通过设置交换机来控制IP地址冲突
2022.10.12网络用户如果没有按照规定设置IP地址的话,IP地址冲突现象就不可避免,一旦这种现象频繁发生,不仅会影响用户的上网体验,也不利于局域网网络的稳定运行。下面就为大家介绍下通过设置交换机来控制IP地址冲突。
1. 组网情况
例子:局域网大约有150个网络节点,这些网络节点平均分布在六个楼层,每一个楼层中的网络节点都通过100m双绞线与普通二层交换机保护连接,而每一个普通二层交换机又通过1000m光纤线缆连接到QuidWay S9300系列路由交换机上;为了保证网络访问安全,所有网络节点都通过启明星辰硬件防火墙与Internet网络互联互通。
目前,单位局域网使用的是10.168.163.0网段的IP地址,该网段中使用的默认网关地址为10.168.163.1,子网掩码地址为255.255.255.0;由于该网段最多能拥有250多个IP地址,在平时工作中实际只用到150多个地址,显然足够大的地址空间余量完全可以满足工作站量不断增加的需求。
但由于单位局域网采用了静态地址分配方法,每当工作站系统发生突然崩溃或遭遇病毒攻击不能正常启动时,上网用户都自行其是,随意重新安装系统、修改上网地址,结果局域网中频繁出现IP地址冲突现象,这不但严重影响了他人的正常上网访问,而且也加大了网络管理员的维护工作量。
2. 应对方案
想要彻底解决IP地址冲突故障,我们不但需要将局域网中已分配出去的IP地址绑定到应对不网卡设别上,而且还需要对那些处于空闲状态的IP地址进行绑定,这样一来用户既不能使用已经连网工作站的IP地址,又不能使用局域网中空闲的IP地址,因此只要局域网中的上网用户随意改动IP地址的话,他就不能正常接入局域网网络中。
但是这样配置后,也能带来另外一个麻烦,那就是如果局域网中有新的用户需要上网访问时,就不能由自己做主任意选择IP地址,而必须事先向网络管理员单独申请上网,网络管理员接受到申请后需要登录进入交换机后台管理系统对空闲地址进行放号,上网用户才能正常连接到局域网中。
3. 实施过程
依照上述理论分析,我们可以线将局域网网中默认的网关地址10.169.163.1绑定到对应的物理地址上,这样可以有效控制局域网中ARP病毒的爆发;之后再想办法对已经上网工作站的IP地址执行绑定操作,最后将那些处于空闲状态的IP地址集中绑定低智商,如此一来就能实现一石二鸟的效果了。
在绑定网关地址时,可以先以系统管理员身份登录进入QuidWay S9300系列路由交换机后台管理系统,在该系统的命令状态执行字符串命令“system”,将系统切换到交换配置全局状态。
在该全局配置状态下,输入字符串命令“arp 10.168.163.1 0215.9cae.1156 arpa”,单击回车键后,默认网关地址10.168.163.1就被绑定到0215.9cae.1156MAC地址上了,其他工作站日后上网时如果抢用10.168.163.1地址时,就会出现无法上网的故障现象,如此一来整个局域网的运行稳定性就能得到保证了。
为了防止用户抢用其他IP地址,我们需要把已经上网的150个左右网络节点地址帮顶起来;由于待绑定的地址数量比较多,单纯依靠手工方法获取每台工作站的网卡物理地址和IP地址,工作量将会十分巨大,因此大家可以在交换机后台系统的全局配置状态下,执行“display ary”字符串命令,之后将会显示出交换机ARP表中的内容复制拷贝到本地记事本编辑窗口中,通过简单的编辑修改后,再将修改后的ARP表内容复制粘贴到交换机ARP表中,这样一来就能快速完成已经上网工作站地址的绑定任务。
对于剩下100个左右的空闲IP地址,我们可以采用手工方法依次将每一个空闲的IP地址绑定到虚拟的MAC地址上,例如要将10.168.163.156地址绑定到071e.33ea.8975上时,我们可以在交换机后台系统的全局配置状态下,执行字符串命令“arp 10.168.163.156 071e.33ea.8975 arpa”,之后我们再按同样的方法将其他空闲IP地址绑定到虚拟MAC地址071e.33ea.8975上。
完成上面的地址绑定任务后,任何用户都不能随意更改IP地址;倘若此时有新的用户需要使用空闲的10.168.163.156地址上网访问时,网络管理员可以按照下面的操作步骤,将10.168.163.156地址从绑定地址列表中释放出来:
(1)首先在QuidWay S8500系列路由交换机后台管理系统执行“system”命令,将系统状态切换到全局配置状态,在该状态下输入字符串命令“display arp”,单击回车键后,从其后出现的ARP列表中检查一下10.168.163.156地址是否处于空闲状态,要是目标IP地址处于空闲状态,我们就能继续执行下面的释放步骤了。
(2)其次,输入字符串命令“no arp 10.168.163.156 071e.33ea.8975 arpa”,单击回车键后,目标IP地址10.168.163.156就从地址绑定列表中释放出来了。
(3)将新增加地址告诉给需要商户的用户,让他将IP地址设置到对应工作站系统中,如此一来新增用户就能顺利接入到单位局域网络中。
(4)随后,将核心交换机的后台管理系统,继续执行字符串命令“display arp in 10.168.163.156”,从其后返回的结果界面中我们可以查看到对应10.168.163.156地址的网卡物理地址为00bb.ebc3.c6d0。
(5)在得到MAC地址后,我们可以继续执行字符串命令“arp 10.168.163.156 00bb.ebc3.c6d0 arpa”,这样一来新上网用户的IP地址与网卡物理地址就被成功绑定在一起了,最后依次执行字符串命令“quit”、“save”,将上述配置操作保存到交换机系统中,结束交换机配置任务。
4. 总结
通过上面的配置,局域网中的所有IP地址都能被成功控制起来,任何用户私自改动IP地址,豆浆不能接入网络;整个控制过程虽然有点复杂,但是可以很好地控制网络的接入安全,避免不明真相的工作站将网络病毒或木马程序带入到局域网工作环境中。
当然,如果按照上面的控制方案没能保证万无一失,还有一种情况会引发地址冲突现象发生,那就是非法用户窃取了交换机ARP列表中的内容,他只要同时修改自己工作站的网卡物理地址以及IP地址,并且在被且用户没有在线的情况下,就能成功抢用他人地址进行上网访问了,不过这种情况出现的可能性比较低。
