局域网IP冲突分析和解决方法研究.docVIP

局域网IP冲突分析和解决方法研究 　　摘 要：局域网网络采用TCP/IP协议，IP地址规划为静态IP地址。随着局域网络应用的大力推广，网络用户数量不断增加，IP地址冲突相继而来。文章通过对局域网IP冲突分析和解决方法研究，提出局域网IP冲突的原因和常见IP盗用方法，着重从PVLAN划分的角度出发给出IP冲突解决的方法。该方法可以实现用户的惟一性确定，为维护局域网络健康、安全运行起到重要作用。 　　关键词：局域网；IP冲突；PVLAN 　　中图分类号：TP393.1 文献标识码：A 文章编号：1000－8136（2011）30－0152－02 　　 　　1 引言 　　局域网作为典型的网络架构，其网络拓扑结构大致分为三级：第一级由核心交换机组成，网络服务器等工作在主干网络上；第二级由对第三级桌面提供高密度端口的交换机构成，并根据划分出的VLAN（Vitual Local Area Network）提供实际的VLAN端口。网络协议采用TCP/IP，IP地址规划为静态IP地址。随着局域网络应用的大力推广，网络用户数量不断增加，由于静态IP地址分配，IP地址冲突相继而来。因此，解决IP冲突，实现用户的惟一性确定，成为维护局域网络健康、安全运行的重要任务。 　　2 IP地址冲突的机理及常见IP盗用方法 　　局域网中的计算机在启动时，首次初始化TCP/IP，广播ARP请求，以便为IP地址请求IP地址解析。如果另一个主机回答此ARP请求分组中的任何一个，就表示该主机已经在使用此IP地址，地址发生了冲突。检测到地址冲突时，计算机照样引导，但禁用此广播ARP请求计算机上的重复IP地址，并显示一条IP地址冲突的错误信息。此时计算机就不能享用计算机网络资源了。 　　根据有关统计，网络上的错误有50%以上是直接或间接由IP盗用引起的，因此有必要阐述其原理。IP地址盗用大致可分为3种情况：静态修改IP地址、成对修改MAC地址和IP地址、IP欺骗。 　　2.1 静态修改IP地址 　　对于任何一个TCP/IP实现来说，IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授权机构分配的IP地址，就形成了IP地址盗用。由于IP地址是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IP地址的静态修改，除非使用动态主机配置协议（DHCP）服务器分配IP地址，动态主机配置协议（DHCP）是一种使网络管理员能够集中管理和自动分配IP网络地址的通信协议。在IP网络中，每个连接网络的设备都需要分配唯一的IP地址。DHCP使网络管理员能从中心结点监控和分配IP地址。当某台计算机移到网络中的其他位置时，能自动收到新的IP地址。但又会带来其他管理问题。 　　2.2 成对修改MAC地址和IP地址 　　对于静态修改IP地址的问题，现在很多单位都采用静态路由技术加以解决。针对静态路由技术，IP盗用技术又有了新的发展，即成对修改MAC地址和IP地址。MAC地址是设备的硬件地址，对于我们常用的以太网来说，即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的，它由IEEE分配，是固化在网卡上的，一般不能随意改动。但是，现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，那静态路由技术就无能为力了。 　　2.3 IP欺骗 　　对于那些MAC地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。动态修改IP地址对于一些黑客高手来说，直接编写程序在网络上收发数据包，绕过上层网络软件，动态修改自己的IP地址（或成对修改MAC地址和IP地址），达到IP欺骗并不是一件困难的事。 　　3 IP地址冲突解决方法 　　通过IP地址与MAC地址绑定，MAC、IP地址与交换机端口绑定，以及网络规划管理策略、对用户进行安全教育并进行相应的IP地址入网申请登记制度、主动监督等。可有效地防止用户更改IP地址和MAC地址的现象，较好地解决网络中IP冲突问题。 　　3.1 交换机端口与MAC绑定 　　解决IP地址冲突最彻底的方法是，使用交换机进行控制，使用交换机提供的端口的单地址工作模式，即交换机的每一个端口，只允许一台主机通过该端口访问网络，如将交换机端口与MAC和IP绑定，任何其他地址的主机的访问都将被拒绝。网卡的MAC地址通常是唯一确定的，在路由器中建立一个IP地址与MAC地址的对应表，只有IP－MAC地址相对应的合法注册机器才能得到正确的ARP应答，来控制IP－MAC不匹配的主机与外界通讯，达到防止IP地址的盗用。比如局域网某一用户的IP地址为