田 野

(駐馬店高級技工學校，河南 駐馬店 463000）

0 引言

隨著Internet的迅速發(fā)展及網(wǎng)絡設施的大規(guī)模投入，作為網(wǎng)絡管理人員，面臨的問題越來越多，如：網(wǎng)絡的穩(wěn)定性；網(wǎng)絡提供的功能與服務質量；用戶多變的需求等。其中局域網(wǎng)的正常運行最基本也是最主要的問題就是IP地址的管理。IP地址管理不當將會給網(wǎng)絡管理人員和網(wǎng)絡用戶造成極大的不便，在這其中，IP沖突是IP地址管理中最具代表性的問題，也是網(wǎng)絡地址管理的基本問題。

1 IP沖突的現(xiàn)象及原因分析

1.1 IP地址沖突的現(xiàn)象

IP地址沖突是對用戶而言的，IP地址沖突發(fā)生時，用戶會看到一些提示信息，如在常用的windows xp操作系統(tǒng)下會提示：“windows系統(tǒng)錯誤，IP地址與網(wǎng)絡上的其他系統(tǒng)有沖突”這時，發(fā)生沖突的計算機均不能正常訪問網(wǎng)絡，簡單的說，IP沖突就是局域網(wǎng)內兩個以上的用戶在使用同一個IP地址。

1.2 IP地址沖突的原因

TCP/IP是一組協(xié)議的簡稱，包括上百個各種功能的協(xié)議，如：遠程登錄、文件傳輸?shù)龋鳷CP協(xié)議和IP協(xié)議是保證數(shù)據(jù)完整傳輸?shù)膬蓚€基本的重要協(xié)議。TCP/IP協(xié)議模型由四層結構組成：網(wǎng)絡接口層、網(wǎng)絡層、傳輸層和應用層。

計算機啟動時，TCP/IP有一個初始化過程，在這一過程中，計算機發(fā)出一個ARP廣播以便為IP地址請求地址解析。如果另一個主機回答此ARP請求分組中的任何一個，就表示該主機己經(jīng)在使用此IP地址，地址發(fā)生了沖突。檢側到地址沖突時，計算機照樣引導，但禁用此廣播ARP請求的計算機上的重復IP地址，并顯示一條IP地址沖突的錯誤提示信息。

由TCP/IP工作原理可以看出，IP沖突的實質就是IP的重復使用，共原因有以下幾種：

1）管理員管理不善，對用戶分配了相同的IP地址；

2）用戶對網(wǎng)絡參數(shù)設置不了'解，未按要求正確輸入IP地址；

3）由維修人員為做調試臨時改變計算機IP地址；

4）用戶擅自修改管理員分配的IP地址，即使用了IP地址(這里所說的非法指的是用戶未按管理員的要求使用公有或者私有IP地址)，這種情況可稱為IP地址盜用，又可分為兒種情況：靜態(tài)修改IP,成對修改物理地址和IP地址、IP欺騙等。

2 解決方案

針對以上幾個IP地址沖突的原因，前三種情祝出現(xiàn)的可能性較小，即使出現(xiàn)，解決起來相對也比較容易，對管理員而言要做到兩個方面：一是加強管理，避免IP地址的重復分配，另一方面要對用戶進行簡單說明，避免誤設置，并在維修人員為了調試而修改IP地址后及時改回，同時要求用戶出現(xiàn)IP地址沖突時不要私自更改IP地址，及時報知管理員。

最后一種情況解決起來比較復雜，可以使用的方案有三種：一種是IP地址動態(tài)分配；另一種是靜態(tài)分配，但要做到合理規(guī)劃IP地址的分配，同時加強對用戶計算機物理地址的管理；三是通過應用層認證上網(wǎng)?，F(xiàn)分別說明如下：

2.1 IP地址的動態(tài)分配

IP地址的動態(tài)分配主要通過DHCP實現(xiàn)。DHCP稱為動態(tài)主機配置協(xié)議，DHCP服務允許計算機連接到網(wǎng)絡并且自動獲取一個IP地址，配置DHCP服務的服務器可以為每一個網(wǎng)絡客戶提供一個IP地址、子網(wǎng)掩碼、缺省網(wǎng)關、以及一個以上DNS服務器的IP地址。

DHCP的優(yōu)點是：對網(wǎng)絡管理員而言，可以更有效的監(jiān)控IP地址和其他配置參數(shù)，DHCP不會同時租借相同的IP地址給兩臺主機；對用戶而言，只需要將TCP/IP配置項設置為自動獲取IP地址或自動獲取DNS地址，用戶計算機在不同子網(wǎng)間物理移動時不需要重新設置IP地址。

DHCP的缺點是：DHCP不能發(fā)現(xiàn)網(wǎng)絡上非DHCP客戶機已經(jīng)在使用的IP地址。這樣單純使用DHCP的方式還不能解決局城網(wǎng)中IP地址非法使用的問題。原因是由于用戶可以手工設定IP，并且該手工設定的IP有可能被DHCP服務器分配給第二個用戶，從而造成IP地址的沖突。

如何控制用戶不能設定靜態(tài)IP地址是該解決方案的關鍵，這需要一個支持DHCP SNOOPING功能的交換機。DHCP SNOOPING功能是DHCP的一項安全特性，啟用該功能后，交換機會監(jiān)聽DHCP的IP地址分配過程，同時交換機會生成一個IP地址、MAC地址、交換機端口的對應表.然后報據(jù)DHCP SNOOPING監(jiān)聽獲得的IP地址、MAC地址、交換機瑞口對應表，進行綁定。在開啟Dynamic ARP Inspection后，交換機將監(jiān)聽所有的ARP數(shù)據(jù)包，一旦發(fā)現(xiàn)ARP數(shù)據(jù)包中源IP地址和MAC地址的對應關系和DHCP SNOOPING獲得的對應關系不同，則丟棄數(shù)據(jù)包，這樣就可以防止用戶私自更改地址。

2.2 加強對物理地址的管理

可在二層交換機上做端口綁定，即端口與MAC地址綁定，這要求管理員在分配給用戶IP地址的同時要獲得用戶的MAC地址。或在三層交換機上做IP與MAC的綁定。

這種方法只能在一定程度防止用戶盜用IP地址。一種可能的情況是同一個局域網(wǎng)內的非法用戶設置了與合法用戶相同的IP地址，雖然非法用戶無法上網(wǎng)，但合法用戶也無法上網(wǎng)。面管理員卻無法獲得非法用戶的MAC地址。這就意味著一種管理員可能無法控制的情況，對這種情祝可通過兩種方法解決：

1）通過盡可能小的劃分VLAN，減小廣播域，這樣可有效屏蔽非法用戶所造成的影響?？梢园疵咳鹂谝粋€VLAN的方式劃分，為了節(jié)省VLAN號碼資源，有的交換機還可以啟用Isolate特性，或啟用Super VLAN特性來劃分Sub LAN。

2）當沖突發(fā)生時，可使用MAC地址掃描軟件，獲取局城網(wǎng)IP與MAC地址對應表，然后查看二層交換機MAC地址與端口對應表，即可找到非法使用IP地址的計算機所在的瑞口。

2.3 使用應用層認證

結合IP地址動態(tài)分配，使用認證是一種較好的方案。這種方案的缺點是花費較高，所以一般情況在局域網(wǎng)內不使用該方案。

3 結束語

作為一個負責的網(wǎng)絡管理員，應該在盡可能小的影響合法用戶的情況下，得到網(wǎng)絡管理的主動性與完備。.就技術而言，以上方案基本能解決IP沖突這一問題，如果還有合理積極的管理措施比如制訂嚴格的管理制度、盡可能的收集用戶資料建立用戶資料庫等能更好的解決問題。然而管理措施遠沒有技木措施有效，因為IP地址沖突歸根結底是技術原因造成的，而且更大的問題在于這種現(xiàn)象會隨著管理技術水平的發(fā)展而發(fā)展，從而變得更加難以解決。可是我們相信隨著網(wǎng)絡設備功能的日趨完善和網(wǎng)絡管理人員技術水平的提高，會有更多更好的防止IP地址沖突的方法。

［1］W.Richard Stevens.TCP/IP詳解卷 1:協(xié)議[M].北京:機械工業(yè)出版社,2000，04.

［2］謝希仁.計算機網(wǎng)絡.[M].5版.北京：電子工業(yè)出版社,2008，01.