■

IP地址管理是網(wǎng)絡(luò)管理中一項至關(guān)重要的步驟，無論是新接入設(shè)備還是重新配置工作站，都需要嚴(yán)格按照IP地址規(guī)劃方案來進行，否則，我們將時常受到IP地址沖突的困擾。為了減少這種低級錯誤的出現(xiàn)，我們應(yīng)該主動出擊，讓用戶無法隨意配置或修改局域網(wǎng)中規(guī)劃好的IP地址。

環(huán)境環(huán)境

筆者單位局域網(wǎng)規(guī)模將近有140個網(wǎng)絡(luò)節(jié)點，這些節(jié)點分別分布在老辦公區(qū)和新辦公樓，共有老辦公區(qū)三個樓層和新辦公樓六個樓層，各辦公室都通過100M雙絞線與普通交換機連接，每個普通交換機又通過光纖連接到單位H3C 5800核心交換機，交換機再和MSR 5660路由器連接，所有網(wǎng)絡(luò)節(jié)點均通過F 100E防火墻與Internet聯(lián)通。根據(jù)全省統(tǒng)一規(guī)劃，我單位使用的是10.211.4.0網(wǎng)絡(luò)的IP地址，網(wǎng)關(guān)地址則為：10.211.4.254，子網(wǎng)掩碼地址為 ：255.255.255.0 ；通常情況下，我們只用到140個左右的IP地址，地址空間很大。

故障現(xiàn)象

盡管在新部署上網(wǎng)設(shè)備的時候，網(wǎng)絡(luò)管理員都嚴(yán)格按照IP地址規(guī)劃來為各個上網(wǎng)設(shè)備配置了IP地址參數(shù)，并且做了詳細記錄和備案，可是經(jīng)過一段時間后，經(jīng)常會出現(xiàn)IP地址沖突而導(dǎo)致網(wǎng)絡(luò)故障的現(xiàn)象，嚴(yán)重影響了局域網(wǎng)中的上網(wǎng)用戶的工作效率，也給網(wǎng)管員們加大了工作量。

故障原因分析

出現(xiàn)頻繁IP地址沖突的主要原因就是，部分網(wǎng)絡(luò)用戶不當(dāng)?shù)挠幸獠僮骰蛘邿o意操而引起的。通常有以下三種情況：一是一些用心不良的上網(wǎng)用戶為了獲得某臺主機系統(tǒng)的管理員權(quán)限，而有意偷用目標(biāo)主機系統(tǒng)的IP地址，從而造成上網(wǎng)地址沖突的現(xiàn)象；二是局域網(wǎng)中的非法破壞分子，為了破壞局域網(wǎng)穩(wěn)定運行的目的，故意制造IP地址沖突故障，三是普通上網(wǎng)用戶在自己動手處理上網(wǎng)參數(shù)的時候，沒有嚴(yán)格按照局域網(wǎng)IP地址規(guī)劃來進行，或者是安裝、卸載各種應(yīng)用程序或安裝、卸載網(wǎng)卡等操作不當(dāng)而致。

解決方案

為了有效避免上網(wǎng)用戶任意改動IP地址，我們可以采用IP地址綁定的方法，直接將局域網(wǎng)中各工作站的IP地址與對應(yīng)網(wǎng)卡設(shè)備的物理地址綁定在一起，這樣限定了特定網(wǎng)卡設(shè)備只能使用特定的IP地址進行上網(wǎng)連接，而使用其它IP地址進行上網(wǎng)時無法成功，惡意用戶即使搶用了重要主機系統(tǒng)的IP地址，也不能順利地連接到網(wǎng)絡(luò)中，那么地址沖突現(xiàn)象也就不會發(fā)生了。

但是經(jīng)過實踐發(fā)現(xiàn)，這種方案并不理想。具體地說，簡單地將IP地址與網(wǎng)卡MAC地址綁定在一起的方法，只能有效防范惡意用戶搶用別人的IP地址，但是無法防范合法用戶操作上的無意失誤引起的IP地址沖突現(xiàn)象，并不能徹底“擺脫”有操作不當(dāng)引起的麻煩。

應(yīng)對策略

有鑒于此，我們必須在核心交換機上同時采用兩種地址綁定操作，以便徹底解決由操作不當(dāng)引起的地址沖突問題：一種是將全部可信任接入設(shè)備的IP地址與它們的網(wǎng)卡MAC地址綁定在一起，另外一種就是將其他沒有被使用到的空閑IP地址集中綁定到一個虛擬的MAC地址上。經(jīng)過上面兩個步驟的操作，上網(wǎng)用戶既不能使用已經(jīng)連網(wǎng)工作站的IP地址，又不能使用局域網(wǎng)中空閑的IP地址，因此只要局域網(wǎng)中的上網(wǎng)用戶隨意改動IP地址的話，他就不能正常接入到局域網(wǎng)網(wǎng)絡(luò)中。

不過這樣配置后，也帶來了另外一個麻煩，那就是如果局域網(wǎng)中有新的用戶需要上網(wǎng)訪問時，就不能由自己作主任選IP地址，而必須事先向網(wǎng)絡(luò)管理員申請IP上網(wǎng)，網(wǎng)絡(luò)管理員需要對空閑地址進行放號，上網(wǎng)用戶才能正常連接到局域網(wǎng)中。實踐證明，這種方法不但可以有效避免IP地址沖突故障發(fā)生，而且還能有效地防止網(wǎng)絡(luò)病毒通過局域網(wǎng)非法傳播，從而可以有效地保障局域網(wǎng)的穩(wěn)定運行。

綁定方法介紹

從理論上來講，我們應(yīng)該首先將局域網(wǎng)中的網(wǎng)關(guān)地址10.211.4.254綁定到對應(yīng)的MAC地址上，這樣處理的好處在于可以有效控制局域網(wǎng)中ARP病毒，接下來，我們應(yīng)該對IP地址規(guī)劃表中已經(jīng)被使用的IP地址執(zhí)行綁定操作，最后還應(yīng)該將還未被使用的即空閑的IP地址集中綁定到一個虛擬的網(wǎng)卡物理地址上，經(jīng)過這三個步驟的處理后，IP地址沖突的情況就不會出現(xiàn)了。

要綁定指定的網(wǎng)關(guān)地址，我們首先以管理員身份登錄進入MSR 5800交換機后臺系統(tǒng)，在該系統(tǒng)的命令行狀態(tài)執(zhí)行字符串命令“system”，將系統(tǒng)切換到交換機配置全局狀態(tài)，輸入“arp static 10.211.4.254 10.211.4.254 0023-7DC1-B22E ”，單擊回車鍵后，網(wǎng)關(guān)地址10.211.4.254就與00-23-7D-C1-B2-2E MAC地址綁定上了，其它工作站以后也就無法使用該地址了。

接著，就是為所有的被使用的IP地址都需要與相應(yīng)的網(wǎng)絡(luò)設(shè)備的MAC地址綁定起來，方法就是在交換機后臺系統(tǒng)的全局配置狀態(tài)下，執(zhí)行“display arp”字符串命令，將顯示出來的交換機ARP表中的內(nèi)容拷貝到記事本編輯窗口中，通過編輯文本，將編輯好的ARP表內(nèi)容重新粘貼到交換機的ARP表中，快速完成綁定工作。

最后再將未被使用的IP地址綁定到虛擬的MAC地址上，例如我們需要將10.211.4.250地址綁定到00-25-4E-5A-75上，我 們只要在交換機后臺系統(tǒng)的全局配置狀態(tài)下，執(zhí)行字符串命令“arp static 10.211.4.250 0023-7DC1-B22E ”，之后我們再按同樣的方法將其它空閑IP地址綁定到虛擬MAC地址0023-7DC1-B22E上。

完成上述所有步驟后，網(wǎng)絡(luò)用戶就不能隨意配置或修改IP地址了，倘若有新的網(wǎng)絡(luò)設(shè)備需要配置新的IP地址，網(wǎng)絡(luò)管理員可以通過下面的操作步驟從未被使用的IP地址列表中釋放出來：

假如，我們打算使用10.211.4.250這個地址來配置一臺新加入的工作站，我們需要首先通過交換機后臺管理系統(tǒng)執(zhí)行“system”命令，將系統(tǒng)狀態(tài)切換到全局配置狀態(tài)，在該狀態(tài)下輸入字符串命令“display arp”，單擊回車鍵后，從其后出現(xiàn)的ARP列表中檢查一下10.211.4.250地址是否處于空閑狀態(tài)，要是目標(biāo)IP地址處于空閑狀態(tài)，我們就能繼續(xù)執(zhí)行下面的釋放步驟了：

輸入字符串命令“undo arp stati 10.211.4.250 0023-7DC1-B22E”，單擊回車鍵后，目標(biāo)IP地址10.211.4.250就從地址綁定列表中釋放出來了，我們只要將該地址設(shè)置到相應(yīng)的工作站中，工作站就被接入到單位局域網(wǎng)中了。我們可以在核心交換機后臺系統(tǒng)中執(zhí)行““display arp 10.211.4.250”，從其后返回的結(jié)果界面中我們可以查看得到對應(yīng)10.211.4.250地址的網(wǎng)卡物理地址為000d-88f8-4e88，然 后 我 們 執(zhí) 行”arp static 10.211.4.250”命令，保存退出后，結(jié)束綁定即可。

總結(jié)

通過對局域網(wǎng)核心交換機進行配置，所有規(guī)劃表中的IP地址都被綁定，任何用戶在未有授權(quán)的情況下，都不能接入網(wǎng)絡(luò)，盡管控制過程有些復(fù)雜，但此方法可以很好的控制整個局域網(wǎng)的接入安全，避免了非法接入將網(wǎng)絡(luò)病毒或者木馬程序帶入到局域網(wǎng)工作環(huán)境中。

當(dāng)然，以上方法并不能保證萬無一失，如果非法用戶竊取了交換機ARP列表中的內(nèi)容，并修改自己工作站的網(wǎng)卡物理地址以及IP地址，并且在被竊IP不在線的情況下，也可以占用此IP進行上網(wǎng)操作，不過這種情況出現(xiàn)的概率非常低。