网络简介

作为典型的企业网架构，本单位网络拓扑结构大致分为三级，并悉数选用香港虚拟空间北电产品。第一级由ATM交流机组成，网络服务器、多媒体作业站等作业在骨干网络上，第二级由很多的以太网交流机构成，对第三级桌面供给高密度端口。并依据划分出的VLAN(Vitual Local Area Network)供给实践的VLAN端口。网络协议选用TCP/IP，IP地址规划运用静态IP地址分配，由网管员统一规划。

问题的提出

咱们知道，关于在Internet和Intranet网络上，运用TCP/IP协议时每台主机有必要具有独立的IP地址，有了IP地址的主机才干与网络上的其它主机进行通讯。随着网络运用大力推广，网络客户急剧膨胀，因为静态IP地址分配，IP地址抵触的费事相继而来。IP地址抵触形成了很坏的影响，首要，网络客户不能正常作业，只需网络上存在抵触的机器，只需电源打开，在客户机上都会频繁出现地址抵触的提示：“假如网络上某项运用的安全战略(比如拜访权限，存取操控等)是依据IP地址进行的，这种不合法的IP用户会对运用体系的安全形成了严重威胁。

剖析原因

出现问题有时并不能及时发现，只有在相互抵触的网络客户一起都在开机状况时才干显露出问题，所以具有相当的隐蔽性。剖析原因有如下几种状况可以形成IP地址抵触。

1、很多用户对TCP/IP并不了解，不知道“IP地址”、“子网掩码”、“默认网关”等参数怎么设置，有时用户不是从办理员处得到的上述参数的信息，或者是用户无意修改了这些信息;2、办理员或用户依据办理员供给的上述参数进行设置时，因为失误形成参数输错;3、在客户机维修调试时，维修人员运用临时 IP地址运用形成;4、有人窃用别人的IP地址。

解决方法

接到抵触报告后，咱们首要确认抵触发生的VLAN。经过IP规划的vlan定义，和抵触的IP地址，找到抵触地址地点的网段。这对成功地找到网卡MAC地址很关键，因为有些网络指令不能跨网段存取。

首要将客户机与网络阻隔，让不合法的IP地址的微机在网上运转，网管员便可以设法找到它了。运用网络测试指令有ping指令和arp指令。运用ping指令，假定抵触的IP地址为10.119.40.40，在msdos窗口，指令格局如下，其中斜体部分是指令结果。

C:\WIDOWS\〉ping 10.119.40.40

Request timed out

Reply from 10.119.40.40 : bytes=32 time〈1ms TTL=128 略

咱们之所以要ping这台机器，是出于两个意图，首要咱们要知道咱们要找的机器确实在网络上，其次，咱们要知道这台机器的网卡的MAC地址，那么咱们怎么知道它的MAC地址哪?这就需求运用第二个指令arp：arp指令只能在某一个VLAN中运用有效，它是低层协议，并不能跨路由。

C:\WIDOWS\〉arp -a

Interface: …… on Inerface ……

Internet Address/Physical Address/Type

10.119.40.40/00-00-21-34-63-56/ dynamic 以下略

以上列表表示出抵触IP地址10.119.40.40 处网卡的MAC地址为00-00-21-34-63-56。接下来咱们要找的是MAC地址为00-00-21-34-63-56的网卡的具体物理方位。

网络简介中已经说明，每台客户机的网卡直接衔接到第二级交流机上，接下来面对很多的以太网交流机，咱们要查找是抵触MAC所对应交流机端口。本网络中与客户衔接的设备是Bay的303/304，本文以303为例，描绘怎么查找某一个MAC地址地点的端口方位。Bay303的网管有多种方法，下面仅以 Web浏览器方法描绘查找不合法MAC的方法。

在查找之前，首要要确认VLAN内的交流机方位，查出这些交流机的IP地址，运用交流机地址可以拜访该交流机的网管信息。

* 在网管员的机器上发动浏览器

* 键入交流机的IP地址

* 提示登陆信息后输入用户名和暗码

* 进入“MAC Address Table”选项

显现表格如下：

Index/MAC address/Learned on Port/Learning Method/Filter Packets to this Address 1

00:00:21:34:63:56

13

Dynamic

No

2

00:00:81:65:c3:a0

N/A

Static

No

3

00:00:a2:f7:c3:e4

25

Dynamic

No

4

00:00:21:34:63:56

2

Dynamic

No

以下略。

此刻你可以看到索引的第4项，它正是咱们要查找的MAC地址，它的端口号为2。依据综合布线材料，可以查找出相应的信息点的物理方位，从而定位到所衔接的微机方位。当然，在此是针对特有的交流机所举的例子，在实践作业中咱们要查找很多台交流机，才干找到咱们要找的MAC地址，当VLAN中存在很多的交流机时，咱们需求在这些交流机中逐一去查找，直到找到为止，这是一个相当烦琐的作业。

关于某一交流机的端口中存在下联交流机的状况，因为交流机支撑多个MAC地址，会在上级的MAC表中有下级MAC的记载，所以首要查找上级交流机MAC表，确认较具体方位后再去查找下一级交流机，这样会大幅度地缩减查找范围。

办理战略

关于局域网来讲此类IP地址抵触的问题会经常出现，用户规划越大，查找作业就越困难，所以网络办理员有必要深思加以解决。现在有两种计划，一是运用动态IP地址分配(DHCP)，另一种计划是运用静态地址分配，但有必要加强MAC地址的办理。

用动态IP地址分配(DHCP)的最大优点是客户端网络的配置非常简单，在没有办理员的协助和干预的状况下，用户自己便可以对网络进行衔接设置。但是，因为IP地址是动态分配的，网管员不能从IP地址上判定客户的身份，相应的IP层办理将失掉效果。而且运用动态IP地址分配需求设置额外DHCP服务器。

运用静态IP地址分配可以对各部门进行合理的IP地址规划，可以在第三层上方便地跟踪办理，假如咱们经过加强对MAC地址的办理，相同也会有效地解决这一问题。

在网络用户连网的一起，树立IP地址和MAC地址的信息档案，自始至终地对局域网客户执行严格的管、登记准则，将每个用户的IP地址、MAC地址、上联端口、物理方位和用户身份等信息记载在网络办理员的数据库中。试想，在咱们上述的案例中，假如知道了不合法用户的MAC地址后，咱们可以从办理员数据库中进行查寻，假如咱们对MAC地址记载全面，咱们便可以当即找到具体的运用人的信息，这会节省咱们很多宝贵时间，防止大海捞针的烦恼。一起咱们关于某些运用应防止运用IP地址来进行权限约束，假如咱们从MAC地址上进行约束相对来说要安全的多，这样可以有效地防止有人盗取IP地址的幸运行为。