網絡中斷是為網絡事故中最常見的問題之一，而此問題的產生多與IP地址有關。只要有一臺個人電腦的地址設置不正確，網絡的傳輸就會受到影響，甚至整個網絡都會癱瘓。

 

　　我們知道，對于在Internet和Intranet網絡上，使用TCP/IP協議時每臺主機必須具有獨立的IP地址，有了IP地址的主機才能與網絡上的其它主機進行通訊。

 

　　隨著網絡應用普及，網絡客戶急劇膨脹，由于靜態IP地址分配，IP地址沖突和IP地址篡改的麻煩相繼而來。IP地址篡改，網絡能正常運行，但是網絡傳輸質量發生了變化，改變的原因為路由改變了；IP地址沖突也造成了很壞的影響。

 

　　四種因素造成IP地址沖突

 

　　只要網絡上存在沖突的機器，網絡客戶不能正常工作。因為只要有沖突的網絡終端一啟動，在客戶機上都會頻繁出現地址沖突的提示：“如果網絡上某項應用的安全策略是基于IP地址進行的，這種非法的IP用戶會對應用系統的安全造成了嚴重威脅。出現問題有時并不能及時發現，只有在相互沖突的網絡客戶同時都在開機狀態時才能顯露出問題，所以具有相當的隱蔽性。一般而言，下列幾種情況有可能造成IP地址沖突：

 

1、很多用戶對TCP/IP并不了解，不知道“IP地址”、“子網掩碼”、“默認網關”等參數如何設置，有時用戶不是從管理員處得到的上述參數的信息，或者是用戶無意修改了這些信息。

 

2、管理員或用戶根據管理員提供的上述參數進行設置時，由于失誤造成參數輸錯。

 

3、在客戶機維修調試時，維修人員使用臨時IP地址應用造成。

 

4、有人竊用他人的IP地址。

 

　　ping等命令可廉價解決問題

 

　　如果導入了昂貴的網絡管理軟件，也許就能夠更加輕松地解決問題。但是利用ping等命令，基本上可以解決所有的問題。當發生故障以后，首先使用ping命令。如果使用得當，其作用堪與昂貴的軟件相媲美。當出現IP地址沖突時候，我們首先要確定沖突發生的VLAN。

 

　　通過IP規劃的vlan定義，和沖突的IP地址，找到沖突地址所在的網段。這對成功地找到網卡MAC地址很關鍵，因為有些網絡命令不能跨網段存取。將客戶機與網絡隔離，讓非法的IP地址的微機在網上運行，網管員便可以設法找到它了。應用網絡測試命令有ping命令和arp命令。使用ping命令，假設沖突的IP地址為134.39.236.136，在msdos窗口，命令格式如下，其中斜體部分是命令結果。

 

C:\WIDOWS\〉ping 134.39.236.136

 

Request timed out

 

Reply from 134.39.236.136 bytes=32 time〈1ms TTL=128

 

　　我們之所以要ping這臺機器，是出于兩個目的，首先我們要知道我們要找的機器確實在網絡上；其次，我們要知道這臺機器的網卡的MAC地址，那么我們如何知道它的MAC地址呢？這就需要使用第二個命令arp：arp命令只能在某一個VLAN中使用有效，它是低層協議，并不能跨路由。

 

C:\WIDOWS\〉arp-a

 

Interface:......onInerface.....

 

InternetAddress/PhysicalAddress/Type

 

134.39.236.136/00-30-88-02-dc-5c /dynamic

 

　　以上列表表示出沖突IP地址134.39.236.136處網卡的MAC地址為00-30-88-02-dc-5c。接下來我們通過網絡執行官管理軟件找到是MAC地址為00-30-88-02-dc-5c的網卡的具體物理位置。
防范沖突比解決沖突更重要

 

　　做好預防IP地址沖突，是問題的根本。解決這種問題并不是很難，需要網絡管理員做到以下幾點：

 

　　首先，做好整個局域網終端用戶計算機的命名，指定IP地址，根據用戶的類別統一命名計算機，并給定IP地址。這樣一看機器名，就知道是哪個部門哪臺機器，便于管理。比如綜合部001號機器，我們就將其命名為”zonghebu001”。同時，統一規劃分配IP地址給每臺終端機器，并建立IP地址分配登記表。

 

　　其次，統計每個終端機器網卡的MAC地址，建立IP地址與MAC地址對應表。在MS-DOS方式下鍵入命令“WinIPcfg”就可以獲得本機IP地址和MAC地址。我們可以將此方法公布一下，然后要求相關用戶將本機MAC地址抄錄上報到網管中心，再進行登記匯總。也可在設定機器名和IP地址時一并統計好。網絡管理員也可以利用Nbtstat命令來遠程獲得指定機器的MAC地址。在MS-DOS方式下鍵入命令“Nbtstat -a 遠程計算機名”，即可獲得指定機器的IP地址和MAC地址。

 

　　最后，將IP地址與MAC地址綁定。這要根據局域網接入互聯網的方式不同而采用不同的辦法。

 

　　方法一：交換機控制　　解決IP地址的最徹底的方法是使用交換機進行控制，即在TCP/IP第二層進行控制。使用交換機提供的端口的單地址工作模式，即交換機的每一個端口只允許一臺主機通過該端口訪問網絡，任何其它地址的主機的訪問被拒絕。但此方案的最大缺點在于它需要網絡上全部采用交換機提供用戶接入，這在交換機相對昂貴的今天不是一個能夠普遍采用的解決方案。

 

　　方法二：路由器隔離　　采用路由器隔離的辦法的主要依據是MAC地址作為以太網卡地址全球唯一不能改變。其實現方法為通過SNMP協議定期掃描各路由器的ARP表，獲得當前IP和MAC的對照關系，和事先合法的IP和MAC地址比較，如不一致，則為非法訪問。對于非法訪問，有幾種辦法可以制止，如

 

1.使用正確的IP與MAC地址映射覆蓋非法的IP-MAC表項；

 

2.向非法訪問的主機發送ICMP不可達的欺騙包，干擾其數據發送；

 

3.修改路由器的存取控制列表，禁止非法訪問。

 

　　路由器隔離的另外一種實現方法是使用靜態ARP表，即路由器中IP與MAC地址的映射不通過ARP來獲得，而采用靜態設置。這樣，當非法訪問的IP地址和MAC地址不一致時，路由器根據正確的靜態設置轉發的幀就不會到達非法主機。

 

　　使用靜態IP地址分配可以對各部門進行合理的IP地址規劃，能夠在第三層上方便地跟蹤管理，如果我們通過加強對MAC地址的管理，同樣也會有效地解決這一問題。

 

　　總之，在網絡用戶連網的同時，建立IP地址和MAC地址的信息檔案，自始至終地對局域網客戶執行嚴格的管理、登記制度，將每個用戶的IP地址、MAC地址、上聯端口、物理位置和用戶身份等信息記錄在網絡管理員的數據庫中。

 

　　試想，在我們上述的案例中，如果知道了非法用戶的MAC地址后，我們可以從管理員數據庫中進行查尋，如果我們對MAC地址記錄全面，我們便可以立即找到具體的使用人的信息，這會節省我們大量寶貴時間，避免大海撈針的煩惱。同時我們對于某些應用應避免使用IP地址來進行權限限制，如果我們從MAC地址上進行限制相對來說要安全的多，這樣可以有效地防止有人竊取IP地址的僥幸行為. 管理IP地址是一項長期工作，管理的好壞，直接影響企業網絡發展。