怎么解决局域网IP冲突问题?
作为典型的企业网架构,本单位网络拓扑结构大致分为三级。第一级由ATM交换机组成,网络服务器、多媒体工作站等工作在主干网络上,第二级由大量的以太网交换机构成,对第三级桌面提供高密度端口。并根据划分出的VLAN(VitualLocalAreaNetwork)提供实际的VLAN端口。网络协议采取TCP/IP,IP地址计划使用静态IP地址分配,由网管员统一计划。
问题的提出
我们知道,对在Internet和Intranet网络上,使用TCP/IP协议时每台主机一定要具有独立的IP地址,有了IP地址的主机才能与网络上的其它主机进行通讯。随着网络利用大力推行,网络客户急剧膨胀,由于静态IP地址分配,IP地址冲突的麻烦相继而来。IP地址冲突造成了很坏的影响,首先,网络客户不能正常工作,只要网络上存在冲突的机器,只要电源打开,在客户机上都会频繁出现地址冲突的提示:“如果网络上某项利用的安全策略(诸如访问权限,存取控制等)是基于IP地址进行的,这类非法的IP用户会对利用系统的安全造成了严重要挟。
分析缘由
出现问题有时其实不能及时发现,只有在相互冲突的网络客户同时都在开机状态时才能显现出问题,所以具有相当的隐蔽性。分析缘由有以下几种情况可以造成IP地址冲突。
1、很多用户对TCP/IP其实不了解,不知道“IP地址”、“子网掩码”、“默许网关”等参数如何设置,有时用户不是从管理员处得到的上述参数的信息,还是是用户无意修改了这些信息;2、管理员或用户根据管理员提供的上述参数进行设置时,由于失误造成参数输错;3、在客户机维修调试时,维修人员使用临时IP地址利用造成;4、有人窃用他人的IP地址。
解决方法
接到冲突报告后,我们首先肯定冲突产生的VLAN。通过IP计划的vlan定义,和冲突的IP地址,找到冲突地址所在的网段。这对成功地找到网卡MAC地址很关键,由于有些网络命令不能跨网段存取。
首先将客户机与网络隔离,让非法的IP地址的微机在网上运行,网管员即可以想法找到它了。利用网络测试命令有ping命令和arp命令。使用ping命令,假定冲突的IP地址为10.119.40.40,在msdos窗口,命令格式以下,其中斜体部份是命令结果。
对某一交换机的端口中存在下联交换机的情况,由于交换机支持多个MAC地址,会在上级的MAC表中有下级MAC的记载,所以首先查找上级交换机MAC表,肯定较具体位置后再去查找下一级交换机,这样会大幅度地缩减查找范围。
管理策略
对局域网来说此类IP地址冲突的问题会常常出现,用户范围越大,查找工作就越困难,所以网络管理员一定要沉思加以解决。目前有两种方案,一是使用动态IP地址分配(DHCP),另外一种方案是使用静态地址分配,但一定要加强MAC地址的管理。
用动态IP地址分配(DHCP)的最大优点是客户端网络的配置非常简单,在没有管理员的帮助和干预的情况下,用户自己即可以对网络进行连接设置。但是,由于IP地址是动态分配的,网管员不能从IP地址上鉴定客户的身份,相应的IP层管理将失去作用。而且使用动态IP地址分配需要设置额外DHCP服务器。
使用静态IP地址分配可以对各部门进行公道的IP地址计划,能够在第三层上方便地跟踪管理,如果我们通过加强对MAC地址的管理,一样也会有效地解决这一问题。
在网络用户连网的同时,建立IP地址和MAC地址的信息档案,自始至终地对局域网客户履行严格的管理、登记制度,将每一个用户的IP地址、MAC地址、上联端口、物理位置和用户身份等信息记录在网络管理员的数据库中。试想,在我们上述的案例中,如果知道了非法用户的MAC地址后,我们可以从管理员数据库中进行查寻,如果我们对MAC地址记录全面,我们即可以立即找到具体的使用人的信息,这会节省我们大量宝贵时间,避免大海捞针的烦恼。同时我们对某些利用应避免使用IP地址来进行权限限制,如果我们从MAC地址上进行限制相对来讲要安全的多,这样可以有效地避免有人盗取IP地址的侥幸行动。
网友留言: