述参数的信息，或者是用户无意修改了这些信息；2、管理员或用户根据管理员提供的上述参数进行设置时，由于失误造成参数输错；3、在客户机维修调试时，维修人员使用临时IP地址应用造成；4、有人窃用他人的IP地址。 ; B) {; c: Y G0 w: ]# c & c' U, e8 @2 R# [ & w( f4 i6 D- {* O" i / [! t/ N! I$ w. [: G3 C　　解决方法 + c' e3 [! s% \: t , x5 B1 ~& g) z- N- T9 C 8 G" X8 I( }5 K; @; ?, ~7 {" j( h ( r8 `- u2 ?% [- L0 d% B6 e( Y 　　接到冲突报告后，我们首先确定冲突发生的VLAN。通过IP规划的vlan定义，和冲突的IP地址，找到冲突地址所在的网段。这对成功地找到网卡MAC地址很关键，因为有些网络命令不能跨网段存取。 ! {! x, b" Y* z2 E! C2 n ) E) j1 a# b, B; u ! o* _& M4 J% E4 A% I5 |- o9 h 2 l1 ]1 q& R0 {& u( G2 \; G0 N　　首先将客户机与网络隔离，让非法的IP地址的微机在网上运行，网管员便可以设法找到它了。应用网络测试命令有ping命令和arp命令。使用ping命令，假设冲突的IP地址为10.119.40.40，在msdos窗口，命令格式如下，其中斜体部分是命令结果。 2 T) c3 |6 P; d* D* \ 6 n+ f3 j G- H$ }- V& Z+ g) y8 i3 h% ]5 ~' M5 [! u 5 }1 K4 V$ n9 ^7 ?6 U, t7 o 　　C:\WIDOWS\〉ping 10.119.40.40 ; x! E/ ?+ Z9 E 0 C7 d$ v& y* T6 y+ @ , }# t/ O2 Y7 e1 E+ Z( r; g% g# E1 C: t! n# x4 y 　　Request timed out 8 [: V- Z- p! @2 s- S2 @, R$ @9 h4 y ' ?7 t) x- j6 j% \5 F ' c( w8 }$ Q# {" s 2 x r" R$ E" V, w' y* W; D2 u6 B　　Reply from 10.119.40.40 : bytes=32 time〈1ms TTL=128 略 , h; ~. t e' V. ^) i % H3 A& x1 r; K1 G- c. c, F* a- b8 |, d. D ?- P 7 H0 O4 y$ z! X/ Z) y+ a! i4 \1 B 　　我们之所以要ping这台机器，是出于两个目的，首先我们要知道我们要找的机器确实在网络上，其次，我们要知道这台机器的网卡的MAC地址，那么我们如何知道它的MAC地址哪？这就需要使用第二个命令arp：arp命令只能在某一个VLAN中使用有效，它是低层协议，并不能跨路由。 . h/ Y3 _' Q4 ]: x ; T9 I z) s& Z" e' b- C% E( P# h4 m, p5 c3 O $ D: g. c9 L& x7 a& R　　C:\WIDOWS\〉arp -a & O1 {' l @. \ 4 h9 A* l. v! E0 E: V+ q . {9 }9 x- |. Q" C/ N+ p* S+ c; A- g' O2 }# n 　　Interface: ...... on Inerface ...... * R/ f2 u6 P4 Y' a T1 w : w( Y' s! B. ~2 m* x8 B6 ] ( w8 a$ M4 e! B. y! L& B9 J 8 j8 ~1 N* D% X/ X8 P' X　　Internet Address/Physical Address/Type ' }# q8 [: F; Z, r% _ u( ^5 L! P9 s" l' _$ R: t! Y % ]8 J) V7 e9 w* T3 M+ Q" N a( O1 k" O; U. { 　　10.119.40.40/00-00-21-34-63-56/ dynamic 以下略 ; O' ^% H! |4 v5 Z ; W" {7 o5 M3 } / ^ _( g/ [" m- p8 p+ I7 T' k) k* c" }0 p/ e! x- t' P: y: B A 　　以上列表表示出冲突IP地址10.119.40.40 处网卡的MAC地址为00-00-21-34-63-56。接下来我们要找的是MAC地址为00-00-21-34-63-56的网卡的具体物理位置。 ' E6 z" `$ f6 ~. ^! X s2 Q, L' i2 q+ _/ x8 K; o : C2 o6 ~* v5 X# x0 d6 U6 _ * d! d% \! ^. O( u/ ?/ y" V 　　网络简介中已经说明，每台客户机的网卡直接连接到第二级交换机上，接下来面对大量的以太网交换机，我们要查找是冲突MAC所对应交换机端口。本网络中与客户连接的设备是Bay的303/304，本文以303为例，描述如何查找某一个MAC地址所在的端口位置。Bay303的网管有多种方式，下面仅以Web浏览器方式描述查找非法MAC的方法。 5 z# T; M- Y! n. { % z% g' u V- @: y) M( n: s+ H6 u9 v% r& W2 R7 l # l8 G* Y4 T% x) r3 ~# t# }　　在查找之前，首先要确定VLAN内的交换机位置，查出这些交换机的IP地址，使用交换机地址可以访问该交换机的网管信息。 5 e& g2 H3 ^+ t4 z! Z7 K2 C: c, \ + K+ `* p. M/ X' I d: t. g! u% [% B- s9 C- U' l) X 　　* 在网管员的机器上启动浏览器 ' e; b9 J7 U3 I* t# w; i" x$ F9 g7 T$ v0 ?5 K0 L+ L1 @; c ; ]" f6 }: V/ ~3 y% q9 q$ E$ X- V3 K/ j. j, Y1 T 　　* 键入交换机的IP地址 6 D1 o! O7 p2 E& d3 b" e- ]- J4 ^ 3 h. r7 @! {; J5 J# Z) K } , l% m7 s* R- v9 Z% d% \0 f 　　* 提示登陆信息后输入用户名和密码 4 D- g2 A! i I$ w+ l* X9 ^& w4 T! Q! k& ^+ f; ~ ) E( ?5 H" G! {/ y$ k) K: D% i" V# w/ m& A$ b 　　* 进入“MAC Address Table”选项 4 f5 y/ H% J/ |5 O$ V, m 5 d* z$ a) o& }' \% F+ Q9 U! b# d( E: ?6 A- c; s6 ^% D 8 b1 @5 _! K/ i) w. J# m$ p 　　显示表格如下： : Z' k5 K# s4 q* K* K2 s( l0 T1 T, F) A* ?9 ?$ D3 K : R$ w; h3 L9 g$ C $ S' A a8 M; aIndex/MAC address/Learned on Port/Learning Method/Filter Packets to this Address 1. u) o0 Q. T. `4 s# F T9 \: L" k) ?+ C) C 00:00:21:34:63:56 ; K2 `1 m6 t6 }- K 0 U: P; d9 w# w' W+ v m' O+ z131 Q5 t, h6 B- n. I ; p4 \- h/ \* S- {% XDynamic. [2 L& @7 P% f1 Q1 o& v ' j% R3 E G$ K& _8 U! Y7 c No3 B4 k8 _. R0 b f& ^ # i( J4 B$ }1 Y: G. J% c0 T1 e6 c- l3 N! o$ e ! y7 m7 L% x( d2 R6 |24 O" ?3 f+ D' U+ n! K: [( m2 Q {! u5 T# A* `" J: |6 Y4 D5 I 00:00:81:65:c3:a0 ; H' r8 |3 S* l' A: r2 z / y+ t' |$ @2 |5 M$ R: T% SN/A # G$ `6 P$ }; y% M- l6 W' E/ A3 H( @. p Static% X8 H: V N- O6 w, | 1 r# ]8 l1 Y, x3 q( S+ x0 } No 9 _6 N$ y C4 h& G- s 3 A% O# j4 K6 @7 B6 [/ Y; O# x2 Z0 H5 @9 t & c! D8 n% D6 f# C3# o3 n1 C) J) S- p* \+ N+ C- r9 x . w) B, i6 }; q b00:00:a2:f7:c3:e4 - H; ^$ M5 C; I9 p" \0 e" E) v3 g. } 25 ' I0 |# t' j# ~" u) [, q3 @; _) G6 W, P; x: Y" c6 C, s9 W2 ]! H Dynamic$ h0 K! K2 b$ k4 E + ]5 k1 R" v* \( `" e; |, k No: |8 q: |: U# g5 b, e9 D; \ 4 S0 \& B3 i; [* J8 Z( r! c ; _- a) p- R; q1 ?, n* |1 f7 _) @8 I) f" l 4) r0 K2 ]2 K- K* }2 \ - W; m r+ [$ P: ], }% @6 O# b00:00:21:34:63:567 z$ Z, t# U# R0 D, f( z; d / F* _4 W r" D u' p8 @( w8 | 2 0 D" p4 d3 d. c/ s+ b1 u4 `" l; m% a' b Dynamic3 I( J4 R' J* @ ! ]7 l. z; N6 V+ Z I$ T cNo ; a% n0 v5 t$ x* d' H 1 X K/ c1 P$ S- \: j) Y( s$ s! H& O* p3 R8 E4 U4 R4 i5 n4 E 8 }, j% @( ]7 g ' x( r7 y8 ~8 `: [+ H6 i" L ! p: ?9 P1 q! m* e以下略。 3 S5 e2 @" v8 x" c/ i ' f# S6 K. Y4 C　　此时你可以看到索引的第4项，它正是我们要查找的MAC地址，它的端口号为2。根据综合布线资料，可以查找出相应的信息点的物理位置，从而定位到所连接的微机位置。当然，在此是针对特有的交换机所举的例子，在实际工作中我们要查找很多台交换机，才能找到我们要找的MAC地址，当VLAN中存在大量的交换机时，我们需要在这些交换机中逐个去查找，直到找到为止，这是一个相当烦琐的事情。 - z e4 v6 c- N& W1 j* B9 H9 N: Q* \/ O $ S' E4 M; n. B I9 O - l1 c* `, a: w4 _$ s" {7 B6 b　　对于某一交换机的端口中存在下联交换机的情况，因为交换机支持多个MAC地址，会在上级的MAC表中有下级MAC的记载，所以首先查找上级交换机MAC表，确定较具体位置后再去查找下一级交换机，这样会大幅度地缩减查找范围。 1 M1 }: e7 Z: t0 u . d- w6 Y" Q3 l# k q0 b 2 V/ Y- D% g5 |+ c' t. G4 T8 d) l" Y( `+ m! l5 y4 m" f% { 　　管理策略 8 Q5 I6 E6 x) L( ?% Q; a+ E4 J' O2 R/ \8 n: A4 I7 p : W6 S9 ]# m. F; A6 V : s8 u& ^2 U) }# u) {% e, p( `! n　　对于局域网来讲此类IP地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须深思加以解决。目前有两种方案，一是使用动态IP地址分配（DHCP），另一种方案是使用静态地址分配，但必须加强MAC地址的管理。 5 H( O1 J3 e- @6 ?( R) ^# S. c l( d' {% G7 V, }6 f ; \% G; Q& d3 Y% X+ X$ p9 B 6 T8 Z1 K0 e7 X4 Z4 ~) V 　　用动态IP地址分配（DHCP）的最大优点是客户端网络的配置非常简单，在没有管理员的帮助和干预的情况下，用户自己便可以对网络进行连接设置。但是，因为IP地址是动态分配的，网管员不能从IP地址上鉴定客户的身份，相应的IP层管理将失去作用。而且使用动态IP地址分配需要设置额外DHCP服务器。 9 R W3 h1 T5 ~6 g 8 O$ U" e( j1 T Y" v' I ; k! x* b% a' T( W+ ?7 {% y2 d) P" r7 Z 　　使用静态IP地址分配可以对各部门进行合理的IP地址规划，能够在第三层上方便地跟踪管理，如果我们通过加强对MAC地址的管理，同样也会有效地解决这一问题。 8 F% t* d/ S6 P9 T5 F! ~4 i " S: }4 s! G/ O* K% g. Y+ H6 I & o. {2 |1 N1 u4 {: o W* }& Q 　　在网络用户连网的同时，建立IP地址和MAC地址的信息档案，自始至终地对局域网客户执行严格的管理、登记制度，将每个用户的IP地址、MAC地址、上联端口、物理位置和用户身份等信息记录在网络管理员的数据库中。试想，在我们上述的案例中，如果知道了非法用户的MAC地址后，我们可以从管理员数据库中进行查寻，如果我们对MAC地址记录全面，我们便可以立即找到具体的使用人的信息，这会节省我们大量宝贵时间，避免大海捞针的烦恼。同时我们对于某些应用应避免使用IP地址来进行权限限制，如果我们从MAC地址上进行限制相对来说要安全的多，这样可以有效地防止有人窃取IP地址的侥幸行为。 6 o& ?* ]: P& h+ t8 P