張 騁，郭一兵

（國(guó)網(wǎng)浙江安吉縣供電公司，浙江 安吉 313300）

現(xiàn)代社會(huì)發(fā)展進(jìn)步非常迅速.近年來，為了適應(yīng)社會(huì)主義市場(chǎng)經(jīng)濟(jì)發(fā)展的需要，全面加強(qiáng)縣級(jí)供電企業(yè)管理，按照國(guó)網(wǎng)公司及省公司智能電網(wǎng)工作部署，圍繞建設(shè)“一強(qiáng)三優(yōu)”現(xiàn)代企業(yè)的發(fā)展目標(biāo)，縣級(jí)供電企業(yè)的生產(chǎn)設(shè)施得到了一定的改善.在省公司加強(qiáng)規(guī)范化管理的背景下，隨著信息通信技術(shù)的高速發(fā)展和普及，縣級(jí)供電企業(yè)開始了較大力度的信息化建設(shè).OA系統(tǒng)、協(xié)同辦公、MIS系統(tǒng)等辦公軟件也相應(yīng)的通過企業(yè)網(wǎng)絡(luò)平臺(tái)進(jìn)行了推廣及應(yīng)用.可以說，網(wǎng)絡(luò)的普及切實(shí)地帶動(dòng)了電力企業(yè)工作效率的提升.

不管之前對(duì)IP地址是否熟悉，一旦接觸到了Internet網(wǎng)絡(luò)，那么就會(huì)直接或間接地與IP地址產(chǎn)生聯(lián)系.因?yàn)闊o論用何種方式訪問Internet資源，歸根究底都需要用IP地址來實(shí)現(xiàn).毫不夸張地講，IP地址其實(shí)就是網(wǎng)絡(luò)的根基.越來越多的辦公軟件都是基于網(wǎng)絡(luò)平臺(tái)，在這個(gè)前提下，如何管理和維護(hù)好網(wǎng)絡(luò)，確保網(wǎng)絡(luò)時(shí)時(shí)暢通，如何有效地分配好全局的IP地址，保證地址不沖突，成為局信息部門的首要工作問題.

網(wǎng)絡(luò)中斷是網(wǎng)絡(luò)事故中最常見的問題之一，而此問題的產(chǎn)生多與IP地址有關(guān).只要有一臺(tái)個(gè)人電腦的地址設(shè)置不正確，網(wǎng)絡(luò)的傳輸就會(huì)受到影響，甚至整個(gè)網(wǎng)絡(luò)都會(huì)癱瘓.對(duì)于在Internet和Intranet網(wǎng)絡(luò)上，使用TCP／IP協(xié)議時(shí)每臺(tái)主機(jī)必須具有獨(dú)立的IP地址，有了IP地址的主機(jī)才能與網(wǎng)絡(luò)上的其它主機(jī)進(jìn)行通訊.隨著網(wǎng)絡(luò)應(yīng)用普及，網(wǎng)絡(luò)客戶急劇膨脹，由于靜態(tài)IP地址分配，IP地址沖突和IP地址篡改的麻煩相繼而來.IP地址篡改，網(wǎng)絡(luò)能正常運(yùn)行，但是網(wǎng)絡(luò)傳輸質(zhì)量發(fā)生了變化，改變的原因是路由改變了.IP地址沖突也會(huì)造成很壞的影響，以安吉縣供電局為例，全局的內(nèi)網(wǎng)機(jī)有516臺(tái)，外網(wǎng)機(jī)有60臺(tái)，如果中間有任意兩臺(tái)IP地址沖突，那么都會(huì)給雙方的正常辦公造成一定影響.

1 造成IP地址沖突的原因

只要網(wǎng)絡(luò)上存在沖突的機(jī)器，網(wǎng)絡(luò)客戶不能正常工作.因?yàn)橹灰袥_突的網(wǎng)絡(luò)終端一啟動(dòng)，在客戶機(jī)上都會(huì)頻繁出現(xiàn)地址沖突的提示：“如果網(wǎng)絡(luò)上某項(xiàng)應(yīng)用的安全策略是基于IP地址進(jìn)行的，這種非法的IP用戶會(huì)對(duì)應(yīng)用系統(tǒng)的安全造成了嚴(yán)重威脅.出現(xiàn)問題有時(shí)并不能及時(shí)發(fā)現(xiàn)，只有在相互沖突的網(wǎng)絡(luò)客戶同時(shí)都在開機(jī)狀態(tài)時(shí)才能顯露出問題，所以具有相當(dāng)?shù)碾[蔽性.一般而言，下列幾種情況有可能造成IP地址沖突：

（1）很多用戶對(duì)TCP／IP并不了解，不知道“IP地址”、“子網(wǎng)掩碼”、“默認(rèn)網(wǎng)關(guān)”等參數(shù)如何設(shè)置，有時(shí)用戶不是從管理員處得到的上述參數(shù)的信息，或者是用戶無意修改了這些信息.

（2）管理員或用戶根據(jù)管理員提供的上述參數(shù)進(jìn)行設(shè)置時(shí)，由于失誤造成參數(shù)輸錯(cuò).

（3）在客戶機(jī)維修調(diào)試時(shí)，維修人員使用臨時(shí)IP地址應(yīng)用造成.

（4）有人竊用他人的IP地址.

2 解決IP地址沖突的辦法

2.1 使用Dos自帶命令

如果導(dǎo)入網(wǎng)絡(luò)管理軟件，比如電力企業(yè)都要求安裝的桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)（簡(jiǎn)稱桌面管控系統(tǒng)），也許就能夠更加輕松地發(fā)現(xiàn)并解決問題.但是利用ping等命令，基本上也可以解決簡(jiǎn)單的問題.當(dāng)發(fā)生故障以后，首先使用ping命令.如果使用得當(dāng)，其作用堪與昂貴的軟件相媲美.當(dāng)出現(xiàn)IP地址沖突時(shí)候，我們首先要確定沖突發(fā)生的VLAN.

通過IP規(guī)劃的VLAN定義，和沖突的IP地址，找到?jīng)_突地址所在的網(wǎng)段.這對(duì)成功地找到網(wǎng)卡MAC地址很關(guān)鍵，因?yàn)橛行┚W(wǎng)絡(luò)命令不能跨網(wǎng)段存取.將客戶機(jī)與網(wǎng)絡(luò)隔離，讓非法的IP地址的微機(jī)在網(wǎng)上運(yùn)行，網(wǎng)管員便可以設(shè)法找到它了.應(yīng)用網(wǎng)絡(luò)測(cè)試命令有ping命令和arp命令.使用ping命令，假設(shè)沖突的IP地址為10.147.142.75，在Dos窗口，命令格式如下，其中斜體部分是命令結(jié)果.

之所以要ping這臺(tái)機(jī)器，是出于兩個(gè)目的：首先要知道要找的機(jī)器確實(shí)在網(wǎng)絡(luò)上；其次，要知道這臺(tái)機(jī)器網(wǎng)卡的MAC地址，那么如何知道它的MAC地址呢？這就需要使用第二個(gè)命令arp.arp命令只能在某一個(gè)VLAN中使用有效，它是低層協(xié)議，并不能跨路由.

以上列表表示出沖突IP地址10.147.142.75處網(wǎng)卡的 MAC地址為00－30－88－02－dc－5c.接下來就可以通過其他記錄方式找到MAC地址為00－30－88－02－dc－5c的網(wǎng)卡的具體物理位置.

2.2 使用桌面管控軟件

當(dāng)然，如果在發(fā)現(xiàn)自己機(jī)器IP地址出現(xiàn)沖突的提示后，大多數(shù)人的反應(yīng)是先跟局信息部門聯(lián)系.在信息部門的相關(guān)人員了解情況后，便可以登錄到桌面管控系統(tǒng)進(jìn)行檢查，來判斷該IP是否存在多臺(tái)機(jī)器使用的情況，只要之前有過桌面管控注冊(cè)，那么在軟件里都可以查到相應(yīng)的機(jī)器記錄以及設(shè)備使用人，便于工作人員第一時(shí)間為你排除障礙.假設(shè)沖突的IP地址為10.147.142.130，在桌面管控軟件里，通過查詢?nèi)缦拢ㄒ妶D1）：

圖1 通過桌面管控軟件來查詢?cè)揑P的占用1況

但是以上辦法也有一定局限性，因?yàn)楫吘共皇侨巳硕伎梢酝ㄟ^桌面管控軟件進(jìn)行IP監(jiān)測(cè).同時(shí)如果信息部門處理人員不在計(jì)算機(jī)旁，也就無法在第一時(shí)間處理此問題.

2.3 提前預(yù)防，做好地址備份

當(dāng)然，任何事物，防范沖突永遠(yuǎn)比解決沖突更重要，因此也就對(duì)電力企業(yè)信息部門日常工作提出了新的要求.

做好預(yù)防IP地址沖突，是問題的根本.解決這種問題并不是很難，需要信息部門網(wǎng)絡(luò)管理員做到以下幾點(diǎn)：

首先，做好整個(gè)局域網(wǎng)終端用戶計(jì)算機(jī)的桌面管控注冊(cè)，指定IP地址，根據(jù)用戶的類別統(tǒng)一命名計(jì)算機(jī)，并給定IP地址.這樣一看機(jī)器名，就知道是哪個(gè)部門哪臺(tái)機(jī)器，便于管理.同時(shí)，統(tǒng)一規(guī)劃分配IP地址給每臺(tái)終端機(jī)器，并建立IP地址分配登記表.

其次，統(tǒng)計(jì)每個(gè)終端機(jī)器網(wǎng)卡的MAC地址，建立IP地址與MAC地址對(duì)應(yīng)表.在MS－DOS方式下鍵入命令“ipconfig／all”就可以獲得本機(jī)IP地址和MAC地址.可以將此方法公布一下，然后要求相關(guān)用戶將本機(jī)MAC地址抄錄上報(bào)到企業(yè)信息部門，再進(jìn)行登記匯總.也可在設(shè)定機(jī)器名和IP地址時(shí)一并統(tǒng)計(jì)好.信息部門網(wǎng)絡(luò)管理員也可以利用Nbtstat命令來遠(yuǎn)程獲得指定機(jī)器的MAC地址.在MS－DOS方式下鍵入命令“Nbtstat－a遠(yuǎn)程計(jì)算機(jī)名”，即可獲得指定機(jī)器的IP地址和MAC地址（見圖2）.

圖2 局省外網(wǎng)的數(shù)據(jù)備份庫(kù)

最后，將IP地址與MAC地址綁定.這要根據(jù)局域網(wǎng)接入互聯(lián)網(wǎng)的方式不同而采用不同的辦法.

方法一：交換機(jī)控制.解決IP地址的最徹底的方法是使用交換機(jī)進(jìn)行控制，即在TCP／IP第二層進(jìn)行控制.使用交換機(jī)提供的端口的單地址工作模式，即交換機(jī)的每一個(gè)端口只允許一臺(tái)主機(jī)通過該端口訪問網(wǎng)絡(luò)，任何其它地址的主機(jī)的訪問被拒絕.但此方案的最大缺點(diǎn)在于它需要網(wǎng)絡(luò)上全部采用交換機(jī)提供用戶接入，這在交換機(jī)相對(duì)昂貴的當(dāng)下不是一個(gè)能夠普遍采用的解決方案.

方法二：路由器隔離.采用路由器隔離的辦法的主要依據(jù)是MAC地址作為以太網(wǎng)卡地址全球唯一不能改變.其實(shí)現(xiàn)方法為通過SNMP協(xié)議定期掃描各路由器的ARP表，獲得當(dāng)前IP和MAC的對(duì)照關(guān)系，和事先合法的IP和MAC地址比較，如不一致，則為非法訪問.對(duì)于非法訪問，有幾種辦法可以制止，如：

（1）使用正確的IP與MAC地址映射覆蓋非法的IP－MAC表項(xiàng)；

（2）向非法訪問的主機(jī)發(fā)送ICMP不可達(dá)的欺騙包，干擾其數(shù)據(jù)發(fā)送；

（3）修改路由器的存取控制列表，禁止非法訪問.

路由器隔離的另外一種實(shí)現(xiàn)方法是使用靜態(tài)ARP表，即路由器中IP與MAC地址的映射不通過ARP來獲得，而采用靜態(tài)設(shè)置.這樣，當(dāng)非法訪問的IP地址和MAC地址不一致時(shí)，路由器根據(jù)正確的靜態(tài)設(shè)置轉(zhuǎn)發(fā)的幀就不會(huì)到達(dá)非法主機(jī).

在使用該方法之前，首先需要將指定網(wǎng)卡的物理地址查找到；要是只有少量的工作站地址需要綁定時(shí)，那么可以在Win2000或Win XP系統(tǒng)中，通過“ipconfig／all”命令，來得到指定工作站網(wǎng)卡的MAC地址，在Win98環(huán)境中通過“msconfig”命令，得到指定網(wǎng)卡的物理地址.

查找到指定網(wǎng)卡的物理地址后，可以依次單擊“開始”／“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行框中，執(zhí)行“cmd”命令，將系統(tǒng)切換到Ms－dos工作方式，并在DOS命令行中執(zhí)行“arp－s ip mac”格式的字符串命令，這樣就能將指定IP地址限制在指定網(wǎng)卡中了.例如，要是希望將“10.147.142.75”這樣的IP地址，限制在MAC地址“00－21－30－E7－86－BB”的網(wǎng)卡上時(shí)，那么可以在 DOS命令行中輸入“arp－s 10.147.142.75 00－21－30－E7－86－BB”字符串命令，單擊回車鍵后，該工作站的IP地址就無法隨意更改了；倘若此時(shí)強(qiáng)行更改IP地址時(shí)，工作站無論如何都是連不上網(wǎng)的.這種方法雖然操作起來有點(diǎn)簡(jiǎn)單，但它只對(duì)通過代理服務(wù)器方式上網(wǎng)的工作站有效，而對(duì)其他類型的工作站卻無效.在電力企業(yè)中，一般通過使用SecureCRT軟件來方便地實(shí)現(xiàn)此功能（見圖3）.

圖3 通過Secu reCRT軟件來綁定IP與MAC地址

使用靜態(tài)IP地址分配可以對(duì)各部門進(jìn)行合理的IP地址規(guī)劃，能夠在第三層上方便地跟蹤管理，如果通過加強(qiáng)對(duì)MAC地址的管理，同樣也會(huì)有效地解決這一問題.

總之，在網(wǎng)絡(luò)用戶連網(wǎng)的同時(shí)，建立IP地址和MAC地址的信息檔案，自始至終地對(duì)局域網(wǎng)客戶執(zhí)行嚴(yán)格的管理、登記制度.通過桌面管控系統(tǒng)將每個(gè)用戶的IP地址、MAC地址、物理位置和用戶身份等信息記錄在信息部門網(wǎng)絡(luò)管理員的數(shù)據(jù)庫(kù)中.試想，在上面說到的情況中，如果知道了非法用戶的MAC地址后，即使不通過桌面管控軟件，也可以從信息部門網(wǎng)絡(luò)管理員的數(shù)據(jù)庫(kù)中進(jìn)行查尋.如果對(duì)MAC地址記錄全面，便可以立即找到具體的使用人的信息，這會(huì)節(jié)省大量寶貴時(shí)間.同時(shí)對(duì)于某些應(yīng)用應(yīng)避免使用IP地址來進(jìn)行權(quán)限限制，如果從MAC地址上進(jìn)行限制相對(duì)來說要安全的多，這樣可以有效地防止有人竊取IP地址的僥幸行為.

網(wǎng)絡(luò)是一個(gè)企業(yè)的“信息高速公路”，只有網(wǎng)絡(luò)技術(shù)強(qiáng)，才能更好地保障企業(yè)的信息安全，車才跑得快.而IP地址管理是一項(xiàng)長(zhǎng)期的工作，管理的好壞，直接可以影響到電力企業(yè)部門之間的正常運(yùn)作.因此，在信息部門的日常工作中，只有抓好平時(shí)的細(xì)節(jié)，做好IP地址數(shù)據(jù)的備份并熟練處理網(wǎng)絡(luò)問題的技能，才可以有效地保障電力企業(yè)的快速發(fā)展，才可以在不斷發(fā)展進(jìn)步的企業(yè)面前創(chuàng)優(yōu)爭(zhēng)先.