有效管控局域網IP地址

■

IP地址管理是網絡管理中一項至關重要的步驟，無論是新接入設備還是重新配置工作站，都需要嚴格按照IP地址規劃方案來進行，否則，我們將時常受到IP地址沖突的困擾。為了減少這種低級錯誤的出現，我們應該主動出擊，讓用戶無法隨意配置或修改局域網中規劃好的IP地址。

環境環境

筆者單位局域網規模將近有140個網絡節點，這些節點分別分布在老辦公區和新辦公樓，共有老辦公區三個樓層和新辦公樓六個樓層，各辦公室都通過100M雙絞線與普通交換機連接，每個普通交換機又通過光纖連接到單位H3C 5800核心交換機，交換機再和MSR 5660路由器連接，所有網絡節點均通過F 100E防火墻與Internet聯通。根據全省統一規劃，我單位使用的是10.211.4.0網絡的IP地址，網關地址則為：10.211.4.254，子網掩碼地址為 ：255.255.255.0 ；通常情況下，我們只用到140個左右的IP地址，地址空間很大。

故障現象

盡管在新部署上網設備的時候，網絡管理員都嚴格按照IP地址規劃來為各個上網設備配置了IP地址參數，并且做了詳細記錄和備案，可是經過一段時間后，經常會出現IP地址沖突而導致網絡故障的現象，嚴重影響了局域網中的上網用戶的工作效率，也給網管員們加大了工作量。

故障原因分析

出現頻繁IP地址沖突的主要原因就是，部分網絡用戶不當的有意操作或者無意操而引起的。通常有以下三種情況：一是一些用心不良的上網用戶為了獲得某臺主機系統的管理員權限，而有意偷用目標主機系統的IP地址，從而造成上網地址沖突的現象；二是局域網中的非法破壞分子，為了破壞局域網穩定運行的目的，故意制造IP地址沖突故障，三是普通上網用戶在自己動手處理上網參數的時候，沒有嚴格按照局域網IP地址規劃來進行，或者是安裝、卸載各種應用程序或安裝、卸載網卡等操作不當而致。

解決方案

為了有效避免上網用戶任意改動IP地址，我們可以采用IP地址綁定的方法，直接將局域網中各工作站的IP地址與對應網卡設備的物理地址綁定在一起，這樣限定了特定網卡設備只能使用特定的IP地址進行上網連接，而使用其它IP地址進行上網時無法成功，惡意用戶即使搶用了重要主機系統的IP地址，也不能順利地連接到網絡中，那么地址沖突現象也就不會發生了。

但是經過實踐發現，這種方案并不理想。具體地說，簡單地將IP地址與網卡MAC地址綁定在一起的方法，只能有效防范惡意用戶搶用別人的IP地址，但是無法防范合法用戶操作上的無意失誤引起的IP地址沖突現象，并不能徹底“擺脫”有操作不當引起的麻煩。

應對策略

有鑒于此，我們必須在核心交換機上同時采用兩種地址綁定操作，以便徹底解決由操作不當引起的地址沖突問題：一種是將全部可信任接入設備的IP地址與它們的網卡MAC地址綁定在一起，另外一種就是將其他沒有被使用到的空閑IP地址集中綁定到一個虛擬的MAC地址上。經過上面兩個步驟的操作，上網用戶既不能使用已經連網工作站的IP地址，又不能使用局域網中空閑的IP地址，因此只要局域網中的上網用戶隨意改動IP地址的話，他就不能正常接入到局域網網絡中。

不過這樣配置后，也帶來了另外一個麻煩，那就是如果局域網中有新的用戶需要上網訪問時，就不能由自己作主任選IP地址，而必須事先向網絡管理員申請IP上網，網絡管理員需要對空閑地址進行放號，上網用戶才能正常連接到局域網中。實踐證明，這種方法不但可以有效避免IP地址沖突故障發生，而且還能有效地防止網絡病毒通過局域網非法傳播，從而可以有效地保障局域網的穩定運行。

綁定方法介紹

從理論上來講，我們應該首先將局域網中的網關地址10.211.4.254綁定到對應的MAC地址上，這樣處理的好處在于可以有效控制局域網中ARP病毒，接下來，我們應該對IP地址規劃表中已經被使用的IP地址執行綁定操作，最后還應該將還未被使用的即空閑的IP地址集中綁定到一個虛擬的網卡物理地址上，經過這三個步驟的處理后，IP地址沖突的情況就不會出現了。

要綁定指定的網關地址，我們首先以管理員身份登錄進入MSR 5800交換機后臺系統，在該系統的命令行狀態執行字符串命令“system”，將系統切換到交換機配置全局狀態，輸入“arp static 10.211.4.254 10.211.4.254 0023-7DC1-B22E ”，單擊回車鍵后，網關地址10.211.4.254就與00-23-7D-C1-B2-2E MAC地址綁定上了，其它工作站以后也就無法使用該地址了。

接著，就是為所有的被使用的IP地址都需要與相應的網絡設備的MAC地址綁定起來，方法就是在交換機后臺系統的全局配置狀態下，執行“display arp”字符串命令，將顯示出來的交換機ARP表中的內容拷貝到記事本編輯窗口中，通過編輯文本，將編輯好的ARP表內容重新粘貼到交換機的ARP表中，快速完成綁定工作。

最后再將未被使用的IP地址綁定到虛擬的MAC地址上，例如我們需要將10.211.4.250地址綁定到00-25-4E-5A-75上，我 們只要在交換機后臺系統的全局配置狀態下，執行字符串命令“arp static 10.211.4.250 0023-7DC1-B22E ”，之后我們再按同樣的方法將其它空閑IP地址綁定到虛擬MAC地址0023-7DC1-B22E上。

完成上述所有步驟后，網絡用戶就不能隨意配置或修改IP地址了，倘若有新的網絡設備需要配置新的IP地址，網絡管理員可以通過下面的操作步驟從未被使用的IP地址列表中釋放出來：

假如，我們打算使用10.211.4.250這個地址來配置一臺新加入的工作站，我們需要首先通過交換機后臺管理系統執行“system”命令，將系統狀態切換到全局配置狀態，在該狀態下輸入字符串命令“display arp”，單擊回車鍵后，從其后出現的ARP列表中檢查一下10.211.4.250地址是否處于空閑狀態，要是目標IP地址處于空閑狀態，我們就能繼續執行下面的釋放步驟了：

輸入字符串命令“undo arp stati 10.211.4.250 0023-7DC1-B22E”，單擊回車鍵后，目標IP地址10.211.4.250就從地址綁定列表中釋放出來了，我們只要將該地址設置到相應的工作站中，工作站就被接入到單位局域網中了。我們可以在核心交換機后臺系統中執行““display arp 10.211.4.250”，從其后返回的結果界面中我們可以查看得到對應10.211.4.250地址的網卡物理地址為000d-88f8-4e88，然 后 我 們 執 行”arp static 10.211.4.250”命令，保存退出后，結束綁定即可。

總結

通過對局域網核心交換機進行配置，所有規劃表中的IP地址都被綁定，任何用戶在未有授權的情況下，都不能接入網絡，盡管控制過程有些復雜，但此方法可以很好的控制整個局域網的接入安全，避免了非法接入將網絡病毒或者木馬程序帶入到局域網工作環境中。

當然，以上方法并不能保證萬無一失，如果非法用戶竊取了交換機ARP列表中的內容，并修改自己工作站的網卡物理地址以及IP地址，并且在被竊IP不在線的情況下，也可以占用此IP進行上網操作，不過這種情況出現的概率非常低。