浅谈企业局域网IP地址冲突与防范_如何判断局域网有ip地址冲突

　　摘 要：本文主要介绍了业局域网IP地址、IP地址冲突、防止被盗及被盗之后解决方案。　　关键字：IP地址；IP冲突；解决方案　　引言　　IP地址盗用是一个普遍存在的问题，长期以来一直困扰着广大的网络管理人员。尤其是在企业局域网环境下，IP地址盗用更加频繁，解决的难度也较大；同时，IP地址盗用给网络正常运行带来许多负面影响，它还影响着整个企业信息化的进程，是一个急待解决的问题。
　　本文从解决企业局域网IP地址防盗用问题出发，分析了企业局域网的基本架构和TCP／IP协议基础，阐述了IP地址盗用问题的基本理论，研究了目前国内外对IP地址盗用问题的各种解决方案。
　　1、IP地址
　　在Internet上，主机的IP地址是由IANA（Internet分配编号机构）进行分配的，IANA向一些组织分配一组IP地址，这些组织再将这些IP地址分配给单独的计算机。公网上主机的IP地址分配是非常严格的，因此不会出现IP地址冲突的情况。
　　企业局域网计算机的IP地址通常由网络管理员进行分配，根据网络的结构、规模以及管理模式，在局域网中通常可以采取三种IP地址分配方式：静态地址分配方式、动态地址分配方式（DHCP）、主机自动寻址方式（APIPA）的分配方式。
　　静态地址分配方式由于不需要额外的设备投入，常用于一些计算机数量较少的中小型局域网中；动态地址分配方式（DHCP）需要一定的设备投入，但可以降低管理成本，通常用于计算机数量较多的中大型局域网和力求简化管理的网络中；而主机自动寻址方式（APIPA）的分配方式不要额外的设备投入也没有任何的管理开销，但是要求网络是有路由器和交换机的单一子网的封闭网络，网络不能与Internet存在连接，因此这种方式存在较大的局限性。
　　2、IP地址冲突
　　在实际企业局域网应用中，导致IP地址冲突的主要原因还是使用人员私自设置了非法的静态IP地址，此外，由于管理员的管理不当或地址设置失误也会导致IP地址冲突。
　　2.1手工设置地址失误
　　在静态地址分配方式下，出现IP地址冲突通常由于手工设置地址失误或管理员分配地址不当造成的。一种情形是，管理员对IP地址分配记录维护不完整，当分配IP地址时，管理员为其分配了一个之前已经分配给其他计算机的IP地址；另一种情形是，计算机的使用人员知道IP地址设置规则，当需要重新设定时，自己私自设置IP地址，而不知此IP地址正被其他计算机使用，此时，将会提示重新配置IP地址的对话框，如图1所示。
　　图1
　　2.2盗用他人地址
　　不论是静态地址分配还是动态地址分配方式，使用人员出于某种目的会盗用他人的IP地址，从而引起IP地址冲突。例如：很多单位为了加强Internet用户的管理，通常会将Internet用户的IP地址设置为静态地址，并在代理网关或代理服务器中进行IP地址的绑定，一些非Internet用户为了能够访问Internet，在他获取Internet用户的IP地址信息后，可能会通过地址欺骗的手段盗用该地址，进而引起合法用户计算机的地址而不能正常加入网络，造成IP地址冲突，如图2所示。
　　图2
　　2.3动态与静态IP冲突
　　在动态地址分配方式下，产生地址冲突的主要原因还是由于使用人员私自设置了静态IP地址。当一个用户手工设置了其他的计算机已经自动获得IP地址，可能因为那台计算机不在网络上而成功设置。如果设置成功，当那台计算机再次加入网络，系统会提示发生地址冲突，并且不能正常加入网络。在这种情况下，使用人员可以通过地址修复的方式，通过DHCP服务器重新获得一个可用的IP地址，而DHCP服务器将视原有地址为坏地址不再进行动态分配直至租约到期，这样会造成DHCP服务器的地址垃圾。
　　3、预防IP地址冲突
　　IP地址冲突的发生绝大多数是由于人为因素造成的，这应该属于管理方面的问题。在这方面我们应该制定严格的计算机设置和管理规范以及相应的惩罚措施。例如：管理员要建立完善的网络IP地址管理档案，计算机主机名称要采取实名制，严禁使用人员私自更改IP寻址方式和滥设地址，严禁启用除DHCP服务器外其他计算机的DHCP服务等。但是仅仅加强对使用人员和计算机的管理是很不够的，在预防IP地址冲突方面，充分利用网络资源和先进的网络技术同样是非常重要的。
　　将一个包含计算机数量较多的网络划分为多个子网，这样即可以有效减少广播风暴，同时由于一个子网内包含计算机的数量较少，当出现地址冲突时，查找的目标范围大大减少。划分子网需要一定的网络硬件设施，例如：路由器或交换机。
　　3.1进行交换机端口+主机IP地址+主机MAC地址的绑定
　　对于采取静态地址分配方式的网络，可以利用交换机的端口安全特性，将网络交换机中所有计算机连接的交换机端口与计算机的IP地址和网卡的MAC地址进行绑定。这样，当计算机加入网络时，交换机首先会验证与该端口连接的计算机IP地址和MAC地址是否有效，如果有效，则计算机通过验证成功加入网络；否则无效，将禁止计算机加入网络。
　　由于普通的使用人员是不能接触到网络交换机的，因此，即使有个别用户盗用了他人的IP地址和MAC地址，由于计算机连接的交换机端口不能改变，也不能加入网络。这个措施需要网络交换机支持端口安全特性。
　　3.2对DHCP服务器进行认证
　　对于采用动态地址分配方式的网络，如果DHCP服务器基于Windows 2000/2003 Server操作系统，可以利用“域”应用环境对服务器进行认证。即在活动目录（Active Directory）中创建DPCH服务器对象，将合法的DHCP服务器的IP地址添加到认证服务器列表中。当一台启用DHCP服务的计算机试图加入网络时，Active Directory首先将计算机的IP地址和认证的IP地址进行对照，如果发现匹配，则此计算机被认证为DHCP服务器而成功加入到网络中提供DHCP服务；如果不匹配，则认为此计算机为非法，同时这台计算机的DHCP服务将被自动的关闭。通过DHCP服务器认证，可以杜绝非法DHCP服务器引起的地址分配混乱和冲突，这项预防措施需要在网络中部署域环境并配置活动目录。