巧用交换机控制IP地址冲突故障

当网络病毒或系统崩溃现象,网民可能要重装系统,并修改IP地址,如果用户没有设置与IP地址的规定,IP地址冲突是不可避免的,这一现象不仅会影响上网用户的效率,但也不有利于局域网络的稳定运行。为了提高局域网的运行稳定性,我们不能IP地址冲突故障,只找到一个方式来处理,而应主动让网民不能抢在LAN其他的IP地址;因此,本文从实践的角度出发,通过巧妙设置开关控制IP地址冲突故障发生反复的!



网络情况



网络中有大约150的网络节点,这些节点均匀分布在六个楼层,每个楼层在100M的网络节点,通过双绞线连接普通的两层保护开关,和每一个普通的二层交换机通过千兆光纤电缆连接到Quidway S8500系列路由交换机;为确保安全的访问网络,所有节点都通过公司硬件防火墙和互联网网络互通互联。目前,局域网使用的IP地址的网络使用的默认网关地址是10.168.163.1的10.168.163.0段地址,子网掩码255.255.255.0;因为网络最多可以有250多的IP地址,在平时的工作实际使用的地址只有150多个,地址空间余量显然足够大,完全可以满足工作站不断增加的需求量。



但由于单位局域网采用静态地址分配方法,当工作站系统突然崩溃或病毒的攻击没有启动,互联网用户都有自己的方式,免费安装系统,修改局域网IP地址冲突的互联网地址的频繁发生,这不仅严重影响了正常的上网的人,但还增加了网络管理员的维护工作量。为了避免互联网用户IP地址的任何变化,笔者拟采用地址绑定的方法,物理地址绑定的工作站的IP地址和相应的网络设备连接在一起;然而,这种方法还没有正式实施,相对于COL网络管理员联赛,他认为这种方法治标不治本,因为互联网用户仍然可以使用该方法来修改物理地址,窃取别人的IP地址,很显然,这不是解决问题的最有效途径。



应对方案



在网上查阅相关资料和深入分析后,作者与另一个网络管理员决定在普通工作站的IP地址和物理地址绑定操作核心交换机,但简单的绑定操作,不能解决互联网用户随意设置IP地址,因为一旦一个IP地址设置绑定后,虽然互联网用户无法继续抓住这个IP地址,但是他仍然可以抢在LAN休闲的IP地址,IP地址冲突仍然会发生,这也是很多网络管理员仍然困惑,尽管问题太多的思考:在所有车站使用IP地址相应的读卡器在核心交换机,仍然无法有效避免冲突故障。



为了解决IP地址冲突的故障,我们不仅需要分配的IP地址绑定到相应的网络设备,还需要结合IP地址处于空闲状态,使互联网用户无法使用网络工作站的IP地址,并不能用于局域网IP地址,只要在局域网内的IP地址改变互联网用户,他将无法获得正常的局域网网络。但这种配置,也带来了另一个问题,那就是如果有一个新的互联网用户需要访问局域网,不能自己作为IP地址的导演,和网络管理员必须预先单独申请互联网,修复后的网络管理员要登录到调度切换背景管理系统免费地址的应用该指示,互联网用户可以正确连接到局域网。实践证明,这种方法不仅可以有效避免IP地址冲突的发生,还能有效的防止网络病毒的非法传播通过局域网,这样可以有效地保证网络的稳定运行。




实施过程



根据上述理论分析,笔者拟10.168.163.1绑定对应的局域网的默认网关地址的物理地址,可以有效地控制局域网ARP病毒的爆发;后试图在工作站进行绑定操作,有互联网IP地址,最后将那些空闲的IP地址绑定到虚拟物理地址,从而达到一举两得的效果。



在绑定网关地址,这是第一次作为一个系统管理员登录到Quidway S8500系列路由交换机后台管理系统,在命令行的系统状态保持字符串命令;system,系统会切换到交换全局状态配置;下表面在全球配置模式下,输入字符串命令;ARP 10.168.163.1 0215.9cae.1156,arpa单击回车键后,默认网关地址10.168.163.1成功绑定到另一天的0215.9cae.1156mac地址,网络抢后如果10.168.163.1地址的工作站,将没有互联网的故障现象,所以可以保证稳定的局域网.



为了防止用户抢其他IP地址,我们需要获得约150的网络节点地址的绑定地址绑定;因为人数较多,单纯依靠人工的方法来获得各工作站的IP地址的物理地址,工作量会非常大,在全球配置模式切换回系统,实现显示;arp字符串命令,开关后,将内容复制的ARP表显示在编辑窗口的地方志,通过简单的编辑,然后修改ARP表复制并粘贴该开关在ARP表,这样就可以快速的完成结合任务站地址访问互联网。



对于100左右的免费IP地址的其余部分,我们可以用手工方法将每一次免费的IP地址绑定到虚拟的MAC地址,如10.168.163.156地址绑定到071e.33ea.8975,我们可以在全局配置后台系统的开关,10.168.163.156 071e.33ea.8975 ARP命令字符串执行;arpa然后,之后我们以相同的方式;其他免费的IP地址绑定到虚拟MAC地址071e.33ea.8975。



完成上述任务地址绑定IP地址,任何用户都不能随意改变;如果一个新用户需要使用免费的互联网接入10.168.163.156地址,网络管理员可以按照下面的步骤,该10.168.163.156地址从地址列表中释放束缚:



首先,在Quidway S8500系列路由交换机后台管理系统实现system指挥系统将切换到全局配置状态下,输入字符串命令状态;显示,arp单击回车键,从随后的ARP列表检查是否10.168.163.156地址处于空闲状态,如果处于空闲状态的目标IP地址,我们可以继续执行下面的步骤来释放:



下一步,输入字符串命令ARP 10.168.163.156;没有071e.33ea.8975 arpa后点击回车键,目标IP地址10.168.163.156从地址绑定名单公布。



接下来,我们将告诉10.168.163.156地址谁需要访问Internet的用户,这样他可以设置IP地址到对应的工作站系统,让新用户可以成功地访问单位局域网网络。



核心交换机管理系统后,继续执行显示ARP命令字符串;在10.168.163.156随后,从返回的结果界面中我们可以查看对应的网卡的物理地址的地址是00bb.ebc3.c6d0 10.168.163.156;



获取MAC地址,我们可以继续执行ARP 10.168.163.156 00bb.ebc3.c6d0命令字符串;arpa作为一个结果,新的互联网用户的IP地址和物理地址绑定在一起;最后执行字符串命令quitsave,保存配置操作系统的开关,开关的配置任务。



最后的结论



通过以上的配置,在LAN所有的IP地址已被成功控制,任何未经授权的用户将无法更改IP地址,接入网络;整个控制过程有点复杂但可以有效地控制网络接入安全,避免身份不明的工作站网络病毒或木马程序在局域网中的工作环境。当然,上述控制方案不能保证万无一失,有一种情况会导致地址冲突现象,它是在窃取用户交换机的ARP表是违法的,只要他还修改自己的工作站的网卡物理地址和IP地址,和被盗的用户不在线,你可以成功抢别人的地址SS用于互联网访问,但这种情况发生的可能性相当低,除非网络管理员有意。