用户名：密　码：验证码

我要投稿

电脑技巧

信息订阅

高级搜索

加入收藏

网管经验指南谈
网管职业生涯规划	成功网管经验技术谈
企业网络管理知识	从普通网管到职业经理

我要学→

·电脑知识 ·电脑技巧 ·操作系统 ·日常维护 ·网管经验谈

当前位置：中国网管站首页>高级网管>网吧安全技术>文章内容

如何解决IP冲突问题

来源：作者：发布时间：2007-09-28 （阅读次数：）查看更多关于：　局域网　IP冲突  的文章

网络简介
作为典型的企业网架构，本单位网络拓扑结构大致分为三级，并全部采用北电产品。第一级由ATM交换机组成，网络服务器、多媒体工作站等工作在主干网络上，第二级由大量的以太网交换机构成，对第三级桌面提供高密度端口。并根据划分出的VLAN（Vitual Local Area Network）提供实际的VLAN端口。网络协议采用TCP/IP，IP地址规划使用静态IP地址分配，由网管员统一规划。
问题的提出
我们知道，对于在Internet和Intranet网络上，使用TCP/IP协议时每台主机必须具有独立的IP地址，有了IP地址的主机才能与网络上的其它主机进行通讯。随着网络应用大力推广，网络客户急剧膨胀，由于静态IP地址分配，IP地址冲突的麻烦相继而来。IP地址冲突造成了很坏的影响，首先，网络客户不能正常工作，只要网络上存在冲突的机器，只要电源打开，在客户机上都会频繁出现地址冲突的提示：“如果网络上某项应用的安全策略（诸如访问权限，存取控制等）是基于IP地址进行的，这种非法的IP用户会对应用系统的安全造成了严重威胁。
分析原因
出现问题有时并不能及时发现，只有在相互冲突的网络客户同时都在开机状态时才能显露出问题，所以具有相当的隐蔽性。分析原因有如下几种情况可以造成IP地址冲突。
1、很多用户对TCP/IP并不了解，不知道“IP地址”、“子网掩码”、“默认网关”等参数如何设置，有时用户不是从管理员处得到的上述参数的信息，或者是用户无意修改了这些信息；2、管理员或用户根据管理员提供的上述参数进行设置时，由于失误造成参数输错；3、在客户机维修调试时，维修人员使用临时 IP地址应用造成；4、有人窃用他人的IP地址。
解决方法
接到冲突报告后，我们首先确定冲突发生的VLAN。通过IP规划的vlan定义，和冲突的IP地址，找到冲突地址所在的网段。这对成功地找到网卡MAC地址很关键，因为有些网络命令不能跨网段存取。
首先将客户机与网络隔离，让非法的IP地址的微机在网上运行，网管员便可以设法找到它了。应用网络测试命令有ping命令和arp命令。使用ping命令，假设冲突的IP地址为10.119.40.40，在msdos窗口，命令格式如下，其中斜体部分是命令结果。
C:\WIDOWS\〉ping 10.119.40.40
Request timed out
Reply from 10.119.40.40 : bytes=32 time〈1ms TTL=128 略
我们之所以要ping这台机器，是出于两个目的，首先我们要知道我们要找的机器确实在网络上，其次，我们要知道这台机器的网卡的MAC地址，那么我们如何知道它的MAC地址哪？这就需要使用第二个命令arp：arp命令只能在某一个VLAN中使用有效，它是低层协议，并不能跨路由。
C:\WIDOWS\〉arp -a
Interface: ...... on Inerface ......
Internet Address/Physical Address/Type
10.119.40.40/00-00-21-34-63-56/ dynamic 以下略
以上列表表示出冲突IP地址10.119.40.40 处网卡的MAC地址为00-00-21-34-63-56。接下来我们要找的是MAC地址为00-00-21-34-63-56的网卡的具体物理位置。
网络简介中已经说明，每台客户机的网卡直接连接到第二级交换机上，接下来面对大量的以太网交换机，我们要查找是冲突MAC所对应交换机端口。本网络中与客户连接的设备是Bay的303/304，本文以303为例，描述如何查找某一个MAC地址所在的端口位置。Bay303的网管有多种方式，下面仅以 Web浏览器方式描述查找非法MAC的方法。
在查找之前，首先要确定VLAN内的交换机位置，查出这些交换机的IP地址，使用交换机地址可以访问该交换机的网管信息。
* 在网管员的机器上启动浏览器
* 键入交换机的IP地址
* 提示登陆信息后输入用户名和密码
* 进入“MAC Address Table”选项
显示表格如下：
Index/MAC address/Learned on Port/Learning Method/Filter Packets to this Address 1
00:00:21:34:63:56
13
Dynamic
No
2
00:00:81:65:c3:a0
N/A
Static
No
3
00:00:a2:f7:c3:e4
25
Dynamic
No
4
00:00:21:34:63:56
2
Dynamic
No
以下略。
此时你可以看到索引的第4项，它正是我们要查找的MAC地址，它的端口号为2。根据综合布线资料，可以查找出相应的信息点的物理位置，从而定位到所连接的微机位置。当然，在此是针对特有的交换机所举的例子，在实际工作中我们要查找很多台交换机，才能找到我们要找的MAC地址，当VLAN中存在大量的交换机时，我们需要在这些交换机中逐个去查找，直到找到为止，这是一个相当烦琐的事情。
对于某一交换机的端口中存在下联交换机的情况，因为交换机支持多个MAC地址，会在上级的MAC表中有下级MAC的记载，所以首先查找上级交换机MAC表，确定较具体位置后再去查找下一级交换机，这样会大幅度地缩减查找范围。
管理策略
对于局域网来讲此类IP地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须深思加以解决。目前有两种方案，一是使用动态IP地址分配（DHCP），另一种方案是使用静态地址分配，但必须加强MAC地址的管理。
用动态IP地址分配（DHCP）的最大优点是客户端网络的配置非常简单，在没有管理员的帮助和干预的情况下，用户自己便可以对网络进行连接设置。但是，因为IP地址是动态分配的，网管员不能从IP地址上鉴定客户的身份，相应的IP层管理将失去作用。而且使用动态IP地址分配需要设置额外DHCP服务器。
使用静态IP地址分配可以对各部门进行合理的IP地址规划，能够在第三层上方便地跟踪管理，如果我们通过加强对MAC地址的管理，同样也会有效地解决这一问题。
共2页: 上一页 1 [2] 下一页

上一篇：网吧ARP欺骗到局域网的安全管理下一篇：思科Catalyst6000/5000交换机常用维护命令

[

收藏] [

推荐] [返回顶部][打印本页] [关闭窗口]

热点文章

·DeepFreeze冰点还原精灵使用图解
·如何用命令查看arp病毒主机
·怎么突破网吧限制
·学会用Sniffer和ARP分析网络问题
·网吧ARP欺骗到局域网的安全管理
·网吧服务器RAID 0+1硬盘阵列组建
·如何查看网吧网络管理软件的漏洞
·如何恢复BIOS数据
·网吧服务器RAID 0+1硬盘阵列组建
·网吧管理软件万能破解方法
·学习怎样保护好局域网中的IP地址
·破解网吧限制逍遥行
·谈入侵万象网吧服务器
·备份和恢复Oracle数据过程
·了解网络安全入门要了解的问题
·克隆恢复技术介绍
·网管必知：IIS中常见的十八个安
·如何教会客户自己给系统打补丁
·网吧管理软件破解实例讲解
· 网吧路由器应付掉线的方法