局域網IP沖突分析與解決方法研究

高君豐，高鑫偉

（1.中國人民解放軍92785部隊，河北 秦皇島 066200；2.西安通信學院，陜西 西安 710000）

1 引言

局域網作為典型的網絡架構，其網絡拓撲結構大致分為三級：第一級由核心交換機組成，網絡服務器等工作在主干網絡上；第二級由對第三級桌面提供高密度端口的交換機構成，并根據劃分出的VLAN（Vitual Local Area Network）提供實際的VLAN端口。網絡協議采用TCP/IP，IP地址規劃為靜態IP地址。隨著局域網絡應用的大力推廣，網絡用戶數量不斷增加，由于靜態IP地址分配，IP地址沖突相繼而來。因此，解決IP沖突，實現用戶的惟一性確定，成為維護局域網絡健康、安全運行的重要任務。

2 IP地址沖突的機理及常見IP盜用方法

局域網中的計算機在啟動時，首次初始化 TCP/IP，廣播ARP請求，以便為IP地址請求IP地址解析。如果另一個主機回答此ARP請求分組中的任何一個，就表示該主機已經在使用此IP地址，地址發生了沖突。檢測到地址沖突時，計算機照樣引導，但禁用此廣播ARP請求計算機上的重復IP地址，并顯示一條IP地址沖突的錯誤信息。此時計算機就不能享用計算機網絡資源了。

根據有關統計，網絡上的錯誤有50%以上是直接或間接由IP盜用引起的，因此有必要闡述其原理。IP地址盜用大致可分為3種情況：靜態修改IP地址、成對修改MAC地址和IP地址、IP欺騙。

2.1 靜態修改IP地址

對于任何一個TCP/IP實現來說，IP地址都是其用戶配置的必選項。如果用戶在配置TCP/IP或修改TCP/IP配置時，使用的不是授權機構分配的IP地址，就形成了IP地址盜用。由于IP地址是一個邏輯地址，是一個需要用戶設置的值，因此無法限制用戶對于IP地址的靜態修改，除非使用動態主機配置協議（DHCP）服務器分配 IP地址，動態主機配置協議（DHCP）是一種使網絡管理員能夠集中管理和自動分配IP網絡地址的通信協議。在IP網絡中，每個連接網絡的設備都需要分配唯一的IP地址。DHCP使網絡管理員能從中心結點監控和分配IP地址。當某臺計算機移到網絡中的其他位置時，能自動收到新的IP地址。但又會帶來其他管理問題。

2.2 成對修改MAC地址和IP地址

對于靜態修改IP地址的問題，現在很多單位都采用靜態路由技術加以解決。針對靜態路由技術，IP盜用技術又有了新的發展，即成對修改MAC地址和IP地址。MAC地址是設備的硬件地址，對于我們常用的以太網來說，即俗稱的計算機網卡地址。每一個網卡的 MAC地址在所有以太網設備中必須是唯一的，它由 IEEE分配，是固化在網卡上的，一般不能隨意改動。但是，現在的一些兼容網卡，其 MAC地址可以使用網卡配置程序進行修改。如果將一臺計算機的IP地址和MAC地址都改為另外一臺合法主機的IP地址和MAC地址，那靜態路由技術就無能為力了。

2.3 IP欺騙

對于那些 MAC地址不能直接修改的網卡來說，用戶還可以采用軟件的辦法來修改 MAC地址，即通過修改底層網絡軟件達到欺騙上層網絡軟件的目的。動態修改IP地址對于一些黑客高手來說，直接編寫程序在網絡上收發數據包，繞過上層網絡軟件，動態修改自己的IP地址（或成對修改MAC地址和IP地址），達到IP欺騙并不是一件困難的事。

3 IP地址沖突解決方法

通過IP地址與MAC地址綁定，MAC、IP地址與交換機端口綁定，以及網絡規劃管理策略、對用戶進行安全教育并進行相應的IP地址入網申請登記制度、主動監督等。可有效地防止用戶更改IP地址和MAC地址的現象，較好地解決網絡中IP沖突問題。

3.1 交換機端口與MAC綁定

解決IP地址沖突最徹底的方法是，使用交換機進行控制，使用交換機提供的端口的單地址工作模式，即交換機的每一個端口，只允許一臺主機通過該端口訪問網絡，如將交換機端口與MAC和IP綁定，任何其他地址的主機的訪問都將被拒絕。網卡的MAC地址通常是唯一確定的，在路由器中建立一個IP地址與MAC地址的對應表，只有IP－MAC地址相對應的合法注冊機器才能得到正確的ARP應答，來控制IP－MAC不匹配的主機與外界通訊，達到防止IP地址的盜用。比如局域網某一用戶的IP地址為：202.100.181.160，MAC地址為：0010.80EC.B64D，在Cisco的路由器或交換機的路由模塊上使用命令：router(config)# arp 202.100.181.160 00 10 80 EC B6 4D arpa把該IP地址與 MAC地址進行綁定，若有人盜用該IP地址，因其MAC地址的唯一性，使得IP地址與MAC地址不匹配而盜用失敗。但此方案的最大缺點在于，它需要網絡上全部采用交換機提供用戶接入，這在交換機相對昂貴的今天，不是一個能夠普遍采用的解決方案。

3.2 采用PVLAN（虛擬局域網）技術

虛擬局域網是在二層交換機上實現對端口數據的隔離，把原本的廣播域進行隔離，把一個大的廣播域劃分成若干個小的廣播域。這種隔離是一種邏輯隔離，不是一種物理隔離。這樣的劃分使得廣播只能局限在單個的小廣播域內，廣播報文不會跨越到其他的廣播域中。這樣網絡規劃人員可以根據實際的需要靈活的對網絡進行邏輯劃分，這樣的隔離在網絡規模較小的環境中較容易實現。PVLAN的應用對于保證接入網絡的數據通信的安全性非常有效，用戶只需與自己的默認網關連接，一個PVLAN不需要多個VLAN和IP子網就提供了具備第2層數據通信安全性的連接，所有的用戶都接入PVLAN，從而實現了所有用戶與默認網關的連接，而與 PVLAN內的其他用戶沒有任何訪問。PVLAN功能可以保證同一個VLAN中的各個端口相互之間不能通信，但可以穿過Trunk端口。這樣即使同一VLAN中的用戶，相互之間也不會受到廣播的影響。

4 結束語

通過以上方法，我們在“技術為主，管理為輔”總方針的指導下用較低的成本解決了 IP地址沖突問題。其中，PVLAN其實就是在原本一層VLAN劃分的基礎上所進行的二次VLAN的劃分，這樣的劃分能夠把廣播域隔離得更小，抑制了IP沖突、廣播風暴在全局網絡中的產生，把沖突范圍壓縮的最小，增強局域網絡的穩定性，保障了局域網通信的安全，也增強了虛擬局域網配置的靈活性，在很大程度上能夠滿足不斷擴大的局域網絡發展的需求。

1 吳亞榕.校園網IP地址沖突解決方法[J].軟件導刊，2008（9）

2 吳建軍.IP地址沖突的分析與對策[J].云南師范大學學報，2008（6）

3 陳明.PVLAN技術在虛擬局域網中的應用[J].漳州職業技術學院學報，2009（1）

4 [美]Todd Lamm le著.CCNA學習指南[M].北京：電子工業出版社，2008.2