劉曉紅

摘要： 分析企業(yè)網絡的基礎IP管理，IP地址分類與分配，指出IP管理的重要性與分配方案。對于常遇的IP沖突問題，介紹了生成的原因并給出了相應的解決方案，為網絡管理員提供了方法與思路。

Abstract： This paper analyzes the enterprise network basic IP management， IP address classification and distribution， and points out the importance of IP management and distribution program. For the common IP conflict problem， this paper introduces the cause and gives the corresponding solution， which provides the ideas and methods for network administrator.

關鍵詞： IP地址；網絡協議；MAC地址；沖突

Key words： IP address；network protocol；MAC address；conflict

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1006-4311（2017）01-0201-02

0 引言

作為網絡管理員，企業(yè)內部網絡的IP管理是最基礎的工作。企業(yè)員工越多，網絡故障的機率也相應增加。其中IP地址沖突是讓企業(yè)管理員一直比較頭疼的問題。正確分配IP地址并且防止沖突，以及出現沖突后如何能快速找到根源是本文所要探討的。

1 IP地址管理

IP地址指的是互聯網協議地址（Internet Protocol Address），是IP Address的縮寫。它是網絡終端通訊的基礎，每個網絡及每臺主機都會分配給一個邏輯地址，用此來屏蔽物理地址的差異。目前互聯網是在IPv4協議的基礎上運行的， IPv4定義的地址空間因為有限，隨著網絡的飛速發(fā)展已經將被耗盡，所以IPv6將是不久的將來所使用的互聯網協議。

1.1 IP地址類型

1.1.1 公有地址

公有地址（Public address）是可以直接訪問互聯網的地址，它是由因特網信息中心Inter NIC（Internet Network Information Center）來負責的。在我國通常由聯通、電信兩大運營商來提供，通過它直接訪問因特網。

1.1.2 私有地址

私有地址（Private address）屬于非注冊地址，是保留地址，不能直接訪問互聯網，只能在企業(yè)內部局域網所使用的。私有地址被分為三大類：

A類 10.0.0.0--10.255.255.255；

B類 172.16.0.0--172.31.255.255；

C類 192.168.0.0--192.168.255.255。

1.2 IP地址分配

企業(yè)網絡中的每臺終端都需要分配一個IP地址，同時指定相應的子網掩碼及默認網關，用DHCP（動態(tài)主機配置協議）或手工指定這兩種方式來進行分配。

1.3 IP管理方式

企業(yè)根據自身的特點來對局域網IP進行有效管理。企業(yè)規(guī)模的大小通常決定其IP地址的分類，大型企業(yè)可以采用A類私有地址，中小型企業(yè)采用B類和C類地址為宜。網絡管理員根據自己的喜好或隨意定義IP地址是錯誤的，往往會導致IP網絡管理混亂，甚至無法與互聯網通信。

1.3.1 嚴格定義IP地址范圍

網絡管理員要嚴格按照私有地址分類來確定IP地址范圍，保證IP地址分配規(guī)范，同時做好記錄文檔，以便日后檢索及維護。

1.3.2 明確IP分配方案

作為企業(yè)的網絡管理員，要以維護為目的去管理，只為當前輕松省事的做法是錯誤的。在IP地址分配采用DHCP和手工指定方面要有清楚認識，兩者各有優(yōu)缺點，不同的場合有著不同的應用。

企業(yè)IP地址分配，首選的是手工指定，并建立IP地址分配記錄表。大中型企業(yè)人數眾多，手工指定IP地址工作量很大。這種方式雖然前期工作繁瑣，但是對后期維護是相當有利的，客戶端信息均有記錄，哪個地方有問題可以迅速定位故障點。DHCP分配IP地址，雖然簡化了TCP/IP協議設置，避免了分配出錯，但是在后期維護中定位故障點比較艱難，為排除故障解決問題增加了相當大的難度，所以DHCP在企業(yè)管理中適合應用到一些無關緊要小范圍之內。

2 IP地址沖突

企業(yè)局域網中IP地址沖突是常見問題之一，它會導致用戶網絡無法通信，影響正常工作。究其原因，大致是由于ARP攻擊和人為指定IP地址引起沖突這兩種情況。

2.1 ARP攻擊

國際標準化組織（ISO）和國際電報電話咨詢委員會（CCITT）聯合制定的開放系統(tǒng)互連參考模型（Open System Interconnect 簡稱OSI），它是一種功能結構的框架，是為不同種類的計算機系統(tǒng)之間連接提供了統(tǒng)一的框架，從低到高分別是：第一層物理層、第二層數據鏈路層、第三層網絡層、第四層傳輸層、第五層會話層、第六層表示層和第七層應用層（如圖1）。它的每一層的功能是獨立的，并且下一層的通信功能是為其上一層提供服務，而與其他層的具體實現無關，層與層之間的會話規(guī)定，是通過通信原語來實現，兩個同層之間的通信規(guī)則和約定稱之為協議。通常把第一層至第四層之間的協議稱為下層協議，第五層至第七層之間的協議稱為上層協議。

ARP（Address Resolution Protocol）地址解析協議，是對IP地址解析而獲取其物理地址的一個TCP/IP協議。IP地址在ISO/OSI模型的第三層，MAC物理地址在ISO/OSI模型的第二層，它們不能直接相互打通信。

網絡設備在通過以太網發(fā)送IP數據包時，需要先封裝第三層（32位IP地址）、第二層（48位MAC地址）的報頭，然后根據接收端的目標IP地址進行發(fā)送，接收端使用ARP地址解析協議，可根據網絡層IP數據包包頭中的IP地址信息解析出相應的硬件物理地址（MAC地址）信息，從而保證網絡通信的順利進行。如圖1。

2.1.1 現象與原因

ARP攻擊是由局域網內電腦感染ARP病毒導致的，它是一種入侵局域網的電腦的木馬病毒，對用戶個人信息有很大的威脅，存在極大的安全隱患。由于在1980年RFC826就出版了，所以ARP是網絡早期的通信協議，現在網絡應用中已經無法對其進行修改，因此ARP病毒就是利用該協議存在的漏洞進行傳播，它使得電腦經常發(fā)生IP地址沖突，導致電腦掉線而無法網絡通信。ARP病毒只要成功感染一臺電腦，就可能使整個局域網都無法上網，甚至導致整個內部網絡癱瘓。ARP攻擊的方法通常有兩種：網關欺騙和路由欺騙。

2.1.2 解決辦法

首選要準確定位ARP的攻擊源。企業(yè)的網絡管理員應該先從網絡硬件上查起，交換機是連接用戶的最基礎網絡設備，所以管理員觀察IP沖突同一網段交換機上的數據狀態(tài)指示燈，如果發(fā)現其閃爍頻率較快，狀態(tài)異常的端口則可初步判定為沖突源，斷開其端口連接，如果網絡恢復正常，那么此端口所連接的終端即為ARP的攻擊源。交換機級聯層數較多的可以使用逐級斷網方式來排查，最終確定感染源后對其進行ARP病毒查殺。

目前還沒有根本防止ARP攻擊的辦法，因此在日常企業(yè)網絡管理和維護中，應做好提前預防，網絡管理員對交換機的IP與MAC的綁定及VLAN虛網和端口的綁定在一定程度上可以起到防止ARP攻擊，但這樣企業(yè)網絡管理員對網絡的使用及管理帶來很大的約束，不能靈活應用，并且有損于網絡的傳輸效能，使得網速變慢及浪費網絡帶寬。終端個人用戶安裝ARP防火墻，殺毒軟件等是一種相對有效的防范措施。

2.2 手工指定IP地址

DHCP分配IP地址可以有效防止個人用戶IP地址沖突，手工指定IP地址雖然可以方便管理維護局域網，但個人用戶IP地址沖突也會經常出現。

2.2.1 現象與原因

一般原因是個人用戶對IP地址設置不熟或者隨意設定IP地址，其次是管理員記不清有效IP而設定與其他人相同的IP造成。這樣的沖突不會使得整個局域網都受到影響，而是沖突雙方無法上網或進行網絡通信。

2.2.2 解決辦法

大中型企業(yè)的網絡結構均應含接入交換機，匯聚交換機和三層交換機，對于這樣層級較多的網絡，如果個人用戶設定IP地址引起沖突，網絡管理員應讓擁有合法IP地址的用戶先斷開網絡，繼而登錄交換機，由上而下去找出沖突源。各廠家交換機設置命令不同，但功能一致，以華為交換機為例說明，假設沖突源終端的IP是IP_A，對應的MAC地址是MAC_B（如圖2）。

①登錄三層交換機，用顯示ARP表命令找出沖突源的MAC地址，即：Display arp IP_A，此命令執(zhí)行后就能看到沖突源IP_A對應的MAC_B，并且是從哪個端口連接的匯聚交換機。②登錄相應的匯聚交換機，再找出該MAC_B是來自哪個端口，即：Display mac-address MAC_B，在顯示的結果中就能看到這個MAC地址來自哪個端口。根據該端口，找出下面接入的接入終端交換機。③登錄以上找到的接入交換機，執(zhí)行與第二步一樣的Display mac-address MAC_B，從結果中再查看具體的接入端口。④根據具體接入端口在綜合布線過程中記錄的對應信息點號找出是在哪個位置（或房間號），由此就找到沖突源的具體位置。⑤修改沖突源地址，避免與合法IP重復。

3 結論

本文對企業(yè)網絡的基礎IP管理做了簡單分析，提出IP管理的重要性與分配方案，適合企業(yè)網絡管理并為管理員提供了方便維護思路。對于已經成為管理員心腹大患的IP沖突問題，詳細剖析了生成的原因以及危害，并給出了相應的解決方案。雖然網絡管理上技術手段必不可少，但是對于企業(yè)來說，建立完善的網絡使用管理制度才會有效、充分發(fā)揮和利用企業(yè)網絡資源，保障網絡系統(tǒng)正常、安全、可靠地運行。

參考文獻：

[1]林川.計算機網絡-基礎應用教程[M].清華大學出版社， 2009：15.

[2]申懷亮，申一鳴.網絡技術與安全管理[M].北京：清華大學出版社，2014：16-26.

[3]史建政，于東敏.局域網IP地址的管理與分配淺析[J].廊坊師范學院學報，2006（04）.