为了提高局域网运行的稳定性,不能等IP地址冲突发生了再想办法处理。而是要主动让上网者抢不到局域网内的其他IP地址。因此,本文从实战角度出发,通过巧妙设置开关,控制IP地址冲突故障的反复发生!
网络
作者所在的局域网大约有150个网络节点。这些网络节点均匀分布在六层。每层网络节点通过100M双绞线连接到普通二层交换机保护,每台普通二层交换机通过1000M光缆连接到QuidWay S8500系列路由交换机。为了保证网络访问的安全性,所有网络节点都通过Venus硬件防火墙与Internet网络互联。目前单位局域网使用10.168.163.0网段的IP地址,该网段使用的默认网关地址为10.168.163.1,子网掩码地址为255 . 255 . 255 . 0;由于这个网段最多可以有250多个IP地址,正常工作中实际使用的只有150多个地址。显然,足够大的地址间余量空完全可以满足日益增长的工作站数量需求。
但由于单位局域网采用静态地址分配方式,每当工作站系统突然崩溃或遭受病毒攻击无法正常启动时,上网用户都一意孤行,重装系统,随意修改上网地址。因此,局域网中频繁出现IP地址冲突,不仅严重影响他人的正常上网,也增加了网络管理员的维护工作量。为了有效防止互联网用户随意更改IP地址,笔者拟采用地址绑定的方法,将工作站的IP地址与相应网卡设备的物理地址绑定。但是这个办法还没正式实施,就遭到了同是网管的同事的反对。他认为这种方法可以治标不治本,因为互联网用户仍然可以通过修改网卡的物理地址来窃取他人的IP地址。显然,这不是最有效的解决方案。
应对计划
但是,他仍然可以利用局域网中的空闲IP地址,这样仍然可能发生IP地址冲突,这也是很多网络管理员困惑的问题:将所有工作站使用的IP地址绑定到核心交换机中对应的网卡设备后,仍然无法有效避免地址冲突。
不过这样配置之后,也带来了另一个麻烦,就是如果局域网内有新用户需要上网,不能自己选择IP地址,必须提前单独向网络管理员申请。网络管理员收到申请后,需要登录交换机后端管理系统,对空空闲地址进行编号,使在线用户能够正常连接局域网。实践证明,这种方法不仅能有效避免IP地址冲突,还能有效防止网络病毒通过局域网非法传播,从而有效保证局域网的稳定运行!
实现过程
根据以上理论分析,笔者拟将局域网中的默认网关地址10.168.163.1绑定到相应的物理地址,可以有效控制局域网中ARP病毒的爆发;然后想办法绑定已经上线的工作站的IP地址,最后把那些处于空空闲状态的IP地址绑定到一个网卡的虚拟物理地址上,这样可以达到一举两得的效果。
绑定网关地址时,作者首先以系统管理员身份登录QuidWay S8500系列路由交换机后台管理系统,在系统命令行状态下执行字符串命令“system”将系统切换到交换配置的全局状态;在下面的全局配置状态下,输入字符串命令“ARP 10.168.163.1 0215 . 9 CAE . 1156 ARPA”,点击回车键,默认网关地址10 . 168 . 163 . 1将成功绑定到0215.9cae.1156MAC地址。如果以后其他工作站上网用10.166,
为了防止用户抢占其他IP地址,我们需要绑定大约150个已经上线的网络节点的地址;由于要绑定的地址数量很大,手工获取每个工作站的物理地址和IP地址需要做大量的工作。因此,作者在交换机后端系统的全局配置状态下执行“显示arp”字符串的命令,然后将交换机显示的ARP表内容复制到本地编年史的编辑窗口。经过简单的编辑和修改,将修改后的ARP表复制粘贴到交换机的ARP表中,就可以快速完成在线工作站的地址。
对于剩下的100个左右空空闲IP地址,我们可以手动将每个空空闲IP地址依次绑定到虚拟MAC地址。例如,当10.168.163.156地址绑定到071e.33ea.8975时,我们可以执行字符串命令“ARP 10 . 168 . 163 . 156 071e.33ea.8975 APA”,然后我们会用同样的方法将其他空空闲IP地址绑定到虚拟MAC地址071 e . 33 ea . 8975。
完成上述地址绑定任务后,任何用户都不能随意更改IP地址;此时,如果新用户需要使用空 idle 10.168.163.156地址访问互联网,网络管理员可以按照以下操作步骤从绑定地址列表中释放10.168.163.156地址:
首先执行QuidWay S8500系列路由交换机后台管理系统中的“system”命令,将系统状态切换到全局配置状态。在这种状态下,输入字符串命令“display arp”。点击回车键后,从之后出现的ARP列表中检查10.168.163.156的地址是否处于空空闲状态。如果
其次,输入字符串命令“NO ARP 10 . 168 . 163 . 156 071 e . 33 ea . 8975 ARPA”。点击回车键后,目标IP地址10.168.163.156从地址绑定列表中释放;
接下来告诉需要上网的用户10.168.163.156的地址,让他将IP地址设置到对应的工作站系统,这样新添加的用户就可以顺利接入公司的局域网;
之后在核心交换机的后台管理系统中,继续执行字符串命令“显示10.168.163.156中的arp”。从返回的结果界面可以看到,10.168.163.156地址对应的网卡物理地址为00bb . ebc 3 . c6d 0;
得到MAC地址后,我们可以继续执行字符串命令“ARP 10 . 168 . 163 . 156 00bb . ebc 3 . c 6d 0 arpa”,使新上网用户的IP地址和网卡的物理地址成功绑定在一起;最后依次执行字符串命令“quit”和“save”,将上述配置操作保存到交换机系统中,结束交换机配置任务。
最终结论
通过以上配置,成功控制局域网内的所有IP地址。任何私自更改IP地址的用户都将无法访问网络;虽然整个控制过程有点复杂,但是可以很好的控制网络的访问安全,防止未知工作站将网络病毒或木马带入局域网工作环境。当然,以上控制方案不能保证万无一失,还有一种情况会导致地址冲突。也就是非法用户窃取了交换机的ARP表内容。他只要同时修改自己工作站的物理地址和IP地址,就可以成功使用别人的地址上网,而如果被盗用户不在线,这种情况发生的可能性相当低,除非是网络管理员故意为之。
