如何避免局域網中的IP地址沖突

摘要：局域網在現代企業中的應用越來越多，在管理、維護局域網的過程中，如何避免IP地址沖突對網絡造成的影響是一個需要解決的重要問題，本文分別從管理員和普通用戶角度提出了解決IP地址沖突的方法。

關鍵詞：局域網 IP 沖突

隨著網絡技術的不斷發展、網絡用戶的不斷增加，局域網在現代企業中的應用也越來越多，伴隨著這一發展，在管理、維護局域網的過程中，網絡管理員往往會面臨各種各樣的問題，其中最為突出的就是局域網中IP地址的沖突問題。作為計算機訪問網絡的重要身份表示，IP地址在網絡中要具有唯一性，不過在Windows操作系統環境下，普通用戶經常可以根據自己的意愿隨意更改本地的IP地址參數，這樣一來局域網中就很容易頻繁的發生IP地址沖突的故障現象，這種現象會嚴重干擾局域網的正常運行，甚至會造成網絡的癱瘓。因此作為網絡管理員來說，如何避免IP地址沖突對網絡造成的影響是一個需要解決的重要問題。

下面將從兩個方面提出對于解決IP地址沖突的方法。

1 從管理員角度

目前在企業局域網的應用中采用的地址分配方式有兩種：動態和靜態。

動態分配方式由服務器自動分配客戶端地址，此種方式不存在IP地址沖突的問題。但動態分配方式下對于網絡的整體性能，可管理性等方面都有較大的影響，因此在企業局域網中很少被采用。

靜態分配方式要求對每一臺客戶機指定IP地址，雖然地址的指定是由管理員來完成，在地址的指定過程中通常不會存在沖突問題，但由于客戶機在使用過程中不受管理員控制，普通用戶又可以輕易在網上鄰居中修改自己機器的IP地址，因此極易產生IP地址沖突的情況。為解決這一問題可以使用IP地址與MAC地址綁定方法來阻止普通用戶隨意進入TCP/IP屬性設置窗口，修改本地系統的IP地址。在同一個局域網網段中，客戶端的網絡尋徑不是根據主機的IP地址而是根據主機的物理地址來進行的，在不同網段之間通信時才會根據主機的IP地址進行網絡尋徑，因此作為局域網網關的路由器設備上通常保存有IP-MAC的動態對應表，這是由ARP協議自動生成并維護的。管理員可以進入路由設備的后臺管理界面，從中找到配置ARP表的設置選項，對靜態的ARP路由表進行指定，日后局域網路由器設備會自動依照靜態的ARP表檢查通信數據包，要是無法對應，那么就不會進行數據轉發操作。這樣即便是用戶隨意的更改了客戶端上的IP地址，該地址也不會被網絡設備說識別，因此也不會對其他的客戶端造成沖突干擾。通過這種方法，網絡管理員可以輕易的解決由于普通用戶的修改造成的IP地址沖突的問題。

當然上述方法中也存在一個漏洞，即可以通過修改客戶端網卡MAC地址的方式來造成IP地址沖突，此方法雖然不會被普通用戶所使用，但經常作為非法用戶的攻擊手段來使用。為了防止這種情況的發生，管理員可以利用交換機的端口綁定功能，來有效化解非法用戶通過修改網卡MAC地址的方法來適應靜態ARP表的問題。眾所周知，絕大多數的可管理交換機都支持端口綁定功能，管理員可以利用這一功能提供的端口地址過濾模式，來實現阻止IP地址沖突的目的，當客戶端的MAC地址與交換機端口綁定后，即便非法用戶修改了客戶端的MAC地址，但由于與之匹配的端口地址信息無法修改，因此修改的結果也不會生效。

此外對于網絡規模較大的局域網，管理員還可以通過劃分VLAN的方式來阻止IP地址沖突現象的發生。管理員可以將具有相同訪問行為的IP地址統一劃分到相同的VLAN中，并正確設置好相關的路由策略，這樣一來我們就能有效拒絕非法攻擊者盜用其他工作子網IP地址現象的發生，同時也可以降低由于沖突帶來的影響。

2 從普通用戶角度

通常在正常的情況下普通用戶不會輕易的修改自己的IP地址，更多的時候是由于外來用戶或非法用戶有意或無意的修改造成IP地址的沖突。那么如何才能才能避免自己的IP地址被其他用戶隨意修改呢?其實，作為普通用戶可以通過以下幾種方法避免自己的IP地址被他人隨意修改。

2.1 可以修改本地系統組策略，屏蔽其他用戶隨意修改網絡屬性的權限。用戶可以用鼠標逐一單擊“開始”——“運行”命令，在彈出的系統運行框中執行“gpedit.msc”命令，打開組策略編輯界面，依次點選該界面左側顯示區域中的“用戶配置”—— “管理模板”——“網絡”——“網絡連接”節點選項，之后用鼠標雙擊該節點選項下面的“禁止訪問lan連接組件的屬性”組策略選項，打開目標組策略的屬性設置窗口，選中其中的“已啟用”選項，再單擊“確定”按鈕，而用戶在平時使用計算機時盡可能使用自建賬號，這樣一來，其他用戶就無法通過這些賬號的身份來修改系統的IP地址了。

2.2 可以巧妙地將本地連接圖標隱藏起來，那樣的話非法用戶也不容易進入TCP/IP屬性設置窗口來亂改IP地址了。在使用該方法保護本地系統的IP地址時，我們可以依次單擊“開始”--“運行”命令，在彈出的運行文本框中，輸入“services.msc”字符串命令，回車后打開系統的服務列表窗口，從中找到“Plug and play”選項，并用鼠標雙擊該服務選項，打開該服務的屬性設置窗口，在該設置窗口的“常規”標簽頁面中單擊“停止”按鈕，再將它的啟動類型設置為“禁止”，那樣一來本地工作站系統的本地連接圖標就會被隱藏起來。這樣一些外來用戶在系統那中找不到本地連接圖標，他們也就進不了TCP/IP屬性設置窗口，這樣他們也就會放棄修改本地工作站IP地址的念頭了。

當然上面的方法僅能防范一些初級的局域網用戶，而一些高級用戶則會很容易地將它們破解掉。因此避免沖突的關鍵主要還在于網絡管理員如何合理的設置網絡的管理模式和安全模式，避免沖突現象的發生。

以上是從技術的角度提出了關于局域網IP地址沖突的解決方法，在實際的網絡運行過程中，由于網絡投入的多少、網絡設備功能的限制，上述方法未必能在所有的網絡中都能實現。因此對于企業而言建立一個良好的網絡使用制度，避免用戶在網絡使用的過程中隨意的修改網絡信息也將成為網絡管理過程中不可忽視的一個要素。