查看: 18029|回复: 0

如何解决局域网IP冲突问题

字体大小: 正常放大

韩冰

823 主题	3 听众	4048 积分

我的地盘我做主

该用户从未签到

电梯直达

1^#

发表于 2004-10-4 11:58 |只看该作者 |倒序浏览

|招呼Ta 关注Ta

作者：蓝色烟火转自黑基bbs原创作品版 5 w& a" w4 K4 U2 q版权归黑客基地所有, 转载请注明出处

网络简介 / w; W/ ?& c# d. G3 Z' m 1 _( c6 d8 ^% X. O I2 H; w9 J1 u/ R, b　　作为典型的企业网架构，本单位网络拓扑结构大致分为三级，并全部采用北电产品。第一级由ATM交换机组成，网络服务器、多媒体工作站等工作在主干网络上，第二级由大量的以太网交换机构成，对第三级桌面提供高密度端口。并根据划分出的VLAN（Vitual Local Area Network）提供实际的VLAN端口。网络协议采用TCP/IP，IP地址规划使用静态IP地址分配，由网管员统一规划。 ; h7 u, A L) t& |6 b9 j! n& V4 u ; H5 x" G& A& a3 m* i9 R4 i5 Z # V% K% j. l* E" a( H 4 w2 a O; S. d& k" v1 E) @　　问题的提出 : T% k% S* A( h. _- y4 x: e : R' _! H" u6 @+ \; T# U + D4 m* C$ c+ {" p5 }　　我们知道，对于在Internet和Intranet网络上，使用TCP/IP协议时每台主机必须具有独立的IP地址，有了IP地址的主机才能与网络上的其它主机进行通讯。随着网络应用大力推广，网络客户急剧膨胀，由于静态IP地址分配，IP地址冲突的麻烦相继而来。IP地址冲突造成了很坏的影响，首先，网络客户不能正常工作，只要网络上存在冲突的机器，只要电源打开，在客户机上都会频繁出现地址冲突的提示：“如果网络上某项应用的安全策略（诸如访问权限，存取控制等）是基于IP地址进行的，这种非法的IP用户会对应用系统的安全造成了严重威胁。 1 M& V- B4 [. n2 x2 X 0 z" b2 S$ O0 M& y, V : ?; E9 P( V7 W% V4 v $ o5 ~$ Q6 L) H" ^8 t5 y) d7 a) h5 z　　分析原因 3 l8 P7 f' N# i/ M; H8 F. M# [5 b* C% }7 o7 s9 x; B 7 c) j8 I1 W5 ?" s 2 l0 c; k' G7 u; m) ]" f　　出现问题有时并不能及时发现，只有在相互冲突的网络客户同时都在开机状态时才能显露出问题，所以具有相当的隐蔽性。分析原因有如下几种情况可以造成IP地址冲突。 ( w v! V" e( x4 C! T 2 N- O; w6 y! Q# N' X8 k% g, [( X' @/ ], D 6 A2 [/ c5 U" p" z" w/ x 　　1、很多用户对TCP/IP并不了解，不知道“IP地址”、“子网掩码”、“默认网关”等参数如何设置，有时用户不是从管理员处得到的上述参数的信息，或者是用户无意修改了这些信息；2、管理员或用户根据管理员提供的上述参数进行设置时，由于失误造成参数输错；3、在客户机维修调试时，维修人员使用临时IP地址应用造成；4、有人窃用他人的IP地址。 ! d, p0 O: ~: } u+ Q( Q % R, T# s" Q9 ^' \% G) \* T% V' `+ n0 n2 m9 @6 F# X4 s [. S - K6 c. z8 [ ^: A" d" `　　解决方法 % G4 a3 F& b0 Y! V3 a0 o- F' N: f 4 K2 H* b6 `( `/ } i" h! I# X0 K* k4 ^1 u4 e6 H1 p( y ' R9 F1 v; X# X2 h; t. l　　接到冲突报告后，我们首先确定冲突发生的VLAN。通过IP规划的vlan定义，和冲突的IP地址，找到冲突地址所在的网段。这对成功地找到网卡MAC地址很关键，因为有些网络命令不能跨网段存取。 / S" a0 C, R& q" c& _- ]: X & d$ P# `' A& L0 R1 c7 |+ w$ C6 j $ O2 x4 Z+ @3 ?- {. j+ b$ t 8 K. B4 X& C9 _( u, A) a N　　首先将客户机与网络隔离，让非法的IP地址的微机在网上运行，网管员便可以设法找到它了。应用网络测试命令有ping命令和arp命令。使用ping命令，假设冲突的IP地址为10.119.40.40，在msdos窗口，命令格式如下，其中斜体部分是命令结果。 % K, y- G- Q$ i3 {) m, Y/ }6 V2 `2 }5 X6 [ 0 y2 b B1 Q, I' g! m5 r/ |- w, P. k3 o, I: R 　　C:\WIDOWS\〉ping 10.119.40.40 ) a1 y3 w1 q; ^: }% [5 l9 S 4 K+ G) Z5 F3 a0 F1 x' K * F8 _. e$ \; v4 z1 s6 ` + U# }! L9 Y& q- C7 l9 V1 w7 U　　Request timed out 2 L K# O* G) w3 D8 Q$ ^9 v; B" n( D0 |3 s' n+ X $ w1 s/ x; q0 L 1 w" D+ ?3 r; q　　Reply from 10.119.40.40 : bytes=32 time〈1ms TTL=128 略 2 K4 o0 |/ @ d0 t8 S/ B " R1 |' p# q! p5 I) k+ ^3 R4 a$ k4 c8 k 1 P" I8 j" x, g8 x% d 　　我们之所以要ping这台机器，是出于两个目的，首先我们要知道我们要找的机器确实在网络上，其次，我们要知道这台机器的网卡的MAC地址，那么我们如何知道它的MAC地址哪？这就需要使用第二个命令arp：arp命令只能在某一个VLAN中使用有效，它是低层协议，并不能跨路由。 d. D1 X. b B/ H# ] ( t1 ^( I# ^. a2 b& c( } & K* w. [1 [5 w3 b2 v x3 C! e+ y # F- g' O' ^$ g# b 　　C:\WIDOWS\〉arp -a " U* H0 ?9 E$ h; M4 L* ~ # v# {! c" m) c' o7 B2 ~( m+ @* e( K0 e e2 b7 a6 o ' ?' \ Q* @( a5 X　　Interface: ...... on Inerface ...... . F5 J, l7 V3 X1 g( o1 D( f. s( Q* n* U0 Z! E1 b8 C 3 X7 J1 ~# ^6 v9 q: g0 c6 v ) g0 v8 M$ ?8 z: i9 q 　　Internet Address/Physical Address/Type ! r& G2 u# {" u 4 k( t! w1 x0 X4 V8 r" D, E! f0 r( |! Y6 Y v- S 1 w8 ]9 T) y9 Z# d. f. z0 d0 c: Y　　10.119.40.40/00-00-21-34-63-56/ dynamic 以下略 9 s+ ~) C& n6 i P# u( ^* _7 |) H% ~0 i6 R) K4 F. B4 D V6 s! s & g7 `) w% K2 m, ]1 o5 G + _; x; m+ h- y9 C7 t　　以上列表表示出冲突IP地址10.119.40.40 处网卡的MAC地址为00-00-21-34-63-56。接下来我们要找的是MAC地址为00-00-21-34-63-56的网卡的具体物理位置。 4 Q6 f: O+ l8 \: P/ _3 |% c' w 1 ? K- o$ d: w! u3 [ ( z' `2 J" [+ E: O& A! v. J5 \/ Y- y 1 n1 f! ~0 H t1 V$ G　　网络简介中已经说明，每台客户机的网卡直接连接到第二级交换机上，接下来面对大量的以太网交换机，我们要查找是冲突MAC所对应交换机端口。本网络中与客户连接的设备是Bay的303/304，本文以303为例，描述如何查找某一个MAC地址所在的端口位置。Bay303的网管有多种方式，下面仅以Web浏览器方式描述查找非法MAC的方法。 3 f# v# R% `0 Z6 N& j! z2 F , Y: V4 d4 J3 v4 f0 V& Q3 L+ R, ~ ' z$ A u! V( f Z1 C! o8 Q# Q　　在查找之前，首先要确定VLAN内的交换机位置，查出这些交换机的IP地址，使用交换机地址可以访问该交换机的网管信息。 : O$ c" v' m q( @% V2 o* ]8 I6 j @2 ?1 H8 z8 ^, h$ t& ~* A ' H% S: t3 K. d' _ 　　* 在网管员的机器上启动浏览器 7 q; O2 `: a9 V! \) i4 h' R j+ _* Y0 U% C0 U3 f6 t % z8 W0 L( O" j: C4 Z9 I+ t# T$ S0 X8 X* x 　　* 键入交换机的IP地址 / _1 `) {" N* \0 I$ n6 s3 U5 c! ^; ]8 W) w/ H! v' y# e5 p b" N* m/ N& P9 h: Q; G& n/ R4 G 1 ^8 I7 n( b' v: _3 k　　* 提示登陆信息后输入用户名和密码 ) u2 M8 W" l; p9 U. j# \. D# N5 P 6 W! S+ J" t$ k$ {# a$ O : O( y* S! [9 I 1 O# l& j% P: U, i2 w　　* 进入“MAC Address Table”选项 , _4 R* s( Y+ C7 A) R6 u" T V' w( F, G- |# M2 g4 U+ ^% y 5 x* N& S, i( O, e" F" P - E! {3 H/ ~5 ?5 v　　显示表格如下： : _# j1 ~* g( V2 q" o! q 1 }# h% x# n& U % A3 m! N# z; \' ~- |2 N8 @2 N4 n0 X" k, f% U9 a7 R0 M5 R: P Index/MAC address/Learned on Port/Learning Method/Filter Packets to this Address 11 U- Q5 F" B: |9 f/ g+ ], o & S: ]. h, k' a2 p' ]$ @3 f9 t00:00:21:34:63:56 : D |8 j! W. X& J+ M/ ?5 T/ F' Y' v) P5 ` 130 N& t0 M# R) \3 L; P) f5 S 1 R8 b7 X0 s/ D2 E6 {; b8 r Dynamic U( k8 I& h ]7 t2 [$ \ . m. k7 P: P0 X5 X5 Q* Z No/ M4 w6 a- V% C, I5 e - c6 S( ?) ^7 x " v) B1 I2 k& \- `7 `- n, t 8 I6 I6 y! K) J' V% Y, e6 ~! I2 " r- N- i) U4 N0 N9 S0 D+ f- N3 e+ V1 ?' d 00:00:81:65:c3:a0 " O$ z# C! w3 q6 L5 u3 C! h+ L3 `" q. A7 C1 T1 s N/A }1 s% {9 ^$ z G3 z' w9 w: n - |( @1 X: q x# J" @4 N4 SStatic " X/ u* t0 I2 B H- A3 I % p* O7 F7 t. a' N' r6 ?8 h) fNo; S% B9 N5 c, g * |; q! G \( e" _ # X* Y w, |3 s+ Z 0 t5 v( ]0 m! C) |3 3 h: i1 X2 Y1 O; T2 W. `6 X% Q5 ^0 O6 y! K2 J 00:00:a2:f7:c3:e4 S) E8 o6 h3 I" x9 U7 | $ K2 G# ?/ x/ ], N25 5 T% s! Z3 \7 }+ E7 U5 C; e) E0 g/ [. R% r) N* b Dynamic+ ~2 O+ k$ w; M% t# ~. X/ L' I, H $ [" q. G6 Q" {% f8 J0 {" [No3 G: [. C2 F X# J1 Q! P ) F- P2 ]' P" S# r! G: J5 W5 W * A ~7 X8 Y9 F( K% n l% Q! a5 V! H N4 [' y/ r7 C4' G; m3 k) f$ w" H ' X; G1 U" I; A$ r/ E2 _ 00:00:21:34:63:56; U$ ~/ h7 m, C) _- Y$ j) Y% H* ~/ E ( ^' J, R: e# E' B 2 J% t- B$ l+ _( ~# x 4 j# g% w, O6 i: c5 r, iDynamic8 T1 ~, }. L H6 H5 K , j5 B/ J' o v/ C; ~5 O1 L No 6 w) |0 Y1 B- K9 T h' v% A7 E% _* e# s 1 O" {1 M9 ]5 V8 |, Z 4 S, h1 O0 y3 G# I. @, ?9 S, I 7 `$ c" @1 d9 z5 n t0 y9 G & Y: j0 Z5 w* `7 C7 V 以下略。 N9 w ?+ Z# Q7 d 1 k2 P$ m0 E, Q, t" D9 W　　此时你可以看到索引的第4项，它正是我们要查找的MAC地址，它的端口号为2。根据综合布线资料，可以查找出相应的信息点的物理位置，从而定位到所连接的微机位置。当然，在此是针对特有的交换机所举的例子，在实际工作中我们要查找很多台交换机，才能找到我们要找的MAC地址，当VLAN中存在大量的交换机时，我们需要在这些交换机中逐个去查找，直到找到为止，这是一个相当烦琐的事情。 # d4 \# `+ _4 p% m x, Z * H7 N& e1 R+ f0 w: Q4 S : O$ _8 N8 F, Z" l, J z # n( X9 ] r, a' _: S" f　　对于某一交换机的端口中存在下联交换机的情况，因为交换机支持多个MAC地址，会在上级的MAC表中有下级MAC的记载，所以首先查找上级交换机MAC表，确定较具体位置后再去查找下一级交换机，这样会大幅度地缩减查找范围。 1 x6 Z7 `+ Q3 g8 d+ Q& j7 b2 G, d7 ?! M * `8 I0 h: T. \, M9 c* g8 g8 F ! u; g w0 C+ i) v1 _ 　　管理策略 1 I+ Q/ L m* T5 D2 I! S4 u }: z: p. `- P& \7 Y$ U% q 4 F, u; T* x, F# }. l" F 7 C, E& ~2 u- o4 \2 n　　对于局域网来讲此类IP地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须深思加以解决。目前有两种方案，一是使用动态IP地址分配（DHCP），另一种方案是使用静态地址分配，但必须加强MAC地址的管理。 # C8 A9 f' ^# W9 T' T P% ` / H0 q( o# a w4 N4 M6 `* o$ ]" w1 A5 i0 `2 U x& Z: C# r0 l9 S 　　用动态IP地址分配（DHCP）的最大优点是客户端网络的配置非常简单，在没有管理员的帮助和干预的情况下，用户自己便可以对网络进行连接设置。但是，因为IP地址是动态分配的，网管员不能从IP地址上鉴定客户的身份，相应的IP层管理将失去作用。而且使用动态IP地址分配需要设置额外DHCP服务器。 ( z9 z$ x- Q/ M3 H# s+ B 5 t9 f9 N9 A) K! Q) Z; E% r+ N - ]! C& E" @+ q8 L' c　　使用静态IP地址分配可以对各部门进行合理的IP地址规划，能够在第三层上方便地跟踪管理，如果我们通过加强对MAC地址的管理，同样也会有效地解决这一问题。 2 y" c- Z8 c: u3 i/ H: W6 d4 G/ S s+ D% E E7 [& I$ Q9 Z n ) _2 B1 ?$ _1 X5 U# v 　　在网络用户连网的同时，建立IP地址和MAC地址的信息档案，自始至终地对局域网客户执行严格的管理、登记制度，将每个用户的IP地址、MAC地址、上联端口、物理位置和用户身份等信息记录在网络管理员的数据库中。试想，在我们上述的案例中，如果知道了非法用户的MAC地址后，我们可以从管理员数据库中进行查寻，如果我们对MAC地址记录全面，我们便可以立即找到具体的使用人的信息，这会节省我们大量宝贵时间，避免大海捞针的烦恼。同时我们对于某些应用应避免使用IP地址来进行权限限制，如果我们从MAC地址上进行限制相对来说要安全的多，这样可以有效地防止有人窃取IP地址的侥幸行为。/ _7 p5 B; _$ G; I- l