查看: 18055|回复: 0

如何解决局域网IP冲突问题

字体大小: 正常放大

韩冰

823 主题	3 听众	4048 积分

我的地盘我做主

该用户从未签到

电梯直达

1^#

发表于 2004-10-4 11:58 |只看该作者 |倒序浏览

|招呼Ta 关注Ta

作者：蓝色烟火转自黑基bbs原创作品版 1 k& W. G5 w! P) M! y- R; m/ `1 s# P版权归黑客基地所有, 转载请注明出处

网络简介 / S6 q7 J$ h9 v ; Y1 b" D- E0 Y. @* I& M1 f# \6 j- @$ S; v) T( [! L- j8 E 　　作为典型的企业网架构，本单位网络拓扑结构大致分为三级，并全部采用北电产品。第一级由ATM交换机组成，网络服务器、多媒体工作站等工作在主干网络上，第二级由大量的以太网交换机构成，对第三级桌面提供高密度端口。并根据划分出的VLAN（Vitual Local Area Network）提供实际的VLAN端口。网络协议采用TCP/IP，IP地址规划使用静态IP地址分配，由网管员统一规划。 / u" i3 H! ?: E @! Z2 [( o+ n$ u( F: |7 ?8 E# F/ Z) C8 i1 {! f' ] # Y5 s& B" s# z8 _9 _: d2 Y3 `4 ?' y1 C, ` 　　问题的提出 - [) h# d( [1 D9 M2 R( n: d; N $ _: Q V7 A; Y1 _; t) Z; d1 D/ E , \ T0 _" c( i& e" Q1 s* J# Z　　我们知道，对于在Internet和Intranet网络上，使用TCP/IP协议时每台主机必须具有独立的IP地址，有了IP地址的主机才能与网络上的其它主机进行通讯。随着网络应用大力推广，网络客户急剧膨胀，由于静态IP地址分配，IP地址冲突的麻烦相继而来。IP地址冲突造成了很坏的影响，首先，网络客户不能正常工作，只要网络上存在冲突的机器，只要电源打开，在客户机上都会频繁出现地址冲突的提示：“如果网络上某项应用的安全策略（诸如访问权限，存取控制等）是基于IP地址进行的，这种非法的IP用户会对应用系统的安全造成了严重威胁。 * D! K9 {3 F$ G" E4 [ ^8 ^ 6 K5 [2 ?% p* L- s7 r1 ?& x1 w+ D. R 7 ]1 i y" q" N1 S. [/ g　　分析原因 0 L" Q" u o0 |: c3 W( q% l" p O# z1 j: a y l- A' b% Z, \" A9 }* ?$ L. `$ X; Q/ P 6 P' X. N9 k' F8 D/ l　　出现问题有时并不能及时发现，只有在相互冲突的网络客户同时都在开机状态时才能显露出问题，所以具有相当的隐蔽性。分析原因有如下几种情况可以造成IP地址冲突。 3 \* j: o' g* z' E # y, r/ j6 s1 V* n/ z F ) f3 J$ B2 |$ U) {; |" ^4 p2 ^ ) [& q4 h0 q3 k　　1、很多用户对TCP/IP并不了解，不知道“IP地址”、“子网掩码”、“默认网关”等参数如何设置，有时用户不是从管理员处得到的上述参数的信息，或者是用户无意修改了这些信息；2、管理员或用户根据管理员提供的上述参数进行设置时，由于失误造成参数输错；3、在客户机维修调试时，维修人员使用临时IP地址应用造成；4、有人窃用他人的IP地址。 . {8 c9 y" s) E7 ^2 i) _5 s- y ( z, R' C) P9 \' R7 L3 ] * B7 ~6 K1 g0 }7 A4 N: T8 a & K# k- Q& F9 E　　解决方法 * k. \7 ~2 v4 n7 p- s) F7 Y5 a; R6 \1 e: n8 J$ l2 P+ A, j - V5 `0 b- y/ b2 \( E ' A0 s( a. c( @+ k* G2 A) D0 _+ P 　　接到冲突报告后，我们首先确定冲突发生的VLAN。通过IP规划的vlan定义，和冲突的IP地址，找到冲突地址所在的网段。这对成功地找到网卡MAC地址很关键，因为有些网络命令不能跨网段存取。 $ I5 @& {7 C; M5 }; l* P- O6 O & k/ |+ s( t% [( _( e5 E: m7 A1 e+ w( g 2 I6 R! _# G* G* B F$ P　　首先将客户机与网络隔离，让非法的IP地址的微机在网上运行，网管员便可以设法找到它了。应用网络测试命令有ping命令和arp命令。使用ping命令，假设冲突的IP地址为10.119.40.40，在msdos窗口，命令格式如下，其中斜体部分是命令结果。 & r( A% N b' H . \+ C2 y. B; r# E9 J : Q2 y$ _$ A3 `+ q" N* @) p$ O: l1 A' H+ k# }! n) N; R 　　C:\WIDOWS\〉ping 10.119.40.40 2 Y( M. b7 A$ I# A( b7 l* A% v$ P; v4 }- ~* @0 ^/ m( U( d 7 d9 ~5 @8 V! L# ]) j) C% `3 [- ]3 O7 z H7 m: f* X6 I 　　Request timed out 1 ^$ k0 L4 S7 p6 l, h 0 N) O+ z9 S+ D0 L$ [8 F; I ( |+ f1 ^$ f/ r+ T" r! V& s& c' g8 @7 @% r, b! }# a 　　Reply from 10.119.40.40 : bytes=32 time〈1ms TTL=128 略 6 r U2 F) s2 q2 o7 ]" @1 q: s( \( a3 Z3 ^9 z / O0 J# Q9 L. x1 |3 \ P + Q! v) p# M) A& n Q, t　　我们之所以要ping这台机器，是出于两个目的，首先我们要知道我们要找的机器确实在网络上，其次，我们要知道这台机器的网卡的MAC地址，那么我们如何知道它的MAC地址哪？这就需要使用第二个命令arp：arp命令只能在某一个VLAN中使用有效，它是低层协议，并不能跨路由。 8 E' I$ q- Z8 g # ?/ ~6 K* ^1 p# X2 H w2 l& l" _, l" t5 D. [ ! E n. s5 t/ }( l& \ 　　C:\WIDOWS\〉arp -a ) F5 V9 O8 L) i: g/ ]4 a/ g " |6 `9 k, T% |& A" M8 d. j 4 b% S* P. z# f R ' {6 `6 G. w+ Y+ W* g$ F* L 　　Interface: ...... on Inerface ...... : N: e* ?9 M1 m! W . m& L6 b# q: ~( L4 J* }' N: j- b* e( N Z 2 S' l5 [: C5 o 　　Internet Address/Physical Address/Type 0 B1 h% h$ G* I) {* A 7 r. r, ^! h* T. T- T! M r & S4 e3 l, m; L5 U: p2 o6 j! m: m" z1 S4 V6 p$ L) _5 L6 { 　　10.119.40.40/00-00-21-34-63-56/ dynamic 以下略 8 a7 |/ w' I& q h. H7 l6 i8 H$ Y, C* c+ f* _ ( V9 U+ b* v8 k0 @; u* o% k( E, G0 o% \) H) {, T/ U2 P! ~ 　　以上列表表示出冲突IP地址10.119.40.40 处网卡的MAC地址为00-00-21-34-63-56。接下来我们要找的是MAC地址为00-00-21-34-63-56的网卡的具体物理位置。 ( p. a& S! `2 I4 Q( ~0 e9 _% q( ^ : G; k' a% o! n" k5 P9 t $ p* F1 ?* G( ^. L5 E" b7 w- m1 t　　网络简介中已经说明，每台客户机的网卡直接连接到第二级交换机上，接下来面对大量的以太网交换机，我们要查找是冲突MAC所对应交换机端口。本网络中与客户连接的设备是Bay的303/304，本文以303为例，描述如何查找某一个MAC地址所在的端口位置。Bay303的网管有多种方式，下面仅以Web浏览器方式描述查找非法MAC的方法。 $ `9 N$ k9 c9 u$ s: [ : q/ E) U2 t1 h$ R; l 1 Q8 g4 J8 k; l + J" n! D! r8 A1 ^ r　　在查找之前，首先要确定VLAN内的交换机位置，查出这些交换机的IP地址，使用交换机地址可以访问该交换机的网管信息。 ; m, \# b/ P# t" Q. Q0 _3 w G+ k4 q: R * X% \! ?: w5 H0 O" F5 Z ( a3 @! X9 I4 c( B+ R9 y; G　　* 在网管员的机器上启动浏览器 2 I+ R- l: Q4 e( x9 ?5 m/ Z ) F, y$ } {. p: ^- y" T5 \& |' ]) ~. a , |, m; T. B$ C% M 　　* 键入交换机的IP地址 [; {& f$ G* Q- _ 8 \; \3 R0 N5 n j" J 8 _- F( T4 i5 V* I% u% Q' O/ I5 p: w2 r) ^ 　　* 提示登陆信息后输入用户名和密码 , E) Y# g* _5 G7 l ; A |, X" E8 X$ i5 c3 A. f _; I. c( V2 B* y: v ' D( `0 {4 M @　　* 进入“MAC Address Table”选项 7 E0 p1 I6 g( h5 @4 H8 R 5 c2 Z7 }2 r& I Q8 f, S- n, p1 o5 `' y 6 L5 g' Z0 u# {* Q 　　显示表格如下： " ]. S6 ^" \3 S& g8 W! f+ A c7 h4 z% ]; s4 i) X 7 t% m$ ^7 }6 {+ N" o$ k+ G l ; {7 j5 V8 d% e G% M6 |5 S, x3 f Index/MAC address/Learned on Port/Learning Method/Filter Packets to this Address 1 w3 ?* ]3 x/ v& X ! e) k$ O* t7 b6 ?% j. H00:00:21:34:63:56 ) x- C9 q% q0 B- h' u$ n1 i6 A' b4 h 13' w7 n0 g& F8 g6 }5 {* X( } ( j5 t0 s9 B1 K: k9 rDynamic # P' I1 p5 m+ W% q$ q " F4 ?8 n% @6 k4 `4 `5 _No 0 t& Q8 M! s9 i) w: y4 c6 }+ z- s. x# F8 a5 f 7 A( q2 p: X, T 5 _' a7 U, d1 A2; B6 v0 D; H/ v `$ i7 q( s; f+ {1 F ' W( p! \/ K, f00:00:81:65:c3:a0 % b9 d! w" `, P! P 7 |* ~* Z4 Z3 RN/A % e3 Y; T3 i0 F6 ^9 f; [' L ; ]0 p$ s$ c0 N4 \Static j3 h. `9 G) z2 e3 L' H8 V ; Q" j& H- ^, ?* i- d/ j$ @9 u' h% xNo# w8 @. o% W6 o" t 4 E/ c7 d* N) B; k - I& N/ y- H1 z4 b$ j4 S8 t' c% {8 A0 h+ t 3 : J1 O8 Q7 N) ?6 P+ k$ v- w' e% @6 U4 `) o5 w& N O 00:00:a2:f7:c3:e4 0 ~3 Q9 p5 M& I( o% U0 C " ^+ z4 x F% x/ V6 @255 z, O0 F: e7 ]1 |4 s9 L * q% y! K6 ~6 S0 M* T3 ^4 J Dynamic / O6 I6 P- q) B8 Y- H6 { * I" D6 |/ E/ _& VNo) j& U' p4 j) q. o7 ^) L / {. ^0 C# c& J9 m# S) Q1 ^# \& y/ y) m1 `2 U 9 t1 A/ V+ b+ c" p4 4 A) U2 |3 ?4 G; R7 Y. t6 D/ D" p( Q1 D4 x2 G& l9 ]. g 00:00:21:34:63:56: J$ i$ u1 w, U3 u7 ^+ L 2 m: T( v( j& H8 V 2 . S5 X6 Z0 N3 J5 `& ^ ) p0 V- [3 i/ d$ qDynamic& z, P: q8 A' ~( C & B$ r0 _$ k! Y. U+ q2 I+ c* d" w/ f No# ~; ]2 K" k& R% Q" U ) ? @* j3 A; X/ v& ?4 | 2 i3 X# d: ~0 M+ \& T( c O! ~4 b, { ^ % Q% [3 H Z- I. R4 a % Y" \, I/ U, y) p7 v0 _( {9 o8 B以下略。; e7 ?% q3 k9 P1 l, @" A( H- a7 | 8 G; E3 k! u& I7 t　　此时你可以看到索引的第4项，它正是我们要查找的MAC地址，它的端口号为2。根据综合布线资料，可以查找出相应的信息点的物理位置，从而定位到所连接的微机位置。当然，在此是针对特有的交换机所举的例子，在实际工作中我们要查找很多台交换机，才能找到我们要找的MAC地址，当VLAN中存在大量的交换机时，我们需要在这些交换机中逐个去查找，直到找到为止，这是一个相当烦琐的事情。 0 ~8 Q$ H f! d! f% Z 5 e* J* R. A1 t/ i n4 H {- ~. E3 l % P2 R9 O: M! W, f8 b( R1 P　　对于某一交换机的端口中存在下联交换机的情况，因为交换机支持多个MAC地址，会在上级的MAC表中有下级MAC的记载，所以首先查找上级交换机MAC表，确定较具体位置后再去查找下一级交换机，这样会大幅度地缩减查找范围。 ! C6 L/ W: m" \, i, i4 D: }9 G q$ p+ q% @' P6 L, c; i 1 x8 q- N/ n! _5 k- D, v+ u 0 m2 U& N, y. U: ]2 c 　　管理策略 / w/ r! e* E, F , ]. G5 e d8 D ; U3 q* E# \& J2 j- l. M8 ~+ s" N) n6 Q% q1 w8 {% p8 d9 h' S# T* A! d 　　对于局域网来讲此类IP地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须深思加以解决。目前有两种方案，一是使用动态IP地址分配（DHCP），另一种方案是使用静态地址分配，但必须加强MAC地址的管理。 3 R, l; b/ u# i+ V5 z 8 ~2 H' q8 ]# S; a* ~* v/ D; y 5 x- g( G6 l7 `: z: z0 m5 T . D3 U) S9 W6 Y9 w7 s9 }: f 　　用动态IP地址分配（DHCP）的最大优点是客户端网络的配置非常简单，在没有管理员的帮助和干预的情况下，用户自己便可以对网络进行连接设置。但是，因为IP地址是动态分配的，网管员不能从IP地址上鉴定客户的身份，相应的IP层管理将失去作用。而且使用动态IP地址分配需要设置额外DHCP服务器。 Q* v- }6 G' T8 _$ p# C! T) _- y6 S- S% L , o7 f0 i( l9 o$ U2 p& k , ~& p& S- D* N0 X5 A　　使用静态IP地址分配可以对各部门进行合理的IP地址规划，能够在第三层上方便地跟踪管理，如果我们通过加强对MAC地址的管理，同样也会有效地解决这一问题。 # A% J6 m* r5 a) v3 y' Q- \7 N3 {( @3 F9 h, L : f1 N! D) D% [4 \( ` ' U# I2 ?; J- V. O　　在网络用户连网的同时，建立IP地址和MAC地址的信息档案，自始至终地对局域网客户执行严格的管理、登记制度，将每个用户的IP地址、MAC地址、上联端口、物理位置和用户身份等信息记录在网络管理员的数据库中。试想，在我们上述的案例中，如果知道了非法用户的MAC地址后，我们可以从管理员数据库中进行查寻，如果我们对MAC地址记录全面，我们便可以立即找到具体的使用人的信息，这会节省我们大量宝贵时间，避免大海捞针的烦恼。同时我们对于某些应用应避免使用IP地址来进行权限限制，如果我们从MAC地址上进行限制相对来说要安全的多，这样可以有效地防止有人窃取IP地址的侥幸行为。9 N% s* U8 M4 _( ?' g8 `- V6 |