校園網內ＩＰ沖突問題的有效解決方法

摘要： 校園網內頻繁發生的IP地址沖突、IP地址盜用、ARP欺騙等問題，嚴重影響了校園網絡的穩定和安全并直接影響到學校正常的教學工作。本文詳細介紹了IP地址沖突產生的原因、造成的危害，綜合敘述了用技術手段和科學的管理方法相結合來預防和解決此類問題的方法。

關鍵詞： 校園網 TCP/IP協議 IP沖突

引言

近年來，校園信息化的步伐進一步加快，大部分學校都組建了自己的校園網絡。但隨著校園網規模的不斷擴大，校園網用戶的數量也迅速增加，網絡中出現的病毒攻擊、IP地址沖突等問題也越來越多，這一趨勢給校園網的管理與維護帶來了很大的壓力。［１］校園網管理問題中IP地址資源的管理問題是基本問題，也一直是網絡管理工作中讓管理員比較頭痛的問題。校園網的IP地址管理得當與否，是計算機網絡能否保持高效運行的關鍵。如果IP地址的管理手段不完善，網絡很容易出現IP地址沖突，導致正式的IP地址用戶不能正常使用網絡資源，影響網絡正常運行，進而影響到學校教育工作的正常開展。為了解決IP沖突帶來的問題，文章詳細講述校園網的工作原理、IP沖突發生的原因及有效的解決辦法。

1.校園網的工作原理

校園網都是通過TCP/IP協議工作的。［２］TCP/IP協議是Internet和Intranet網絡的核心協議，Internet協議是TCP/IP協議簇中的關鍵協議，Internet協議地址（簡稱IP地址）用來標識不同網絡中的主機，是TCP/IP網絡中可尋址主機設施的唯一邏輯標識，它是一個32位的二進制無符號數。IP地址由網絡地址和主機地址兩部分組成，按分配給這兩部分的位數隨地址類（A類、B類、C類等）的不同而不同，網絡地址用于路由選擇，而主機地址用于在網絡或子網內部尋找一臺單獨的主機。

MAC地址也叫物理地址，保存在網卡的EPROM里面，是一個固定不變的地址，用來標識一個網絡中節點的不同位置，任何兩個網卡的MAC地址都不相同，在局域網中，通過識別MAC地址來發送數據。網絡中計算機之間的通信，最終都表現為將數據包從某個網絡上的初始節點出發，從一個節點傳遞到另一個節點，最終傳送到另一個網絡的目標節點。數據包在這些節點之間的移動，首先由路由器根據IP地址找到相應的網絡，再根據MAC地址將數據傳送到相應的節點上，這一過程需要由ARP（Address Resolution Protocol）地址解析協議負責將IP地址映射為對應的MAC地址來完成。

為了保證網絡的正常通訊，TCP/IP協議規定同一局域網內所有設備的IP地址必須唯一，但在一個網絡中如果同時出現兩個相同IP地址，便會產生IP地址沖突，被沖突的主機將無法收到本來發送給它的數據包，從而導致網絡連接失敗，IP地址沖突也會嚴重干擾正常的網絡通訊。

2.IP地址沖突產生的原因

IP沖突是局域網中最容易出現的網絡問題，會引起正式用戶不能正常使用網絡，情況更嚴重的是如果非正式用戶的IP地址與交換機的地址或服務器的地址沖突，會直接導致網絡的癱瘓。

校園網絡中的計算機在啟動時，首次初始化TCP/IP，廣播ARP請求，以便為IP地址請求地址解析。如果另一個主機回答此ARP請求分組中的任何一個，就表示該主機已經在使用此IP地址，地址發生了沖突。檢測到地址沖突時，計算機照樣引導，但禁用此廣播ARP請求的計算機上的重復IP地址，并顯示一條IP地址沖突的錯誤信息。此時計算機就不能夠享用計算機網絡資源了。［３］

綜合分析IP地址沖突發生的原因，主要有以下幾個方面：

2.1有些人可能對TCP/IP并不了解，不知道“IP地址”、“子網掩碼”、“默認網關”這些參數怎么設置，有時無意地修改了這些信息。

2.2用戶缺乏必要的網絡安全知識，電腦中了ARP木馬等網絡病毒，造成了IP地址被修改。

2.3管理員在分配IP地址時，由于疏忽或者資料不全，給用戶分配了重復的IP地址。

2.4管理員或者網絡用戶根據管理員提供的參數進行設置時，由于失誤造成的參數設置錯誤，也會導致IP地址沖突的發生。

2.5在進行維修時，維護人員臨時采用一些測試的IP地址，維護結束后，沒有及時改回來，導致的IP地址沖突。

2.6有些非正式用戶采用修改靜態IP地址，或者同時修改IP地址和MAC地址的方式，惡意盜用正式用戶的IP地址。

3.IP地址沖突的解決辦法

要解決IP地址沖突，必須從技術和管理兩方面入手，把預防、檢查和防治結合起來，通過有效的技術手段和科學的管理方法來解決此類問題。

3.1技術上的解決辦法

針對IP盜用問題，現在技術上的防范方法主要是根據TCP/IP的層次結構，在不同的層次采用不同的方法來防止IP地址的盜用。［4］

3.1.1在交換機上進行IP地址和物理地址的綁定

由于每個交換機都維護著一個ARP緩存列表，里面記錄了主機IP地址和物理地址的對應關系，在傳送數據包時，根據這個對應關系把相應的數據送往目的地。因此可以人為地在交換機上設置一個靜態ARP列表，將所有用戶的IP地址和MAC地址的對應關系輸入列表。這樣交換機將不再轉發ARP列表中不存在的IP-MAC的數據包，使得錯誤設置IP地址的主機不能訪問Internet，從而防止IP沖突的發生。

3.1.2交換機端口控制

由于有些用戶可能通過軟件改變MAC地址，如果用戶成對地改變IP-MAC地址，那么上面采取的方法將無法限制這些用戶上網。解決IP地址沖突最徹底的方法是使用交換機端口進行控制，即在TCP/IP第二層進行控制。在交換機的端口綁定IP-MAC地址，并使交換機端口工作在的單地址模式下，即交換機的每一個端口只允許一臺主機通過其訪問網絡，拒絕任何其他地址主機的訪問。這樣可以徹底防止盜用IP地址的用戶訪問Internet，但是由于每個端口都作了訪問控制，也無形中加重了交換機的負擔，對負載較重的交換機并不適合。另外采用端口控制，要保證每臺電腦都直接連接交換機，由于交換機價格相對昂貴，這樣做也增加了校園網的成本。

3.2管理上的解決方法

實際上網絡要正常運行，防止IP沖突帶來的危害，僅靠技術手段防治是遠遠不夠的，還需要通過合理的管理方法、科學的管理手段來保證網絡的正常運行。

3.2.1加強宣傳培訓，普及網絡知識。

IP地址沖突中有一部分是因為用戶并不是很了解網絡知識，錯誤地設置IP地址或者中了ARP、木馬等網絡病毒引起的。所以網絡中心在給用戶開通網絡的同時，也要做好網絡知識的普及工作，通過印發網絡設置說明書和定期舉辦網絡知識講座，開設網絡安全相關的選修課程，提高用戶正確使用網絡的能力，提高用戶防范網絡病毒、木馬的能力，這樣可以很大程度上避免因為錯誤設置IP或者中木馬病毒而造成IP沖突的事件發生，減少IP沖突的概率。

3.2.2制定網絡管理規范，提倡文明使用網絡

在校園網中也存在一部分用戶，具有一定的網絡知識，但是出于某種目的，采用技術手段盜用他人的IP地址，給網絡帶來危害。學校和網絡中心要制定嚴格的網絡管理規范，在提倡安全文明使用網絡的同時，對于惡意盜用他人IP地址或者惡意傳播網絡病毒等嚴重影響網絡運行的行為要進行必要的處罰。通過宣傳教育與處罰相結合的手段，減少惡意侵占他人網絡資源的行為，保證網絡的健康運行。

3.2.3在局域網內合理規劃VLAN

VLAN（Virtual Local Area Network）又稱虛擬局域網，是指在交換局域網的基礎上，將不同網段、不同物理網絡的計算機組成邏輯網絡。一個VLAN可以根據部門職能或用戶性質的網絡用戶來劃分。通過合理地劃分VLAN，可以把數據交換限制在各個虛擬網絡的范圍，從而減少整個網絡范圍內廣播包的傳送，提高網絡傳輸效率，同時，提高了網絡的安全性。VLAN的劃分還可以盡可能地縮小IP地址的沖突范圍，也便于更方便地定位IP地址沖突的源頭。

3.2.4建立相應的數據庫，提高管理效率

建立IP地址資源數據庫，加強對IP地址的管理。在IP分配環節，嚴格做到用戶和IP地址一一對應，避免IP地址重復分配。預留測試IP地址，避免因測試人員隨意設置IP地址造成的IP地址沖突。

完善網絡用戶的登記制度，建立網絡用戶資料數據庫，詳細記錄用戶的姓名、身份、MAC地址、分配到的IP地址、聯系方法、連接交換機的端口等信息。一旦網絡上發生了IP沖突，可以通過用戶資料數據庫迅速定位IP沖突源，更方便地解決IP沖突問題。

4.結語

IP地址沖突問題是校園網絡管理中一種最常見的問題，除了網絡中心的管理人員采用適當的技術手段和管理策略來管理外，也要依靠網絡用戶增加網絡知識的學習，自覺遵守網絡用戶守則。在發生IP地址沖突時，要及時報告網絡中心的管理人員。只有大家共同努力，才能使校園網絡更穩定、安全、高效地運行，更好地為學校的科研和教學服務。

參考文獻：

［1］林澤東，劉偉科，范曉寧.基于SNMP解決校園網IP地址管理問題［J］.福建電腦，2007，11：128-129

［2］王元國.校園網IP地址沖突的分析及解決方案［J］.計算機時代，2006，3：12-13.

［3］趙偉艇，史玉珍.局域網IP地址沖突問題研究［J］.福建電腦，2007，8：178-179.

［4］黨永娟，王成國.局域網內IP地址盜用和防范技術研究［J］.青海科技，2004，（3）：53-54.