查看: 18048|回复: 0

如何解决局域网IP冲突问题

字体大小: 正常放大

韩冰

823 主题	3 听众	4048 积分

我的地盘我做主

该用户从未签到

电梯直达

1^#

发表于 2004-10-4 11:58 |只看该作者 |倒序浏览

|招呼Ta 关注Ta

作者：蓝色烟火转自黑基bbs原创作品版 ' m' m. q: a& q7 z版权归黑客基地所有, 转载请注明出处

网络简介 0 m/ N8 J+ }. ~; s( D1 i0 L & M/ N# Z( G4 h( J ! q! Y) z# d7 a- J7 d( d, \　　作为典型的企业网架构，本单位网络拓扑结构大致分为三级，并全部采用北电产品。第一级由ATM交换机组成，网络服务器、多媒体工作站等工作在主干网络上，第二级由大量的以太网交换机构成，对第三级桌面提供高密度端口。并根据划分出的VLAN（Vitual Local Area Network）提供实际的VLAN端口。网络协议采用TCP/IP，IP地址规划使用静态IP地址分配，由网管员统一规划。 / D5 i) k; o) `' E4 v3 F3 E: Z& o% f ! s* O+ l3 _/ h6 Z2 U . {- K/ r9 b& V% f' S# L 　　问题的提出 ! V) j& }5 R B% y) p4 S ; O" a. ~# `2 _ c ~; ~* c ( b3 r9 `3 k8 W' q [6 Q　　我们知道，对于在Internet和Intranet网络上，使用TCP/IP协议时每台主机必须具有独立的IP地址，有了IP地址的主机才能与网络上的其它主机进行通讯。随着网络应用大力推广，网络客户急剧膨胀，由于静态IP地址分配，IP地址冲突的麻烦相继而来。IP地址冲突造成了很坏的影响，首先，网络客户不能正常工作，只要网络上存在冲突的机器，只要电源打开，在客户机上都会频繁出现地址冲突的提示：“如果网络上某项应用的安全策略（诸如访问权限，存取控制等）是基于IP地址进行的，这种非法的IP用户会对应用系统的安全造成了严重威胁。 * T# t2 r9 r* }: x . J* s8 k) {3 D5 V4 K8 D; q! {2 O1 u6 k0 j4 o- ` 2 I6 ?3 D( ~" {( j　　分析原因 - W5 s+ f" r9 T' [! J8 V / Z4 a* x* N$ V I0 E 1 p9 a E$ l2 y+ |4 t 7 A: z* I( h) I# i　　出现问题有时并不能及时发现，只有在相互冲突的网络客户同时都在开机状态时才能显露出问题，所以具有相当的隐蔽性。分析原因有如下几种情况可以造成IP地址冲突。 % d% u% B3 |/ [, ?3 r2 L : c G$ K! f( j$ _) { : t, o# i. V" m c7 e v$ b n& h, d, e 　　1、很多用户对TCP/IP并不了解，不知道“IP地址”、“子网掩码”、“默认网关”等参数如何设置，有时用户不是从管理员处得到的上述参数的信息，或者是用户无意修改了这些信息；2、管理员或用户根据管理员提供的上述参数进行设置时，由于失误造成参数输错；3、在客户机维修调试时，维修人员使用临时IP地址应用造成；4、有人窃用他人的IP地址。 - y; j4 J- z9 O3 \) p* p : D+ V+ i% a# l0 K% {' i D5 Y1 N z, N/ }3 w ' I0 n2 }, ?. i/ ^+ b8 `　　解决方法 9 Z; B: {* W; g' [3 e0 h) }: P, F1 I- ~; q- c7 o ) L H: n2 B& | 9 X9 d( \* E9 G　　接到冲突报告后，我们首先确定冲突发生的VLAN。通过IP规划的vlan定义，和冲突的IP地址，找到冲突地址所在的网段。这对成功地找到网卡MAC地址很关键，因为有些网络命令不能跨网段存取。 & s3 U/ R! b1 G- l1 K2 K2 k4 q, d/ W# z ' [5 Z) A! _& |! { 0 B' n n# p% T$ E　　首先将客户机与网络隔离，让非法的IP地址的微机在网上运行，网管员便可以设法找到它了。应用网络测试命令有ping命令和arp命令。使用ping命令，假设冲突的IP地址为10.119.40.40，在msdos窗口，命令格式如下，其中斜体部分是命令结果。 * [ o5 `# I5 j- I) o" `0 j , d1 h; S8 N% l: ], [5 f; W7 x 8 O; I7 E) o2 c6 R9 h7 i( |% m5 r' G @3 o( t _# h; y 　　C:\WIDOWS\〉ping 10.119.40.40 / O- E- k# z2 L2 F! V/ ]* q9 |9 O$ p3 s; O- L " i2 \8 }8 ?1 m' d- D5 O9 {8 d 5 P, b( ^; {7 @* o# c+ ?; m 　　Request timed out / F s4 p% Q, S ( S0 [; [5 j, t ( O+ K h- M+ K& @1 s; D( C ( [4 Y: }+ [; n+ I# x( B9 k　　Reply from 10.119.40.40 : bytes=32 time〈1ms TTL=128 略 2 { _+ Q( X# \; j o$ v# l* T; h; }) H1 q$ z% B7 y. r! m6 ^* s 5 |1 O2 Y( \4 h1 _. ?5 |& y　　我们之所以要ping这台机器，是出于两个目的，首先我们要知道我们要找的机器确实在网络上，其次，我们要知道这台机器的网卡的MAC地址，那么我们如何知道它的MAC地址哪？这就需要使用第二个命令arp：arp命令只能在某一个VLAN中使用有效，它是低层协议，并不能跨路由。 , O2 [. B1 M# R9 t8 \ ) m# ?: p2 J% A; O 9 b7 N" L1 ~! C- y9 ^2 Q3 F: ?$ P1 t$ ~* L$ x 　　C:\WIDOWS\〉arp -a ' [+ s9 m1 ^, ?/ s! ~ o3 a , y2 g1 f3 p, Z( P0 y7 ^- j 6 M5 w3 k( H/ ]1 p0 P' g" o7 t # d: z. [. W" j8 f0 y' h 　　Interface: ...... on Inerface ...... K; o% z' J$ @ % I' ?5 s0 q& ^& R5 Z( ~- h0 k* q - Z5 {$ Q1 w, p4 l1 D 6 ~7 M( q) B+ U2 W( M: {　　Internet Address/Physical Address/Type 5 j2 \0 L% z: I) j+ M0 @/ I- t& w5 \2 G1 Z( q- t- V" x ' m/ S: O! {6 }" p$ I. x8 b" R% I( X0 Q8 [ 　　10.119.40.40/00-00-21-34-63-56/ dynamic 以下略 ) s+ {0 j% h( R6 ^6 H+ g P" N4 W# _1 u3 q& x N+ P $ e! i! s" p: F6 m1 s $ ~* D8 Z# g+ w) o) V5 G　　以上列表表示出冲突IP地址10.119.40.40 处网卡的MAC地址为00-00-21-34-63-56。接下来我们要找的是MAC地址为00-00-21-34-63-56的网卡的具体物理位置。 2 ]) H$ d2 y/ U/ _5 o 8 E/ w0 l. W) p* j0 a . M) X0 x) m, L. F i ' z7 m0 l8 e4 S　　网络简介中已经说明，每台客户机的网卡直接连接到第二级交换机上，接下来面对大量的以太网交换机，我们要查找是冲突MAC所对应交换机端口。本网络中与客户连接的设备是Bay的303/304，本文以303为例，描述如何查找某一个MAC地址所在的端口位置。Bay303的网管有多种方式，下面仅以Web浏览器方式描述查找非法MAC的方法。 5 y5 _* l" {" q5 G 8 z/ Y! C! v8 z' F5 Y8 R* b( s* g, a" K; R n- o( | % H0 c6 Q' `2 O/ _. h8 J8 K. B 　　在查找之前，首先要确定VLAN内的交换机位置，查出这些交换机的IP地址，使用交换机地址可以访问该交换机的网管信息。 7 m3 l8 j( W: }9 h/ P! ^ 4 O. \& w V$ N* _ 6 J* V$ N; x' ]- ~7 y/ I! M " S1 C" R$ Z( j+ \" f 　　* 在网管员的机器上启动浏览器 & O; x3 v4 x2 `' h' \: D ^9 g! @* a Z . {9 C3 C6 g' x5 F9 R ' c4 q7 A# T, p9 J, `/ M　　* 键入交换机的IP地址 & {0 T6 a. ?# p: x1 N0 T" o, [3 x- ~9 q4 o( n i- q " ]# x9 e, [' R! o) ^ 2 s* e% X: t5 [% s/ p2 p　　* 提示登陆信息后输入用户名和密码 5 _, H3 H' v6 M" q0 }. } , s; r/ O7 G2 n, Y5 c" p # V1 V! Y. R2 L/ |$ K' K 3 p+ g/ R; O4 B- X& b+ M　　* 进入“MAC Address Table”选项 . j' N( S4 I# K) o7 O 8 @0 O( V/ l5 d# i% L ' U9 K# Q& N4 W + N& j/ u, p1 n4 {　　显示表格如下： + q7 Y1 z+ y2 L9 m4 U8 q 9 u! C% Z0 U: k$ [6 F1 Y4 O( X& S3 b$ ^( L6 V- p1 \ $ f3 b) v/ o6 T) GIndex/MAC address/Learned on Port/Learning Method/Filter Packets to this Address 1 6 a c; Z7 @7 M, C0 y $ S' |4 E) C( z' ~. q; Q00:00:21:34:63:566 o$ `# W% E* F9 v ' s' B$ b7 J# `* G T& I132 q$ e8 c9 D* X; j1 ^% a ; f- q+ C, V% p- x9 H# c, FDynamic / {) R# h% p/ W; x8 l1 N( `4 m( x! l+ I& [5 t No$ T3 Z, f6 `* X9 I 4 ^$ k3 ?: L6 Q/ V/ E 4 p1 y5 y# {$ k + E2 q) T: U$ y5 f( [21 \+ _9 G/ T0 u8 |: a* O1 X0 S' E 3 y) ^. D; u# C n' S6 Z00:00:81:65:c3:a07 r' m( S4 f; }$ \! U+ B4 r - W3 t# O% X% R0 d N/A( u" x. A& c& _. K) B- {' S' x + l" c: D6 g* x( G yStatic ( G* j% @" [% K3 I 3 N( r, K% Y6 X' F5 I* V$ uNo 4 F. j( `0 }4 ]4 u$ u( [: [ + }' b: }" w! W " F+ r& K! u: S% K5 R. z; e4 Z * T5 _* u- o7 y# o, }6 L+ W3 - L0 u( g; t' a8 H$ K ) k w4 U1 X% i3 \3 j) [00:00:a2:f7:c3:e41 w6 ^7 n' C! O9 { - |9 i& P/ f3 S. g 25 / ]2 ]6 J. `8 {- l5 p. B( Y ' `" K c8 x: f; c& I$ R4 sDynamic9 A' q+ N+ A3 R! ^ ' u/ j" o$ z) H/ A No 0 U+ r# }1 F: M& X, I. e $ r: m: z& N \, p' o1 N [! H3 l8 F* Y6 W: s- \, p7 S 5 h; ? j, x! q 4 9 h* c! O" A0 ?7 {/ ]9 r/ y , G+ ]% Y; ]& f9 L. |4 J00:00:21:34:63:56 8 l7 p0 g9 C4 |( _ b/ `% l G9 e" ^3 m2 3 T+ K3 p& A8 r& G2 X2 h8 Z* [5 A+ i q+ q Dynamic * `0 P# J" @8 E9 I8 t9 F $ P9 O9 z' W- u" D5 RNo0 l& A# z9 |- C& d9 J$ Z) o) Q + V4 ^6 Z4 u: M& c5 s * |5 ~# f+ W( {8 o 6 U r$ L& L+ l" e . G. Q: u! B3 O$ Z# m4 V 9 D$ C' r7 A6 ?( J% t. m以下略。 I/ l# D+ D! q9 F/ h 9 c3 k/ f) L- n+ q: Y. c　　此时你可以看到索引的第4项，它正是我们要查找的MAC地址，它的端口号为2。根据综合布线资料，可以查找出相应的信息点的物理位置，从而定位到所连接的微机位置。当然，在此是针对特有的交换机所举的例子，在实际工作中我们要查找很多台交换机，才能找到我们要找的MAC地址，当VLAN中存在大量的交换机时，我们需要在这些交换机中逐个去查找，直到找到为止，这是一个相当烦琐的事情。 / O& }+ P9 E$ _# k7 q$ \. z # n+ v5 Z1 Q" K; x/ U1 \+ t5 Z5 k# J: @4 G+ K+ ? 4 ^- W) W+ E* B& f2 w" ?" Q, X 　　对于某一交换机的端口中存在下联交换机的情况，因为交换机支持多个MAC地址，会在上级的MAC表中有下级MAC的记载，所以首先查找上级交换机MAC表，确定较具体位置后再去查找下一级交换机，这样会大幅度地缩减查找范围。 % I7 E% w& X6 L+ O . o/ a9 c; L {4 t$ C0 a5 p$ w8 H T6 L$ g ; l& H+ b- s& U( o! @8 k: }　　管理策略 . P: _( n4 Z2 G/ { 1 N# |2 L3 V( t) J . F; u) k6 |' o ! g# H/ r. }3 U　　对于局域网来讲此类IP地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须深思加以解决。目前有两种方案，一是使用动态IP地址分配（DHCP），另一种方案是使用静态地址分配，但必须加强MAC地址的管理。 : y/ M$ F0 w+ _5 [# _* D 5 ~* Y5 F8 D5 k. N j3 ~/ o* {+ \* ?( y ^+ M 3 p. [0 { s8 V0 f/ \* m- T 　　用动态IP地址分配（DHCP）的最大优点是客户端网络的配置非常简单，在没有管理员的帮助和干预的情况下，用户自己便可以对网络进行连接设置。但是，因为IP地址是动态分配的，网管员不能从IP地址上鉴定客户的身份，相应的IP层管理将失去作用。而且使用动态IP地址分配需要设置额外DHCP服务器。 7 |: n% ]; S' l( O0 T- ?$ T& v 3 ]* j+ g0 T( F8 A, M 2 p, U' P4 }5 ~6 n& W3 {3 z' N- h* a. x0 B- m w8 a& { 　　使用静态IP地址分配可以对各部门进行合理的IP地址规划，能够在第三层上方便地跟踪管理，如果我们通过加强对MAC地址的管理，同样也会有效地解决这一问题。 6 l& q1 Y+ k1 W6 U5 z- c : [# X/ M# t2 P' {5 M4 g& _) R % {9 b: e+ x. @3 M/ ?# Q5 f" {2 ~: U+ H3 m9 I1 ?# @/ D 　　在网络用户连网的同时，建立IP地址和MAC地址的信息档案，自始至终地对局域网客户执行严格的管理、登记制度，将每个用户的IP地址、MAC地址、上联端口、物理位置和用户身份等信息记录在网络管理员的数据库中。试想，在我们上述的案例中，如果知道了非法用户的MAC地址后，我们可以从管理员数据库中进行查寻，如果我们对MAC地址记录全面，我们便可以立即找到具体的使用人的信息，这会节省我们大量宝贵时间，避免大海捞针的烦恼。同时我们对于某些应用应避免使用IP地址来进行权限限制，如果我们从MAC地址上进行限制相对来说要安全的多，这样可以有效地防止有人窃取IP地址的侥幸行为。 , n8 Z# e$ x w! n