交換機(jī)如何設(shè)置控制IP地址沖突故障

交換機(jī)如何設(shè)置控制IP地址沖突故障網(wǎng)絡(luò)用戶如果沒有按照規(guī)定設(shè)置IP地址的話，IP地址沖突現(xiàn)象就不可避免，一旦這種現(xiàn)象頻繁發(fā)生，不但會影響上網(wǎng)用戶的沖浪效率，而且也不利于局域網(wǎng)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。為了提高局域網(wǎng)運(yùn)行穩(wěn)定性，我們不能等IP地址沖突故障發(fā)生時，才想辦法去應(yīng)對，而應(yīng)該主動出擊，讓上網(wǎng)用戶無法搶用局域網(wǎng)中的其他IP地址；為此，本文就從實戰(zhàn)角度出發(fā)，通過巧妙設(shè)置交換機(jī)，來控制IP地址沖突故障反復(fù)出現(xiàn)！組網(wǎng)情況舉例：局域網(wǎng)大約有150個網(wǎng)絡(luò)節(jié)點，這些網(wǎng)絡(luò)節(jié)點平均分布在六個樓層，每一個樓層中的網(wǎng)絡(luò)節(jié)點都通過100M雙絞線與普通二層交換機(jī)保護(hù)連接，而每一個普通二層交換機(jī)又通過1000M光纖線纜連接到QuidWayS9300系列路由交換機(jī)上；為了保證網(wǎng)絡(luò)訪問安全，所有網(wǎng)絡(luò)節(jié)點都通過啟明星辰硬件防火墻與Internet網(wǎng)絡(luò)互聯(lián)互通。目前，單位局域網(wǎng)使用的是網(wǎng)段的IP地址，該網(wǎng)段中使用的默認(rèn)網(wǎng)關(guān)地址為，子網(wǎng)掩碼地址為；由于該網(wǎng)段最多能擁有250多個IP地址，在平時工作中實際只用到150多個地址，顯然足夠大的地址空間余量完全可以滿足工作站數(shù)量不斷增加的需求。但由于單位局域網(wǎng)采用了靜態(tài)地址分配方法，每當(dāng)工作站系統(tǒng)發(fā)生突然崩潰或遭遇病毒攻擊不能正常啟動時，上網(wǎng)用戶都自行其是，隨意重新安裝系統(tǒng)、修改上網(wǎng)地址，結(jié)果局域網(wǎng)中頻繁出現(xiàn)IP地址沖突現(xiàn)象，這不但嚴(yán)重影響了他人的正常上網(wǎng)訪問，而且也加大了網(wǎng)絡(luò)管理員的維護(hù)工作量。為了有效避免上網(wǎng)用戶任意改動IP地址，筆者打算采用地址綁定的方法，將工作站的IP地址與對應(yīng)網(wǎng)卡設(shè)備的物理地址綁定在一起;然而這種方法還沒有正式實施，就遭到了同為網(wǎng)絡(luò)管理員同事的反對，他認(rèn)為這種方法治標(biāo)不治本，因為上網(wǎng)用戶仍然可以采用修改網(wǎng)卡物理地址的方法，來竊取他人的IP地址，很顯然這種不是最有效的解決辦法。應(yīng)對方案經(jīng)過上網(wǎng)查閱相關(guān)資料以及深入分析之后，筆者和另外一位網(wǎng)絡(luò)管理員決定在核心交換機(jī)上對普通工作站的IP地址和網(wǎng)卡物理地址進(jìn)行綁定操作，可是簡單地進(jìn)行綁定操作，也不能解決上網(wǎng)用戶隨意設(shè)置IP地址的現(xiàn)象，因為某個IP地址一旦被設(shè)置綁定后，雖然上網(wǎng)用戶不能繼續(xù)搶用這個IP地址，但是他仍然可以搶用局域網(wǎng)中處于空閑的IP地址，這樣一來IP地址沖突現(xiàn)象仍然可能會發(fā)生，這也是很多網(wǎng)絡(luò)管理員百思不得其解的問題：在核心交換機(jī)中將所有工作站使用的IP地址綁定到對應(yīng)網(wǎng)卡設(shè)備上后，仍然無法有效避免地址沖突故障。要想徹底解決IP地址沖突故障，我們不但需要將局域網(wǎng)中已分配出去的IP地址綁定到對應(yīng)網(wǎng)卡設(shè)備上，而且還需要對那些處于空閑狀態(tài)的IP地址進(jìn)行綁定，這樣一來上網(wǎng)用戶既不能使用已經(jīng)連網(wǎng)工作站的IP地址，又不能使用局域網(wǎng)中空閑的IP地址，因此只要局域網(wǎng)中的上網(wǎng)用戶隨意改動IP地址的話，他就不能正常接入到局域網(wǎng)網(wǎng)絡(luò)中。不過這樣配置后，也帶來了另外一個麻煩，那就是如果局域網(wǎng)中有新的用戶需要上網(wǎng)訪問時，就不能由自己作主任選IP地址，而必須事先向網(wǎng)絡(luò)管理員單獨申請上網(wǎng)，網(wǎng)絡(luò)管理員接受到申請后需要登錄進(jìn)入交換機(jī)后臺管理系統(tǒng)對空閑地址進(jìn)行放號，上網(wǎng)用戶才能正常連接到局域網(wǎng)中。實踐證明，這種方法不但可以有效避免IP地址沖突故障發(fā)生，而且還能有效地防止網(wǎng)絡(luò)病毒通過局域網(wǎng)非法傳播，從而可以有效地保障局域網(wǎng)的穩(wěn)定運(yùn)行!實施過程依照上述理論分析，筆者打算先將局域網(wǎng)中默認(rèn)網(wǎng)關(guān)地址綁定到對應(yīng)的物理地址上，這樣可以有效控制局域網(wǎng)中ARP病毒的爆發(fā)；之后再想辦法對已經(jīng)上網(wǎng)工作站的IP地址執(zhí)行綁定操作，最后將那些處于空閑狀態(tài)的IP地址集中綁定地址上，如此一來就能實現(xiàn)一石二鳥的效果了。在綁定網(wǎng)關(guān)地址時，筆者先是以系統(tǒng)管理員身份登錄進(jìn)入QuidWayS9300系列路由交換機(jī)后臺管理系統(tǒng)，在該系統(tǒng)的命令行狀態(tài)執(zhí)字符串命令“system”，將系統(tǒng)切換到交換配置全局狀態(tài)；下面在該全局配置狀態(tài)下，輸入字符串命令“arp0215.9cae.1156arpa”，單擊回車鍵后，默認(rèn)網(wǎng)關(guān)地址就被成功綁定到0215.9cae.1156MAC地址上了，其他工作站日后上網(wǎng)時如果搶用地址時，就會出現(xiàn)無法上網(wǎng)的故障現(xiàn)象，如此一來整個局域網(wǎng)的運(yùn)行穩(wěn)定性就能得到保證了。為了防止用戶搶用其他IP地址，我們需要把已經(jīng)上網(wǎng)的150個左右網(wǎng)絡(luò)節(jié)點地址綁定起來；由于待綁定的地址數(shù)量比較多，單純依靠手工方法獲取每臺工作站的網(wǎng)卡物理地址和IP地址，工作量將會十分巨大，為此筆者在交換機(jī)后臺系統(tǒng)的全局配置狀態(tài)下，執(zhí)行“displayarp”字符串命令，之后將顯示出來的交換機(jī)ARP表中的內(nèi)容復(fù)制拷貝到本地紀(jì)事本編輯窗口中，通過簡單的編輯修改后，再將修改后的ARP表內(nèi)容復(fù)制粘貼到交換機(jī)ARP表中，這樣一來就能快速完成已上網(wǎng)工作站地址的綁定任務(wù)。到一個虛擬的網(wǎng)卡物理對于剩下100個左右的空閑IP地址，我們可以采用手工方法依次將每一個空閑的IP地址綁定到虛擬的MAC地址上，例如要將56地址綁定到071e.33ea.8975上時，我們可以在交換機(jī)后臺系統(tǒng)的全局配置狀態(tài)下，執(zhí)行字符串命令“arp56071e.33ea.8975arpa”，之后我們再按同樣的方法將其他空閑IP地址綁定到虛擬MAC地址071e.33ea.8975上。成上面的地址綁定任務(wù)后，任何用戶都不能隨意更改IP地址;倘若此時有新的用戶需要使用空閑的56地址上網(wǎng)訪問時，網(wǎng)絡(luò)管理員可以按照下面的操作步驟，將56地址從綁定地址列表中釋放出來：首先在QuidWayS8500系列路由交換機(jī)后臺管理系統(tǒng)執(zhí)行“system”命令，將系統(tǒng)狀態(tài)切換到全局配置狀態(tài)，在該狀態(tài)下輸入字符串命令“displayarp”，單擊回車鍵后，從其后出現(xiàn)的ARP列表中檢查一下56地址是否處于空閑狀態(tài)，要是目標(biāo)IP地址處于空閑狀態(tài)，我們就能繼續(xù)執(zhí)行下面的釋放步驟了：其次輸入字符串命令“noarp56071e.33ea.8975arpa”，單擊回車鍵后，目標(biāo)IP地址56就從地址綁定列表中釋放出來了;下面將56地址告訴給需要上網(wǎng)的用戶，讓他將該IP地址設(shè)置到對應(yīng)工作站系統(tǒng)中，如此一來新增用戶就能順利地接入到單位局域網(wǎng)網(wǎng)絡(luò)中了;之后在核心交換機(jī)的后臺管理系統(tǒng)，繼續(xù)執(zhí)行字符串命令“displayarpin56”，從其后返回的結(jié)果界面中我們可以查看得到對應(yīng)56地址的網(wǎng)卡物理地址為00bb.ebc3.c6d0;得到該MAC地址后，我們可以繼續(xù)執(zhí)行字符串命令“arp5600bb.ebc3.c6d0arpa”，這樣一來新上網(wǎng)用戶的IP地址與網(wǎng)卡物理地址就被成功綁定在一起了；最后依次執(zhí)行字符串命令“quit”、“save”，將上述配置操作保存到交換機(jī)系統(tǒng)中，結(jié)束交換機(jī)配置任務(wù)。最后結(jié)語通過上面的配置，局域網(wǎng)中的所有IP地址都被成功控制起來，任何用戶私自改動IP地址，都將不能接入網(wǎng)絡(luò);整個控制過程雖然有點復(fù)雜，但是可以很好地控制網(wǎng)絡(luò)的接入安全，避免不明真相的工作站將網(wǎng)絡(luò)病毒或木馬程序帶入到局域網(wǎng)工作環(huán)境中