田 野

(駐馬店高級(jí)技工學(xué)校，河南 駐馬店 463000）

0 引言

隨著Internet的迅速發(fā)展及網(wǎng)絡(luò)設(shè)施的大規(guī)模投入，作為網(wǎng)絡(luò)管理人員，面臨的問題越來越多，如：網(wǎng)絡(luò)的穩(wěn)定性；網(wǎng)絡(luò)提供的功能與服務(wù)質(zhì)量；用戶多變的需求等。其中局域網(wǎng)的正常運(yùn)行最基本也是最主要的問題就是IP地址的管理。IP地址管理不當(dāng)將會(huì)給網(wǎng)絡(luò)管理人員和網(wǎng)絡(luò)用戶造成極大的不便，在這其中，IP沖突是IP地址管理中最具代表性的問題，也是網(wǎng)絡(luò)地址管理的基本問題。

1 IP沖突的現(xiàn)象及原因分析

1.1 IP地址沖突的現(xiàn)象

IP地址沖突是對(duì)用戶而言的，IP地址沖突發(fā)生時(shí)，用戶會(huì)看到一些提示信息，如在常用的windows xp操作系統(tǒng)下會(huì)提示：“windows系統(tǒng)錯(cuò)誤，IP地址與網(wǎng)絡(luò)上的其他系統(tǒng)有沖突”這時(shí)，發(fā)生沖突的計(jì)算機(jī)均不能正常訪問網(wǎng)絡(luò)，簡單的說，IP沖突就是局域網(wǎng)內(nèi)兩個(gè)以上的用戶在使用同一個(gè)IP地址。

1.2 IP地址沖突的原因

TCP/IP是一組協(xié)議的簡稱，包括上百個(gè)各種功能的協(xié)議，如：遠(yuǎn)程登錄、文件傳輸?shù)?，而TCP協(xié)議和IP協(xié)議是保證數(shù)據(jù)完整傳輸?shù)膬蓚€(gè)基本的重要協(xié)議。TCP/IP協(xié)議模型由四層結(jié)構(gòu)組成：網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。

計(jì)算機(jī)啟動(dòng)時(shí)，TCP/IP有一個(gè)初始化過程，在這一過程中，計(jì)算機(jī)發(fā)出一個(gè)ARP廣播以便為IP地址請(qǐng)求地址解析。如果另一個(gè)主機(jī)回答此ARP請(qǐng)求分組中的任何一個(gè)，就表示該主機(jī)己經(jīng)在使用此IP地址，地址發(fā)生了沖突。檢側(cè)到地址沖突時(shí)，計(jì)算機(jī)照樣引導(dǎo)，但禁用此廣播ARP請(qǐng)求的計(jì)算機(jī)上的重復(fù)IP地址，并顯示一條IP地址沖突的錯(cuò)誤提示信息。

由TCP/IP工作原理可以看出，IP沖突的實(shí)質(zhì)就是IP的重復(fù)使用，共原因有以下幾種：

1）管理員管理不善，對(duì)用戶分配了相同的IP地址；

2）用戶對(duì)網(wǎng)絡(luò)參數(shù)設(shè)置不了'解，未按要求正確輸入IP地址；

3）由維修人員為做調(diào)試臨時(shí)改變計(jì)算機(jī)IP地址；

4）用戶擅自修改管理員分配的IP地址，即使用了IP地址(這里所說的非法指的是用戶未按管理員的要求使用公有或者私有IP地址)，這種情況可稱為IP地址盜用，又可分為兒種情況：靜態(tài)修改IP,成對(duì)修改物理地址和IP地址、IP欺騙等。

2 解決方案

針對(duì)以上幾個(gè)IP地址沖突的原因，前三種情祝出現(xiàn)的可能性較小，即使出現(xiàn)，解決起來相對(duì)也比較容易，對(duì)管理員而言要做到兩個(gè)方面：一是加強(qiáng)管理，避免IP地址的重復(fù)分配，另一方面要對(duì)用戶進(jìn)行簡單說明，避免誤設(shè)置，并在維修人員為了調(diào)試而修改IP地址后及時(shí)改回，同時(shí)要求用戶出現(xiàn)IP地址沖突時(shí)不要私自更改IP地址，及時(shí)報(bào)知管理員。

最后一種情況解決起來比較復(fù)雜，可以使用的方案有三種：一種是IP地址動(dòng)態(tài)分配；另一種是靜態(tài)分配，但要做到合理規(guī)劃IP地址的分配，同時(shí)加強(qiáng)對(duì)用戶計(jì)算機(jī)物理地址的管理；三是通過應(yīng)用層認(rèn)證上網(wǎng)?，F(xiàn)分別說明如下：

2.1 IP地址的動(dòng)態(tài)分配

IP地址的動(dòng)態(tài)分配主要通過DHCP實(shí)現(xiàn)。DHCP稱為動(dòng)態(tài)主機(jī)配置協(xié)議，DHCP服務(wù)允許計(jì)算機(jī)連接到網(wǎng)絡(luò)并且自動(dòng)獲取一個(gè)IP地址，配置DHCP服務(wù)的服務(wù)器可以為每一個(gè)網(wǎng)絡(luò)客戶提供一個(gè)IP地址、子網(wǎng)掩碼、缺省網(wǎng)關(guān)、以及一個(gè)以上DNS服務(wù)器的IP地址。

DHCP的優(yōu)點(diǎn)是：對(duì)網(wǎng)絡(luò)管理員而言，可以更有效的監(jiān)控IP地址和其他配置參數(shù)，DHCP不會(huì)同時(shí)租借相同的IP地址給兩臺(tái)主機(jī)；對(duì)用戶而言，只需要將TCP/IP配置項(xiàng)設(shè)置為自動(dòng)獲取IP地址或自動(dòng)獲取DNS地址，用戶計(jì)算機(jī)在不同子網(wǎng)間物理移動(dòng)時(shí)不需要重新設(shè)置IP地址。

DHCP的缺點(diǎn)是：DHCP不能發(fā)現(xiàn)網(wǎng)絡(luò)上非DHCP客戶機(jī)已經(jīng)在使用的IP地址。這樣單純使用DHCP的方式還不能解決局城網(wǎng)中IP地址非法使用的問題。原因是由于用戶可以手工設(shè)定IP，并且該手工設(shè)定的IP有可能被DHCP服務(wù)器分配給第二個(gè)用戶，從而造成IP地址的沖突。

如何控制用戶不能設(shè)定靜態(tài)IP地址是該解決方案的關(guān)鍵，這需要一個(gè)支持DHCP SNOOPING功能的交換機(jī)。DHCP SNOOPING功能是DHCP的一項(xiàng)安全特性，啟用該功能后，交換機(jī)會(huì)監(jiān)聽DHCP的IP地址分配過程，同時(shí)交換機(jī)會(huì)生成一個(gè)IP地址、MAC地址、交換機(jī)端口的對(duì)應(yīng)表.然后報(bào)據(jù)DHCP SNOOPING監(jiān)聽獲得的IP地址、MAC地址、交換機(jī)瑞口對(duì)應(yīng)表，進(jìn)行綁定。在開啟Dynamic ARP Inspection后，交換機(jī)將監(jiān)聽所有的ARP數(shù)據(jù)包，一旦發(fā)現(xiàn)ARP數(shù)據(jù)包中源IP地址和MAC地址的對(duì)應(yīng)關(guān)系和DHCP SNOOPING獲得的對(duì)應(yīng)關(guān)系不同，則丟棄數(shù)據(jù)包，這樣就可以防止用戶私自更改地址。

2.2 加強(qiáng)對(duì)物理地址的管理

可在二層交換機(jī)上做端口綁定，即端口與MAC地址綁定，這要求管理員在分配給用戶IP地址的同時(shí)要獲得用戶的MAC地址?；蛟谌龑咏粨Q機(jī)上做IP與MAC的綁定。

這種方法只能在一定程度防止用戶盜用IP地址。一種可能的情況是同一個(gè)局域網(wǎng)內(nèi)的非法用戶設(shè)置了與合法用戶相同的IP地址，雖然非法用戶無法上網(wǎng)，但合法用戶也無法上網(wǎng)。面管理員卻無法獲得非法用戶的MAC地址。這就意味著一種管理員可能無法控制的情況，對(duì)這種情?？赏ㄟ^兩種方法解決：

1）通過盡可能小的劃分VLAN，減小廣播域，這樣可有效屏蔽非法用戶所造成的影響?？梢园疵咳鹂谝粋€(gè)VLAN的方式劃分，為了節(jié)省VLAN號(hào)碼資源，有的交換機(jī)還可以啟用Isolate特性，或啟用Super VLAN特性來劃分Sub LAN。

2）當(dāng)沖突發(fā)生時(shí)，可使用MAC地址掃描軟件，獲取局城網(wǎng)IP與MAC地址對(duì)應(yīng)表，然后查看二層交換機(jī)MAC地址與端口對(duì)應(yīng)表，即可找到非法使用IP地址的計(jì)算機(jī)所在的瑞口。

2.3 使用應(yīng)用層認(rèn)證

結(jié)合IP地址動(dòng)態(tài)分配，使用認(rèn)證是一種較好的方案。這種方案的缺點(diǎn)是花費(fèi)較高，所以一般情況在局域網(wǎng)內(nèi)不使用該方案。

3 結(jié)束語

作為一個(gè)負(fù)責(zé)的網(wǎng)絡(luò)管理員，應(yīng)該在盡可能小的影響合法用戶的情況下，得到網(wǎng)絡(luò)管理的主動(dòng)性與完備。.就技術(shù)而言，以上方案基本能解決IP沖突這一問題，如果還有合理積極的管理措施比如制訂嚴(yán)格的管理制度、盡可能的收集用戶資料建立用戶資料庫等能更好的解決問題。然而管理措施遠(yuǎn)沒有技木措施有效，因?yàn)镮P地址沖突歸根結(jié)底是技術(shù)原因造成的，而且更大的問題在于這種現(xiàn)象會(huì)隨著管理技術(shù)水平的發(fā)展而發(fā)展，從而變得更加難以解決?？墒俏覀兿嘈烹S著網(wǎng)絡(luò)設(shè)備功能的日趨完善和網(wǎng)絡(luò)管理人員技術(shù)水平的提高，會(huì)有更多更好的防止IP地址沖突的方法。

［1］W.Richard Stevens.TCP/IP詳解卷 1:協(xié)議[M].北京:機(jī)械工業(yè)出版社,2000，04.

［2］謝希仁.計(jì)算機(jī)網(wǎng)絡(luò).[M].5版.北京：電子工業(yè)出版社,2008，01.