企业局域网IP管理与冲突的解决办法

刘晓红

摘要： 分析企业网络的基础IP管理，IP地址分类与分配，指出IP管理的重要性与分配方案。对于常遇的IP冲突问题，介绍了生成的原因并给出了相应的解决方案，为网络管理员提供了方法与思路。

Abstract： This paper analyzes the enterprise network basic IP management， IP address classification and distribution， and points out the importance of IP management and distribution program. For the common IP conflict problem， this paper introduces the cause and gives the corresponding solution， which provides the ideas and methods for network administrator.

关键词： IP地址；网络协议；MAC地址；冲突

Key words： IP address；network protocol；MAC address；conflict

中图分类号：TP393.1 文献标识码：A 文章编号：1006-4311（2017）01-0201-02

0 引言

作为网络管理员，企业内部网络的IP管理是最基础的工作。企业员工越多，网络故障的机率也相应增加。其中IP地址冲突是让企业管理员一直比较头疼的问题。正确分配IP地址并且防止冲突，以及出现冲突后如何能快速找到根源是本文所要探讨的。

1 IP地址管理

IP地址指的是互联网协议地址（Internet Protocol Address），是IP Address的缩写。它是网络终端通讯的基础，每个网络及每台主机都会分配给一个逻辑地址，用此来屏蔽物理地址的差异。目前互联网是在IPv4协议的基础上运行的， IPv4定义的地址空间因为有限，随着网络的飞速发展已经将被耗尽，所以IPv6将是不久的将来所使用的互联网协议。

1.1 IP地址类型

1.1.1 公有地址

公有地址（Public address）是可以直接访问互联网的地址，它是由因特网信息中心Inter NIC（Internet Network Information Center）来负责的。在我国通常由联通、电信两大运营商来提供，通过它直接访问因特网。

1.1.2 私有地址

私有地址（Private address）属于非注册地址，是保留地址，不能直接访问互联网，只能在企业内部局域网所使用的。私有地址被分为三大类：

A类 10.0.0.0--10.255.255.255；

B类 172.16.0.0--172.31.255.255；

C类 192.168.0.0--192.168.255.255。

1.2 IP地址分配

企业网络中的每台终端都需要分配一个IP地址，同时指定相应的子网掩码及默认网关，用DHCP（动态主机配置协议）或手工指定这两种方式来进行分配。

1.3 IP管理方式

企业根据自身的特点来对局域网IP进行有效管理。企业规模的大小通常决定其IP地址的分类，大型企业可以采用A类私有地址，中小型企业采用B类和C类地址为宜。网络管理员根据自己的喜好或随意定义IP地址是错误的，往往会导致IP网络管理混乱，甚至无法与互联网通信。

1.3.1 严格定义IP地址范围

网络管理员要严格按照私有地址分类来确定IP地址范围，保证IP地址分配规范，同时做好记录文档，以便日后检索及维护。

1.3.2 明确IP分配方案

作为企业的网络管理员，要以维护为目的去管理，只为当前轻松省事的做法是错误的。在IP地址分配采用DHCP和手工指定方面要有清楚认识，两者各有优缺点，不同的场合有着不同的应用。

企业IP地址分配，首选的是手工指定，并建立IP地址分配记录表。大中型企业人数众多，手工指定IP地址工作量很大。这种方式虽然前期工作繁琐，但是对后期维护是相当有利的，客户端信息均有记录，哪个地方有问题可以迅速定位故障点。DHCP分配IP地址，虽然简化了TCP/IP协议设置，避免了分配出错，但是在后期维护中定位故障点比较艰难，为排除故障解决问题增加了相当大的难度，所以DHCP在企业管理中适合应用到一些无关紧要小范围之内。

2 IP地址冲突

企业局域网中IP地址冲突是常见问题之一，它会导致用户网络无法通信，影响正常工作。究其原因，大致是由于ARP攻击和人为指定IP地址引起冲突这两种情况。

2.1 ARP攻击

国际标准化组织（ISO）和国际电报电话咨询委员会（CCITT）联合制定的开放系统互连参考模型（Open System Interconnect 简称OSI），它是一种功能结构的框架，是为不同种类的计算机系统之间连接提供了统一的框架，从低到高分别是：第一层物理层、第二层数据链路层、第三层网络层、第四层传输层、第五层会话层、第六层表示层和第七层应用层（如图1）。它的每一层的功能是独立的，并且下一层的通信功能是为其上一层提供服务，而与其他层的具体实现无关，层与层之间的会话规定，是通过通信原语来实现，两个同层之间的通信规则和约定称之为协议。通常把第一层至第四层之间的协议称为下层协议，第五层至第七层之间的协议称为上层协议。

ARP（Address Resolution Protocol）地址解析协议，是对IP地址解析而获取其物理地址的一个TCP/IP协议。IP地址在ISO/OSI模型的第三层，MAC物理地址在ISO/OSI模型的第二层，它们不能直接相互打通信。

网络设备在通过以太网发送IP数据包时，需要先封装第三层（32位IP地址）、第二层（48位MAC地址）的报头，然后根据接收端的目标IP地址进行发送，接收端使用ARP地址解析协议，可根据网络层IP数据包包头中的IP地址信息解析出相应的硬件物理地址（MAC地址）信息，从而保证网络通信的顺利进行。如图1。

2.1.1 现象与原因

ARP攻击是由局域网内电脑感染ARP病毒导致的，它是一种入侵局域网的电脑的木马病毒，对用户个人信息有很大的威胁，存在极大的安全隐患。由于在1980年RFC826就出版了，所以ARP是网络早期的通信协议，现在网络应用中已经无法对其进行修改，因此ARP病毒就是利用该协议存在的漏洞进行传播，它使得电脑经常发生IP地址冲突，导致电脑掉线而无法网络通信。ARP病毒只要成功感染一台电脑，就可能使整个局域网都无法上网，甚至导致整个内部网络瘫痪。ARP攻击的方法通常有两种：网关欺骗和路由欺骗。

2.1.2 解决办法

首选要准确定位ARP的攻击源。企业的网络管理员应该先从网络硬件上查起，交换机是连接用户的最基础网络设备，所以管理员观察IP冲突同一网段交换机上的数据状态指示灯，如果发现其闪烁频率较快，状态异常的端口则可初步判定为冲突源，断开其端口连接，如果网络恢复正常，那么此端口所连接的终端即为ARP的攻击源。交换机级联层数较多的可以使用逐级断网方式来排查，最终确定感染源后对其进行ARP病毒查杀。

目前还没有根本防止ARP攻击的办法，因此在日常企业网络管理和维护中，应做好提前预防，网络管理员对交换机的IP与MAC的绑定及VLAN虚网和端口的绑定在一定程度上可以起到防止ARP攻击，但这样企业网络管理员对网络的使用及管理带来很大的约束，不能灵活应用，并且有损于网络的传输效能，使得网速变慢及浪费网络带宽。终端个人用户安装ARP防火墙，杀毒软件等是一种相对有效的防范措施。

2.2 手工指定IP地址

DHCP分配IP地址可以有效防止个人用户IP地址冲突，手工指定IP地址虽然可以方便管理维护局域网，但个人用户IP地址冲突也会经常出现。

2.2.1 现象与原因

一般原因是个人用户对IP地址设置不熟或者随意设定IP地址，其次是管理员记不清有效IP而设定与其他人相同的IP造成。这样的冲突不会使得整个局域网都受到影响，而是冲突双方无法上网或进行网络通信。

2.2.2 解决办法

大中型企业的网络结构均应含接入交换机，汇聚交换机和三层交换机，对于这样层级较多的网络，如果个人用户设定IP地址引起冲突，网络管理员应让拥有合法IP地址的用户先断开网络，继而登录交换机，由上而下去找出冲突源。各厂家交换机设置命令不同，但功能一致，以华为交换机为例说明，假设冲突源终端的IP是IP_A，对应的MAC地址是MAC_B（如图2）。

①登录三层交换机，用显示ARP表命令找出冲突源的MAC地址，即：Display arp IP_A，此命令执行后就能看到冲突源IP_A对应的MAC_B，并且是从哪个端口连接的汇聚交换机。②登录相应的汇聚交换机，再找出该MAC_B是来自哪个端口，即：Display mac-address MAC_B，在显示的结果中就能看到这个MAC地址来自哪个端口。根据该端口，找出下面接入的接入终端交换机。③登录以上找到的接入交换机，执行与第二步一样的Display mac-address MAC_B，从结果中再查看具体的接入端口。④根据具体接入端口在综合布线过程中记录的对应信息点号找出是在哪个位置（或房间号），由此就找到冲突源的具体位置。⑤修改冲突源地址，避免与合法IP重复。

3 结论

本文对企业网络的基础IP管理做了简单分析，提出IP管理的重要性与分配方案，适合企业网络管理并为管理员提供了方便维护思路。对于已经成为管理员心腹大患的IP冲突问题，详细剖析了生成的原因以及危害，并给出了相应的解决方案。虽然网络管理上技术手段必不可少，但是对于企业来说，建立完善的网络使用管理制度才会有效、充分发挥和利用企业网络资源，保障网络系统正常、安全、可靠地运行。

参考文献：

[1]林川.计算机网络-基础应用教程[M].清华大学出版社， 2009：15.

[2]申怀亮，申一鸣.网络技术与安全管理[M].北京：清华大学出版社，2014：16-26.

[3]史建政，于东敏.局域网IP地址的管理与分配浅析[J].廊坊师范学院学报，2006（04）.