IP位址衝突造成了很壞的影響,首先,網路客戶不能正常工作,只要網路上存在衝突的機器,只要電源開啟,在客戶端機上都會頻繁出現位址衝突的提示:「如果 網路上某項套用的安全原則(諸如訪問權限,存取控制等)是關於IP位址進行的,這種非法的IP用戶會對套用系統的安全造成了嚴重威脅。
分析原因
出現問題有時並不能及時發現,只有在相互衝突的網路客戶同時都在開機狀態時才能顯露出問題,所以具有相當的隱蔽性。分析原因有如下幾種情況可以造成IP位址衝突。
1、很多用戶對TCP/IP並不瞭解,不知道「IP位址」、「子網路遮罩」、「預設網路閘道」等參數如何設定,有時用戶不是從管理員處得到的上述參數的訊息,或者是用戶無意修改了這些訊息;
2、管理員或用戶根據管理員提供的上述參數進行設定時,由於失誤造成參數輸錯;
3、在客戶端機維修偵錯時,維修人員使用臨時IP位址套用造成;
4、有人竊用他人的IP位址。
解決方法
接到衝突報告後,我們首先確定衝突發生的VLAN。通過IP規劃的vlan定義,和衝突的IP位址,找到衝突位址所在的網段。這對成功地找到網路卡MAC位址很關鍵,因為有些網路指令不能跨網段存取。
首先將客戶端機與網路隔離,讓非法的IP位址的微機在網上執行,網管員便可以設法找到它了。套用網路測試指令有ping指令和arp指令。使用ping指令,假設衝突的IP位址為10.119.40.40,在msdos視窗,指令格式如下,其中斜體部分是指令結果。
C:\WIDOWS\〉ping 10.119.40.40
Request timed out
Reply from 10.119.40.40 : bytes=32 time〈1ms TTL=128 略
我們之所以要ping這台機器,是出於兩個目的,首先我們要知道我們要找的機器確實在網路上,其次,我們要知道這台機器的網路卡的MAC位址,那麼我們如何知道它的MAC位址哪?
這就需要使用第二個指令arp:arp指令只能在某一個VLAN中使用有效,它是低層傳輸協定,並不能跨路由。
C:\WIDOWS\〉arp -a
Interface: ...... on Inerface ......
Internet Address/Physical Address/Type
10.119.40.40/00-00-21-34-63-56/ dynamic 以下略
以上列表表示出衝突IP位址10.119.40.40 處網路卡的MAC位址為00-00-21-34-63-56。
接下來我們要找的是MAC位址為00-00-21-34-63-56的網路卡的具體物理位置。
網路簡介中已經說明,每台客戶端機的網路卡直接連線到第二級交換機上,接下來面對大量的乙太網交換機,我們要搜尋是衝突MAC所對應交換機連接阜。
本網路中與客戶連接的設備是Bay的303/304,本文以303為例,描述如何搜尋某一個MAC位址所在的連接阜位置。Bay303的網管有多種方式,下面僅以Web瀏覽器方式描述搜尋非法MAC的方法。
在搜尋之前,首先要確定VLAN內的交換機位置,查出這些交換機的IP位址,使用交換機位址可以訪問該交換機的網管訊息。
* 在網管員的電腦上啟動瀏覽器
* 按鍵輸入交換機的IP位址
* 提示登入訊息後輸入用戶名和密碼
* 進入「MAC Address Table」選項
顯示表格如下:
index/mac address/learned on port/learning method/filter packets to this address
1 00:00:21:34:63:56 13 dynamic no
2 00:00:81:65:c3:a0 n/a static no
3 00:00:a2:f7:c3:e4 25 dynamic no
4 00:00:21:34:63:56 2 dynamic no
以下略。
此時你可以看到索引的第4項,它正是我們要搜尋的MAC位址,它的連接阜號為2。
根據綜合布線資料,可以搜尋出相應的訊息點的物理位置,從而定位到所連接的微機位置。
當然,在此是針對特有的交換機所舉的例子,在實際工作中我們要搜尋很多台交換機,才能找到我們要找的MAC位址,當VLAN中存在大量的交換機時,我們需要在這些交換機中逐個去搜尋,直到找到為止,這是一個相當煩瑣的事情。
對於某一交換機的連接阜中存在下聯交換機的情況,因為交換機支持多個MAC位址,會在上級的MAC表中有下級MAC的記載,所以首先搜尋上級交換機MAC表,確定較具體位置後再去搜尋下一級交換機,這樣會大幅度地縮減搜尋範圍。
管理原則
對於區域網路來講此類IP位址衝突的問題會經常出現,用戶規模越大,搜尋工作就越困難,所以網路管理員必須深思加以解決。目前有兩種方案,一是使用動態IP位址分配(DHCP),另一種方案是使用靜態位址分配,但必須加強MAC位址的管理。
用動態IP位址分配(DHCP)的最大優點是客戶端網路的組態非常簡單,在沒有管理員的說明 和干預的情況下,用戶自己便可以對網路進行連接設定。但是,因為IP位址是動態分配的,網管員不能從IP位址上鑒定客戶的身份,相應的IP層管理將失去作 用。而且使用動態IP位址分配需要設定額外DHCP伺服器。
使用靜態IP位址分配可以對各部門進行合理的IP位址規劃,能夠在第三層上方便地跟蹤管理,如果我們通過加強對MAC位址的管理,同樣也會有效地解決這一問題。
在網路用戶連網的同時,建立IP位址和MAC位址的訊息檔案,自始至終地對區域網路客戶執行嚴格的管理、登記制度,將每個用戶的IP位址、MAC位址、上聯連接阜、物理位置和用戶身份等訊息記錄在網路管理員的資料庫中。
試想,在我們上述的案例中,如果知道了非法用戶的MAC位址後,我們可以從管理員資料庫中進行查尋,如果我們對MAC位址記錄全面,我們便可以立即找到具 體的使用人的訊息,這會節省我們大量寶貴時間,避免大海撈針的煩惱。同時我們對於某些套用應避免使用IP位址來進行權限限制,如果我們從MAC位址上進行 限制相對來說要安全的多,這樣可以有效地防止有人竊取IP位址的僥倖行為。
adapted from http://forum.slime.com.tw/thread164462.html
