浅谈企业局域网IP地址冲突与防范_如何判断局域网有ip地址冲突
摘要本文主要介绍了业局域网IP地址、 IP地址冲突、防止被盗及被盗之后解决方案。 关键字 IP地址 IP冲突解决方案 引言 IP地址盗用是一个普遍存在的问题长期以来一直困扰着广大的网络管理人员。尤其是在企业局域网环境下 IP地址盗用更加频繁解决的难度也较大 同时 IP地址盗用给网络正常运行带来许多负面影响它还影响着整个企业信息化的进程是一个急待解决的问题。 本文从解决企业局域网IP地址防盗用问题出发分析了企业局域网的基本架构和TCPIP协议基础阐述了IP地址盗用问题的基本理论研究了目前国内外对IP地址盗用问题的各种解决方案。 1、 IP地址在Internet上主机的IP地址是由IANA Internet分配编号机构进行分配的 IANA向一些组织分配一组IP地址这些组织再将这些IP地址分配给单独的计算机。公网上主机的IP地址分配是非常严格的 因此不会出现IP地址冲突的情况。 企业局域网计算机的IP地址通常由网络管理员进行分配根据网络的结构、规模以及管理模式在局域网中通常可以采取三种IP地址分配方式静态地址分配方式、动态地址分配方式DH CP、主机自动寻址方式AP I P A的分配方式。 静态地址分配方式由于不需要额外的设备投入常用于一些计算机数量较少的中小型局域网中动态地址分配方式DH CP需要一定的设备投入但可以降低管理成本通常用于计算机数量较多的中大型局域网和力求简化管理的网络中而主机自动寻址方式AP I PA的分配方式不要额外的设备投入也没有任何的管理开销但是要求网络是有路由器和交换机的单一子网的封闭网络 网络不能与Internet存在连接 因此这种方式存在较大的局限性。 2、 IP地址冲突 在实际企业局域网应用中导致IP地址冲突的主要原因还是使用人员私自设置了非法的静态IP地址此外由于管理员的管理不当或地址设置失误也会导致IP地址冲突。 2. 1手工设置地址失误 在静态地址分配方式下 出现IP地址冲突通常由于手工设置地址失误或管理员分配地址不当造成的。一种情形是管理员对IP地址分配记录维护不完整 当分配IP地址时管理员为其分配了一个之前已经分配给其他计算机的IP地址另一种情形是计算机的使用人员知道IP地址设置规则 当需要重新设定时 自己私自设置IP地址而不知此IP地址正被其他计算机使用此时将会提示重新配置IP地址的对话框如图1所示。 图1 2.2盗用他人地址 不论是静态地址分配还是动态地址分配方式使用人员出于某种目的会盗用他人的IP地址从而引起IP地址冲突。例如很多单位为了加强Internet用户的管理通常会将Internet用户的IP地址设置为静态地址并在代理网关或代理服务器中进行IP地址的绑定一些非Internet用户为了能够访问Internet在他获取Internet用户的IP地址信息后可能会通过地址欺骗的手段盗用该地址进而引起合法用户计算机的地址而不能正常加入网络造成IP地址冲突如图2所示。 图2 2.3动态与静态IP冲突 在动态地址分配方式下产生地址冲突的主要原因还是由于使用人员私自设置了静态IP地址。当一个用户手工设置了其他的计算机已经自动获得IP地址可能因为那台计算机不在网络上而成功设置。如果设置成功当那台计算机再次加入网络系统会提示发生地址冲突并且不能正常加入网络。在这种情况下使用人员可以通过地址修复的方式通过D HCP服务器重新获得一个可用的I P地址而D HCP服务器将视原有地址为坏地址不再进行动态分配直至租约到期这样会造成DH CP服务器的地址垃圾。 3、预防IP地址冲突 IP地址冲突的发生绝大多数是由于人为因素造成的这应该属于管理方面的问题。在这方面我们应该制定严格的计算机设置和管理规范以及相应的惩罚措施。例如管理员要建立完善的网络IP地址管理档案计算机主机名称要采取实名制严禁使用人员私自更改I P寻址方式和滥设地址严禁启用除DH CP服务器外其他计算机的DHC P服务等。但是仅仅加强对使用人员和计算机的管理是很不够的在预防IP地址冲突方面充分利用网络资
源和先进的网络技术同样是非常重要的。 将一个包含计算机数量较多的网络划分为多个子网这样即可以有效减少广播风暴 同时由于一个子网内包含计算机的数量较少 当出现地址冲突时查找的目标范围大大减少。划分子网需要一定的网络硬件设施例如路由器或交换机。
3. 1进行交换机端口+主机I P地址+主机MAC地址的绑定 对于采取静态地址分配方式的网络可以利用交换机的端口安全特性将网络交换机中所有计算机连接的交换机端口与计算机的IP地址和网卡的MAC地址进行绑定。这样 当计算机加入网络时交换机首先会验证与该端口连接的计算机I P地址和MAC地址是否有效如果有效则计算机通过验证成功加入网络否则无效将禁止计算机加入网络。 由于普通的使用人员是不能接触到网络交换机的 因此 即使有个别用户盗用了他人的I P地址和MAC地址 由于计算机连接的交换机端口不能改变也不能加入网络。这个措施需要网络交换机支持端口安全特性。 3.2对D HCP服务器进行认证 对于采用动态地址分配方式的网络如果DHCP服务器基于Windows 2000/2003 Server操作系统可以利用“域”应用环境对服务器进行认证。即在活动目录Active Directory中创建DPCH服务器对象将合法的DHCP服务器的I P地址添加到认证服务器列表中。当一台启用D HCP服务的计算机试图加入网络时 Active Directory首先将计算机的IP地址和认证的IP地址进行对照如果发现匹配则此计算机被认证为D HCP服务器而成功加入到网络中提供D HCP服务如果不匹配则认为此计算机为非法 同时这台计算机的DHCP服务将被自动的关闭。通过DHCP服务器认证可以杜绝非法DHC P服务器引起的地址分配混乱和冲突这项预防措施需要在网络中部署域环境并配置活动目录。
hostkvm本月对香港国际线路的VPS、韩国CN2+bgp线路的VPS正在做7折终身优惠,对日本软银线路、美国CN2 GIA线路、新加坡直连线路的VPS进行8折终身优惠促销。所有VPS从4G内存开始支持Windows系统,当然主流Linux发行版是绝对不会缺席的!官方网站:https://hostkvm.com香港国际线路、韩国,7折优惠码:2021summer日本、美国、新加坡,8折优惠码:2...
鲨鱼机房(Sharktech)我们也叫它SK机房,是一家成立于2003年的老牌国外主机商,提供的产品包括独立服务器租用、VPS主机等,自营机房在美国洛杉矶、丹佛、芝加哥和荷兰阿姆斯特丹等,主打高防产品,独立服务器免费提供60Gbps/48Mpps攻击防御。机房提供1-10Gbps带宽不限流量服务器,最低丹佛/荷兰机房每月49美元起,洛杉矶机房最低59美元/月起。下面列出部分促销机型的配置信息。机房...
pigyun怎么样?PIGYunData成立于2019年,2021是PIGYun为用户提供稳定服务的第三年,目前商家提供香港CN2线路、韩国cn2线路、美西CUVIP-9929、GIA等线路优质VPS,基于KVM虚拟架构,商家采用魔方云平台,所有的配置都可以弹性选择,目前商家推出了七月优惠,韩国和美国所有线路都有相应的促销,六折至八折,性价比不错。点击进入:PIGYun官方网站地址PIGYUN优惠...