a亚洲精品_精品国产91乱码一区二区三区_亚洲精品在线免费观看视频_欧美日韩亚洲国产综合_久久久久久久久久久成人_在线区

首頁 > 網管 > 局域網 > 正文

局域網中IP地址沖突原因分析

2019-11-05 03:02:09
字體:
來源:轉載
供稿:網友
  我們知道,對于在Internet和Intranet網絡上,使用TCP/ip協議時每臺主機必須具有獨立的IP地址,有了IP地址的主機才能與網絡上的其它主機進行通訊。隨著網絡應用大力推廣,網絡客戶急劇膨脹,由于靜態IP地址分配,IP地址沖突的麻煩相繼而來。IP地址沖突造成了很壞的影響,首先,網絡客戶不能正常工作,只要網絡上存在沖突的機器,只要電源打開,在客戶機上都會頻繁出現地址沖突的提示:“假如網絡上某項應用的安全策略(諸如訪問權限,存取控制等)是基于IP地址進行的,這種非法的IP用戶會對應用系統的安全造成了嚴重威脅。

  分析原因

  出現問題有時并不能及時發現,只有在相互沖突的網絡客戶同時都在開機狀態時才能顯露出問題,所以具有相當的隱蔽性。分析原因有如下幾種情況可以造成IP地址沖突。

  1、很多用戶對TCP/IP并不了解,不知道“IP地址”、“子網掩碼”、“默認網關”等參數如何設置,有時用戶不是從治理員處得到的上述參數的信息,或者是用戶無意修改了這些信息;2、治理員或用戶根據治理員提供的上述參數進行設置時,由于失誤造成參數輸錯;3、在客戶機維修調試時,維修人員使用臨時IP地址應用造成;4、有人竊用他人的IP地址。

  解決方法

  接到沖突報告后,我們首先確定沖突發生的VLAN。通過IP規劃的vlan定義,和沖突的IP地址,找到沖突地址所在的網段。這對成功地找到網卡MAC地址很要害,因為有些網絡命令不能跨網段存取。
  首先將客戶機與網絡隔離,讓非法的IP地址的微機在網上運行,網管員便可以設法找到它了。應用網絡測試命令有ping命令和arp命令。使用ping命令,假設沖突的IP地址為10.119.40.40,在msdos窗口,命令格式如下,其中斜體部分是命令結果。

   C:/WIDOWS/〉ping 10.119.40.40
   Request timed out
   Reply from 10.119.40.40 : bytes=32 time〈1ms TTL=128 略

  我們之所以要ping這臺機器,是出于兩個目的,首先我們要知道我們要找的機器確實在網絡上,其次,我們要知道這臺機器的網卡的MAC地址,那么我們如何知道它的MAC地址哪?這就需要使用第二個命令arp:arp命令只能在某一個VLAN中使用有效,它是低層協議,并不能跨路由。

   C:/WIDOWS/〉arp -a
   Interface: ...... on Inerface ......
   Internet Address/Physical Address/Type
   10.119.40.40/00-00-21-34-63-56/ dynamic 以下略

  以上列表表示出沖突IP地址10.119.40.40 處網卡的MAC地址為00-00-21-34-63-56。接下來我們要找的是MAC地址為00-00-21-34-63-56的網卡的具體物理位置。

  網絡簡介中已經說明,每臺客戶機的網卡直接連接到第二級交換機上,接下來面對大量的以太網交換機,我們要查找是沖突MAC所對應交換機端口。本網絡中與客戶連接的設備是Bay的303/304,本文以303為例,描述如何查找某一個MAC地址所在的端口位置。Bay303的網管有多種方式,下面僅以Web瀏覽器方式描述查找非法MAC的方法。

  在查找之前,首先要確定VLAN內的交換機位置,查出這些交換機的IP地址,使用交換機地址可以訪問該交換機的網管信息。

   * 在網管員的機器上啟動瀏覽器
   * 鍵入交換機的IP地址
   * 提示登陸信息后輸入用戶名和密碼
   * 進入“MAC Address Table”選項
  顯示表格如下:
index/mac address/learned on port/learning method/filter packets to this address
   1   00:00:21:34:63:56   13   dynamic   no
   2   00:00:81:65:c3:a0   n/a   static   no
   3   00:00:a2:f7:c3:e4   25   dynamic   no
   4   00:00:21:34:63:56   2    dynamic   no
   以下略。

  此時你可以看到索引的第4項,它正是我們要查找的MAC地址,它的端口號為2。根據綜合布線資料,可以查找出相應的信息點的物理位置,從而定位到所連接的微機位置。當然,在此是針對特有的交換機所舉的例子,在實際工作中我們要查找很多臺交換機,才能找到我們要找的MAC地址,當VLAN中存在大量的交換機時,我們需要在這些交換機中逐個去查找,直到找到為止,這是一個相當煩瑣的事情。

  對于某一交換機的端口中存在下聯交換機的情況,因為交換機支持多個MAC地址,會在上級的MAC表中有下級MAC的記載,所以首先查找上級交換機MAC表,確定較具體位置后再去查找下一級交換機,這樣會大幅度地縮減查找范圍。

  治理策略

  對于局域網來講此類IP地址沖突的問題會經常出現,用戶規模越大,查找工作就越困難,所以網絡治理員必須深思加以解決。目前有兩種方案,一是使用動態IP地址分配(DHCP),另一種方案是使用靜態地址分配,但必須加強MAC地址的治理。

  用動態IP地址分配(DHCP)的最大優點是客戶端網絡的配置非常簡單,在沒有治理員的幫助和干預的情況下,用戶自己便可以對網絡進行連接設置。但是,因為IP地址是動態分配的,網管員不能從IP地址上鑒定客戶的身份,相應的IP層治理將失去作用。而且使用動態IP地址分配需要設置額外DHCP服務器。

  使用靜態IP地址分配可以對各部門進行合理的IP地址規劃,能夠在第三層上方便地跟蹤治理,假如我們通過加強對MAC地址的治理,同樣也會有效地解決這一問題。


  在網絡用戶連網的同時,建立IP地址和MAC地址的信息檔案,自始至終地對局域網客戶執行嚴格的治理、登記制度,將每個用戶的IP地址、MAC地址、上聯端口、物理位置和用戶身份等信息記錄在網絡治理員的數據庫中。試想,在我們上述的案例中,假如知道了非法用戶的MAC地址后,我們可以從治理員數據庫中進行查尋,假如我們對MAC地址記錄全面,我們便可以立即找到具體的使用人的信息,這會節省我們大量寶貴時間,避免大海撈針的煩惱。同時我們對于某些應用應避免使用IP地址來進行權限限制,假如我們從MAC地址上進行限制相對來說要安全的多,這樣可以有效地防止有人竊取IP地址的僥幸行為。



發表評論 共有條評論
用戶名: 密碼:
驗證碼: 匿名發表
主站蜘蛛池模板: 亚洲久久| 亚洲成人精品视频 | 天天干夜夜骑 | 国产精品久久久 | 福利视频一区 | 欧美人成在线 | 99精品亚洲国产精品久久不卡 | 黄色av免费 | 日韩一区二区不卡 | 欧美日韩成人在线视频 | 国产噜噜噜噜噜久久久久久久久 | 久久久国产一区二区 | 国产成人网 | 国产精品毛片大码女人 | 久久久久久91 | 日本高清视频在线 | 久久久91精品国产一区二区精品 | 久久大陆 | 国产精品久久国产精麻豆99网站 | 91大神在线看 | 欧美精品三区 | 色在线免费视频 | 国产成人高清精品免费5388 | 嫩草视频在线观看免费 | 日本一区二区高清不卡 | 久久久久久亚洲精品中文字幕 | 亚洲国产成人久久一区二区三区 | 亚洲久久 | 欧美精品一区二区在线观看 | 久久综合九色综合欧美狠狠 | 亚洲精品免费视频 | 拍真实国产伦偷精品 | 97人人做人人人难人人做 | 欧美一二三四成人免费视频 | 97久久精品午夜一区二区 | 亚洲第一区在线 | 在线中文 | 国产噜噜噜噜久久久久久久久 | 日韩国产在线 | 久久亚洲国产精品日日av夜夜 | 中文字幕 亚洲一区 |