劉曉紅

摘要： 分析企業(yè)網(wǎng)絡(luò)的基礎(chǔ)IP管理，IP地址分類與分配，指出IP管理的重要性與分配方案。對于常遇的IP沖突問題，介紹了生成的原因并給出了相應(yīng)的解決方案，為網(wǎng)絡(luò)管理員提供了方法與思路。

Abstract： This paper analyzes the enterprise network basic IP management， IP address classification and distribution， and points out the importance of IP management and distribution program. For the common IP conflict problem， this paper introduces the cause and gives the corresponding solution， which provides the ideas and methods for network administrator.

關(guān)鍵詞： IP地址；網(wǎng)絡(luò)協(xié)議；MAC地址；沖突

Key words： IP address；network protocol；MAC address；conflict

中圖分類號：TP393.1 文獻標(biāo)識碼：A 文章編號：1006-4311（2017）01-0201-02

0 引言

作為網(wǎng)絡(luò)管理員，企業(yè)內(nèi)部網(wǎng)絡(luò)的IP管理是最基礎(chǔ)的工作。企業(yè)員工越多，網(wǎng)絡(luò)故障的機率也相應(yīng)增加。其中IP地址沖突是讓企業(yè)管理員一直比較頭疼的問題。正確分配IP地址并且防止沖突，以及出現(xiàn)沖突后如何能快速找到根源是本文所要探討的。

1 IP地址管理

IP地址指的是互聯(lián)網(wǎng)協(xié)議地址（Internet Protocol Address），是IP Address的縮寫。它是網(wǎng)絡(luò)終端通訊的基礎(chǔ)，每個網(wǎng)絡(luò)及每臺主機都會分配給一個邏輯地址，用此來屏蔽物理地址的差異。目前互聯(lián)網(wǎng)是在IPv4協(xié)議的基礎(chǔ)上運行的， IPv4定義的地址空間因為有限，隨著網(wǎng)絡(luò)的飛速發(fā)展已經(jīng)將被耗盡，所以IPv6將是不久的將來所使用的互聯(lián)網(wǎng)協(xié)議。

1.1 IP地址類型

1.1.1 公有地址

公有地址（Public address）是可以直接訪問互聯(lián)網(wǎng)的地址，它是由因特網(wǎng)信息中心Inter NIC（Internet Network Information Center）來負(fù)責(zé)的。在我國通常由聯(lián)通、電信兩大運營商來提供，通過它直接訪問因特網(wǎng)。

1.1.2 私有地址

私有地址（Private address）屬于非注冊地址，是保留地址，不能直接訪問互聯(lián)網(wǎng)，只能在企業(yè)內(nèi)部局域網(wǎng)所使用的。私有地址被分為三大類：

A類 10.0.0.0--10.255.255.255；

B類 172.16.0.0--172.31.255.255；

C類 192.168.0.0--192.168.255.255。

1.2 IP地址分配

企業(yè)網(wǎng)絡(luò)中的每臺終端都需要分配一個IP地址，同時指定相應(yīng)的子網(wǎng)掩碼及默認(rèn)網(wǎng)關(guān)，用DHCP（動態(tài)主機配置協(xié)議）或手工指定這兩種方式來進行分配。

1.3 IP管理方式

企業(yè)根據(jù)自身的特點來對局域網(wǎng)IP進行有效管理。企業(yè)規(guī)模的大小通常決定其IP地址的分類，大型企業(yè)可以采用A類私有地址，中小型企業(yè)采用B類和C類地址為宜。網(wǎng)絡(luò)管理員根據(jù)自己的喜好或隨意定義IP地址是錯誤的，往往會導(dǎo)致IP網(wǎng)絡(luò)管理混亂，甚至無法與互聯(lián)網(wǎng)通信。

1.3.1 嚴(yán)格定義IP地址范圍

網(wǎng)絡(luò)管理員要嚴(yán)格按照私有地址分類來確定IP地址范圍，保證IP地址分配規(guī)范，同時做好記錄文檔，以便日后檢索及維護。

1.3.2 明確IP分配方案

作為企業(yè)的網(wǎng)絡(luò)管理員，要以維護為目的去管理，只為當(dāng)前輕松省事的做法是錯誤的。在IP地址分配采用DHCP和手工指定方面要有清楚認(rèn)識，兩者各有優(yōu)缺點，不同的場合有著不同的應(yīng)用。

企業(yè)IP地址分配，首選的是手工指定，并建立IP地址分配記錄表。大中型企業(yè)人數(shù)眾多，手工指定IP地址工作量很大。這種方式雖然前期工作繁瑣，但是對后期維護是相當(dāng)有利的，客戶端信息均有記錄，哪個地方有問題可以迅速定位故障點。DHCP分配IP地址，雖然簡化了TCP/IP協(xié)議設(shè)置，避免了分配出錯，但是在后期維護中定位故障點比較艱難，為排除故障解決問題增加了相當(dāng)大的難度，所以DHCP在企業(yè)管理中適合應(yīng)用到一些無關(guān)緊要小范圍之內(nèi)。

2 IP地址沖突

企業(yè)局域網(wǎng)中IP地址沖突是常見問題之一，它會導(dǎo)致用戶網(wǎng)絡(luò)無法通信，影響正常工作。究其原因，大致是由于ARP攻擊和人為指定IP地址引起沖突這兩種情況。

2.1 ARP攻擊

國際標(biāo)準(zhǔn)化組織（ISO）和國際電報電話咨詢委員會（CCITT）聯(lián)合制定的開放系統(tǒng)互連參考模型（Open System Interconnect 簡稱OSI），它是一種功能結(jié)構(gòu)的框架，是為不同種類的計算機系統(tǒng)之間連接提供了統(tǒng)一的框架，從低到高分別是：第一層物理層、第二層數(shù)據(jù)鏈路層、第三層網(wǎng)絡(luò)層、第四層傳輸層、第五層會話層、第六層表示層和第七層應(yīng)用層（如圖1）。它的每一層的功能是獨立的，并且下一層的通信功能是為其上一層提供服務(wù)，而與其他層的具體實現(xiàn)無關(guān)，層與層之間的會話規(guī)定，是通過通信原語來實現(xiàn)，兩個同層之間的通信規(guī)則和約定稱之為協(xié)議。通常把第一層至第四層之間的協(xié)議稱為下層協(xié)議，第五層至第七層之間的協(xié)議稱為上層協(xié)議。

ARP（Address Resolution Protocol）地址解析協(xié)議，是對IP地址解析而獲取其物理地址的一個TCP/IP協(xié)議。IP地址在ISO/OSI模型的第三層，MAC物理地址在ISO/OSI模型的第二層，它們不能直接相互打通信。

網(wǎng)絡(luò)設(shè)備在通過以太網(wǎng)發(fā)送IP數(shù)據(jù)包時，需要先封裝第三層（32位IP地址）、第二層（48位MAC地址）的報頭，然后根據(jù)接收端的目標(biāo)IP地址進行發(fā)送，接收端使用ARP地址解析協(xié)議，可根據(jù)網(wǎng)絡(luò)層IP數(shù)據(jù)包包頭中的IP地址信息解析出相應(yīng)的硬件物理地址（MAC地址）信息，從而保證網(wǎng)絡(luò)通信的順利進行。如圖1。

2.1.1 現(xiàn)象與原因

ARP攻擊是由局域網(wǎng)內(nèi)電腦感染ARP病毒導(dǎo)致的，它是一種入侵局域網(wǎng)的電腦的木馬病毒，對用戶個人信息有很大的威脅，存在極大的安全隱患。由于在1980年RFC826就出版了，所以ARP是網(wǎng)絡(luò)早期的通信協(xié)議，現(xiàn)在網(wǎng)絡(luò)應(yīng)用中已經(jīng)無法對其進行修改，因此ARP病毒就是利用該協(xié)議存在的漏洞進行傳播，它使得電腦經(jīng)常發(fā)生IP地址沖突，導(dǎo)致電腦掉線而無法網(wǎng)絡(luò)通信。ARP病毒只要成功感染一臺電腦，就可能使整個局域網(wǎng)都無法上網(wǎng)，甚至導(dǎo)致整個內(nèi)部網(wǎng)絡(luò)癱瘓。ARP攻擊的方法通常有兩種：網(wǎng)關(guān)欺騙和路由欺騙。

2.1.2 解決辦法

首選要準(zhǔn)確定位ARP的攻擊源。企業(yè)的網(wǎng)絡(luò)管理員應(yīng)該先從網(wǎng)絡(luò)硬件上查起，交換機是連接用戶的最基礎(chǔ)網(wǎng)絡(luò)設(shè)備，所以管理員觀察IP沖突同一網(wǎng)段交換機上的數(shù)據(jù)狀態(tài)指示燈，如果發(fā)現(xiàn)其閃爍頻率較快，狀態(tài)異常的端口則可初步判定為沖突源，斷開其端口連接，如果網(wǎng)絡(luò)恢復(fù)正常，那么此端口所連接的終端即為ARP的攻擊源。交換機級聯(lián)層數(shù)較多的可以使用逐級斷網(wǎng)方式來排查，最終確定感染源后對其進行ARP病毒查殺。

目前還沒有根本防止ARP攻擊的辦法，因此在日常企業(yè)網(wǎng)絡(luò)管理和維護中，應(yīng)做好提前預(yù)防，網(wǎng)絡(luò)管理員對交換機的IP與MAC的綁定及VLAN虛網(wǎng)和端口的綁定在一定程度上可以起到防止ARP攻擊，但這樣企業(yè)網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)的使用及管理帶來很大的約束，不能靈活應(yīng)用，并且有損于網(wǎng)絡(luò)的傳輸效能，使得網(wǎng)速變慢及浪費網(wǎng)絡(luò)帶寬。終端個人用戶安裝ARP防火墻，殺毒軟件等是一種相對有效的防范措施。

2.2 手工指定IP地址

DHCP分配IP地址可以有效防止個人用戶IP地址沖突，手工指定IP地址雖然可以方便管理維護局域網(wǎng)，但個人用戶IP地址沖突也會經(jīng)常出現(xiàn)。

2.2.1 現(xiàn)象與原因

一般原因是個人用戶對IP地址設(shè)置不熟或者隨意設(shè)定IP地址，其次是管理員記不清有效IP而設(shè)定與其他人相同的IP造成。這樣的沖突不會使得整個局域網(wǎng)都受到影響，而是沖突雙方無法上網(wǎng)或進行網(wǎng)絡(luò)通信。

2.2.2 解決辦法

大中型企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)均應(yīng)含接入交換機，匯聚交換機和三層交換機，對于這樣層級較多的網(wǎng)絡(luò)，如果個人用戶設(shè)定IP地址引起沖突，網(wǎng)絡(luò)管理員應(yīng)讓擁有合法IP地址的用戶先斷開網(wǎng)絡(luò)，繼而登錄交換機，由上而下去找出沖突源。各廠家交換機設(shè)置命令不同，但功能一致，以華為交換機為例說明，假設(shè)沖突源終端的IP是IP_A，對應(yīng)的MAC地址是MAC_B（如圖2）。

①登錄三層交換機，用顯示ARP表命令找出沖突源的MAC地址，即：Display arp IP_A，此命令執(zhí)行后就能看到?jīng)_突源IP_A對應(yīng)的MAC_B，并且是從哪個端口連接的匯聚交換機。②登錄相應(yīng)的匯聚交換機，再找出該MAC_B是來自哪個端口，即：Display mac-address MAC_B，在顯示的結(jié)果中就能看到這個MAC地址來自哪個端口。根據(jù)該端口，找出下面接入的接入終端交換機。③登錄以上找到的接入交換機，執(zhí)行與第二步一樣的Display mac-address MAC_B，從結(jié)果中再查看具體的接入端口。④根據(jù)具體接入端口在綜合布線過程中記錄的對應(yīng)信息點號找出是在哪個位置（或房間號），由此就找到?jīng)_突源的具體位置。⑤修改沖突源地址，避免與合法IP重復(fù)。

3 結(jié)論

本文對企業(yè)網(wǎng)絡(luò)的基礎(chǔ)IP管理做了簡單分析，提出IP管理的重要性與分配方案，適合企業(yè)網(wǎng)絡(luò)管理并為管理員提供了方便維護思路。對于已經(jīng)成為管理員心腹大患的IP沖突問題，詳細(xì)剖析了生成的原因以及危害，并給出了相應(yīng)的解決方案。雖然網(wǎng)絡(luò)管理上技術(shù)手段必不可少，但是對于企業(yè)來說，建立完善的網(wǎng)絡(luò)使用管理制度才會有效、充分發(fā)揮和利用企業(yè)網(wǎng)絡(luò)資源，保障網(wǎng)絡(luò)系統(tǒng)正常、安全、可靠地運行。

參考文獻：

[1]林川.計算機網(wǎng)絡(luò)-基礎(chǔ)應(yīng)用教程[M].清華大學(xué)出版社， 2009：15.

[2]申懷亮，申一鳴.網(wǎng)絡(luò)技術(shù)與安全管理[M].北京：清華大學(xué)出版社，2014：16-26.

[3]史建政，于東敏.局域網(wǎng)IP地址的管理與分配淺析[J].廊坊師范學(xué)院學(xué)報，2006（04）.