為了提高區域網路運作穩定性,我們不能等IP位址沖突故障發生時,才想辦法去應對,而應該主動出擊,讓上網使用者無法搶用區域網路中的其他IP位址。
一、發生ip沖突的原因是什麼?
發生IP位址沖突的原因:
1、很多使用者不知道“IP位址”、“子網路遮罩”、“預設網關”等參數如何設定,有時使用者不是從管理者處得到的上述參數的資訊,或者是使用者無意和私自修改了這些資訊所導緻的;
2、有時管理者或使用者根據管理者提供的參數進行設定時,由于失誤造成參數輸錯也會導緻該情況發生;
3、出現得最多的是在客戶機維修調試時,維修人員使用臨時IP位址應用造成;
二、組網舉例
舉例:
區域網路大約有150個網絡節點,這些網絡節點平均分布在六個樓層,每一個樓層中的網絡節點都通過100M雙絞線與普通二層交換機保護連接配接,而每一個普通二層交換機又通過1000M光纖線纜連接配接到路由交換機上,為了保證網絡通路安全,所有網絡節點都通過硬體防火牆與Internet網絡互聯互通。
目前,機關區域網路使用的是10.168.163.0網段的IP位址:
該網段中使用的預設網關位址為10.168.163.1,子網路遮罩位址255.255.255.0,
由于該網段最多能擁有250多個IP位址,在平時工作中實際隻用到150多個位址,顯然足夠大的位址空間餘量完全可以滿足工作站數量不斷增加的需求。
但由于機關區域網路采用了靜态位址配置設定方法,每當工作站系統發生突然崩潰或遭遇病毒攻擊不能正常啟動時,上網使用者都自行其是,随意重新安裝系統、修改上網位址,結果區域網路中頻繁出現IP位址沖突現象,這不但嚴重影響了他人的正常上網通路,而且也加大了網絡管理者的維護工作量。
三、解決方案為了有效避免上網使用者任意改動IP位址,是以打算采用位址綁定的方法,将工作站的IP位址與對應網卡裝置的實體位址(MAC)綁定在一起,然而這種方法還并不是最有效的,是治标不治本,因為上網使用者仍然可以采用修改電腦網卡實體位址的方法,來竊取他人的IP位址,很顯然這種不是最有效的解決辦法。
四、如何才能有效的解決
分析
核心交換機上對普通工作站的IP位址和網卡實體位址(MAC)進行綁定操作,可是簡單地進行綁定操作,也不能解決上網使用者随意設定IP位址的現象,
因為某個IP位址一旦被設定綁定後,雖然上網使用者不能繼續搶用這個IP位址,但是他仍然可以搶用區域網路中處于空閑的IP位址,這樣一來IP位址沖突現象仍然可能會發生。
這也是很多網絡管理者百思不得其解的問題:在核心交換機中将所有工作站使用的IP位址綁定到對應MAC位址上後,仍然無法有效避免位址沖突故障。
要想徹底解決IP位址沖突故障,我們不但需要将區域網路中已配置設定出去的IP位址綁定到對應網卡裝置上。而且還需要對那些處于空閑狀态的IP位址進行綁定。
這樣一來上網使用者既不能使用已經連網工作站的IP位址,又不能使用區域網路中空閑的IP位址,是以隻要區域網路中的上網使用者随意改動IP位址的話,他就不能正常接入到區域網路網絡中。
不過這樣配置後,也帶來了另外一個麻煩,那就是如果區域網路中有新的使用者需要上網通路時,就不能由自己作主任選IP位址,而必須事先向網絡管理者單獨申請上網,網絡管理者接受到申請後需要登入進入交換機背景管理系統對空閑位址進行放号,上網使用者才能正常連接配接到區域網路中。實踐證明,這種方法不但可以有效避免IP位址沖突故障發生,而且還能有效地防止網絡病毒通過區域網路非法傳播,進而可以有效地保障區域網路的穩定運作!
五、實施過程依照上述理論分析,打算先将區域網路中預設網關位址10.168.1.143綁定到對應的實體位址上,這樣可以有效控制區域網路中ARP病毒的爆發,之後再想辦法對已經上網工作站的IP位址執行綁定操作,最後将那些處于空閑狀态的IP位址集中綁定到一個虛拟的網卡實體位址上,如此一來就能實作一石二鳥的效果了。
1、那麼如何綁定ip位址與mac實體位址呢?
首先輸入cmd進入指令配置符,然後輸入指令ipconfig/all,檢視本機ip及mac位址情況。
輸入字元串指令“arp -s 10.168.1.1 34-F3-9A-2B-9E-13“,即可綁定。
緊接着輸入指令arp -a查詢綁定是否成功。
很明顯,預設網關位址10.168.1.143就被成功綁定36-F3-9A-2B-9E-13, MAC位址上了,其他工作站日後上網時如果搶用10.168.1.143位址時,就會出現無法上網的故障現象,如此一來整個區域網路的運作穩定性就能得到保證了。
為了防止使用者搶用其他IP位址,我們需要把已經上網的150個左右網絡節點位址綁定起來,由于待綁定的位址數量比較多,單純依靠手工方法擷取每台工作站的網卡實體位址和IP位址,工作量将會十分巨大,是以在交換機背景系統的全局配置狀态下,執行“display arp”字元串指令,之後将顯示出來的交換機ARP表中的内容複制拷貝到本地紀事本編輯視窗中,通過簡單的編輯修改後,再将修改後的ARP表内容複制粘貼到交換機ARP表中,這樣一來就能快速完成已上網工作站位址的綁定任務。
2、綁定空閑的ip位址
對于剩下100個左右的空閑IP位址,我們可以采用手工方法依次将每一個空閑的IP位址綁定到虛拟的MAC位址上,例如要将 10.168.1.156位址綁定到07-1e-33-ea-89-75上時,我們可以在交換機背景系統的全局配置狀态下,執行字元串指令“arp 10.168.1.143 07 1e 33 ea 89 75”,之後我們再按同樣的方法将其他空閑IP位址綁定到虛拟MAC位址07 1e 33 ea 89 75上。
3、對于新使用者來了,可以釋放ip位址給他
完成上面的位址綁定任務後,任何使用者都不能随意更改IP位址,倘若此時有新的使用者需要使用空閑的10.168.1.156位址上網通路時,網絡管理者可以按照下面的操作步驟,将10.168.1.156位址從綁定位址清單中釋放出來:
a、首先在路由交換機背景管理系統執行“system”指令,将系統狀态切換到全局配置狀态,在該狀态下輸入字元串指令“display arp”,單擊Enter鍵後,從其後出現的ARP清單中檢查一下10.168.1.156位址是否處于空閑狀态,要是目标IP位址處于空閑狀态,我們就能繼續執行下面的釋放步驟了:
b、 其次輸入字元串指令“no arp 10.168.1.156 07 1e 33 ea 89 75 arpa”,單擊Enter鍵後,目标IP位址10.168.1.156就從位址綁定清單中釋放出來了;
c、下面将10.168.1.156位址告訴給需要上網的使用者,讓他将該IP位址設定到對應工作站系統中,如此一來新增使用者就能順利地接入到機關區域網路網絡中了;
d、之後在核心交換機的背景管理系統,繼續執行字元串指令“display arp in 10.168.1.156”,從其後傳回的結果界面中我們可以檢視得到對應10.168.1.156位址的網卡實體位址為00-bb-eb-c3-c6-d0;
e、得到該MAC位址後,我們可以繼續執行字元串指令“arp 10.168.1.156 00 bb eb c3 c6 d0 arpa”,這樣一來新上網使用者的IP位址與網卡實體位址就被成功綁定在一起了,最後依次執行字元串指令“quit”、“save”,将上述配置操作儲存到交換機系統中,結束交換機配置任務。