解決IP地址沖突干擾局域網

　在管理、維護局域網的過程中，網絡管理員往往都會擔負起普通工作站IP地址的分配任務，普通工作站只有通過正確地注冊後才能被局域網認為是合法工作站。在局域網工作環境中，任何一台普通工作站使用沒有經過特別授權的IP地址時，都會被局域網網絡當作是非法IP地址在使用。不過在Windows操作系統環境下，普通工作站用戶常常可以根據自己的意願隨意修改本地工作站的IP地址參數，那樣一來局域網網絡就容易頻繁發生ip地址沖突的故障現象，這種現象會“干擾”局域網的穩定運行，甚至會給日常的辦公效率帶來嚴重的影響。那麼作為網絡管理員來說，我們究竟該采取什麼措施，不讓ip地址沖突“干擾”局域網網絡的正常、高效運行呢?現在本文就為各位朋友提出一些有效的應對辦法，以幫助各位巧妙地管理好自己單位的局域網，確保局域網網絡的運行效率不會受到ip地址沖突現象的“干擾”!

　　制造ip地址沖突的動機

　　局域網中發生ip地址沖突故障現象，不僅僅是簡單的技術問題，並且還是一個網絡管理員必須要認真面對的管理問題。網絡管理員只有找到該故障現象存在的理由，想方設法地消滅該故障現象存在的基礎，才可能從源頭上杜絕ip地址沖突故障現象的發生。總結各種ip地址沖突故障現象，我們不難分析得出制造ip地址沖突現象的動機主要有下面幾種情況：一是普通工作站在長時間使用之後，因頻繁地安裝、卸載各種應用程序或殺毒軟件，甚至由於操作者本人不小心發生了錯誤操作，導致本地工作站系統發生了崩潰現象，不得已工作站用戶重新安裝了操作系統，並且隨意設置了工作站的上網參數，最終在無意中造成了ip地址沖突故障現象，這種情況比較普通，網絡管理員只要善加管理，就能有效避免由這種情況引起的ip地址沖突故障現象;二是局域網甚至Internet網絡中的一些非法攻擊者，企圖破壞或干擾本地局域網中重要網絡設備的穩定運行，最終達到干擾局域網穩定運行的目的，例如非法攻擊者想方設法地制造ip地址沖突故障現象，以便達到破壞局域網中服務器或交換機等重要設備的穩定運行，最終造成整個局域網無法正常工作;三是一些別有用心的用戶想擁有那些被非法使用的IP地址所獲取的各種特殊訪問權限，最常見的就是想獲得Internet訪問權限。

　　那些被非法盜用的IP地址在局域網網絡中運行時，有可能會產生下面幾種影響：一是在合法工作站沒有連到局域網的情況下，冒用合法工作站使用的IP地址進行網絡連接操作，最終達到竊取合法工作站各種訪問權限的目的;二是在合法工作站已經連到局域網的情況下，擅自盜用合法工作站使用的IP地址時，會造成合法工作站出現IP地址發生資源沖突的故障提示，最終造成合法工作站不能正常訪問網絡;三是盜用了合法工作站的IP地址後，可以利用該IP地址在局域網網絡中進行各種惡意破壞活動。

　　制造ip地址沖突的方法

　　要想避免ip地址沖突故障現象的發生，我們自然應該先了解制造ip地址沖突的方法，只有這樣我們才能對症下藥，采取針對性措施來拒絕ip地址沖突“干擾”局域網的正常運行。

　　一般來說，在局域網投入運行的初期，網絡管理員都會為局域網中的所有工作站分配一個合適的IP地址。不過，在局域網工作站長時間運行後，很可能會出現系統癱瘓或者其他一些故障現象，導致工作站的上網參數發生了丟失，此時工作站用戶很可能會自己動手，進入本地工作站系統的TCP/IP屬性設置窗口，在其中隨意為本地工作站分配一個IP地址，該IP地址由於不是網絡管理員事先劃分好的那個IP地址，這樣一來自然就形成了ip地址沖突現象了。所以，在使用了靜態IP地址的局域網工作環境中，普通工作站用戶可以很容易地打開本地系統的TCP/IP屬性設置窗口，從而可以隨意更改本地工作站使用的IP地址。

　　為了保護本地工作站的IP地址不被非法用戶隨意盜用，有一些熟悉網絡的朋友往往會采取地址綁定的方法，將網絡管理員事先分配給本地工作站的IP地址綁定到對應工作站的網卡設備上，那樣一來即使非法用戶盜用了本地工作站的IP地址，也不會干擾本地工作站的正常上網訪問。對於采取了綁定措施的IP地址來說，非法用戶同樣也找到了盜用辦法，那就是同時盜用合法工作站的IP地址與網卡設備的MAC地址，然後冒用合法主機的身份進行惡意破壞。例如，非法用戶在盜用了合法工作站的IP地址後，發現盜用後的IP地址不能正常連接到局域網網絡中時，他們會認為該IP地址很可能被綁定了，於是他們會嘗試使用MAC地址掃描器之類的工作來查看、盜用合法工作站的網卡MAC地址，在盜取合法工作站的網卡MAC地址後，非法用戶再將自己工作站的IP地址修改成合法MAC地址就可以了。修改網卡MAC地址的方法很簡單，用戶只要依次單擊本地工作站系統桌面中的“開始”/“設置”/“網絡連接”命令，在彈出的網絡連接列表窗口中，用鼠標右鍵單擊本地連接圖標，從彈出的快捷菜單中執行“屬性”命令，打開本地連接屬性設置對話框;單擊該對話框中的“常規”選項卡，並在對應選項設置頁面中單擊“配置”按鈕，進入本地工作站的目標網卡屬性設置對話框;繼續單擊該設置對話框中的“高級”選項卡，打開如圖1所示的高級選項設置頁面，選中該設置頁面左側“屬性”列表框中的“Network Address”選項，並將該選項的數值設置成盜用得來的網卡MAC地址，最後單擊“確定”按鈕就可以完成網卡物理地址的修改任務了。

此外，對於一些熟悉攻擊技術的非法用戶來說，他們常常會利用IP地址電子欺騙技術來偽造某台工作站的IP地址，不過這個電子欺騙技術通常需要借助編程手段來實現。例如，非法攻擊者可以通過SOCKET編程，向局域網網絡發送帶有虛假的源IP地址的通信數據包，從而達到欺騙攻擊的目的。 
 　阻止ip地址沖突的手段

　　了解了制造ip地址沖突的幾種方法後，我們就能根據不同的制造方法采取不同的阻止手段了。

　　在使用靜態IP地址的局域網工作環境中，網絡管理員可以使用IP-MAC地址綁定方法，也就是使用靜態路由技術的方法來阻止普通工作站用戶隨意進入TCP/IP屬性設置窗口，胡亂修改本地系統的IP地址。考慮到在相同的局域網網段中，普通工作站的網絡尋徑不是根據主機的IP地址而是根據主機的物理地址來進行的，在不同網段之間通信時才會根據主機的IP地址進行網絡尋徑，所以作為局域網網關的路由器設備上通常保存有IP-MAC的動態對應表，這是由ARP通信協議自動生成並維護的。我們可以進入局域網路由器的後台管理界面，從中找到配置ARP表的設置選項，對靜態的ARP路由表進行個性化指定，日後局域網路由器設備會自動依照靜態的ARP表檢查通信數據包，要是無法對應，那麼就不會進行數據轉發操作。使用這種手段，網絡管理員能夠輕松地阻止非法攻擊者在不修改網卡設備MAC地址的情況下，冒用合法工作站IP地址進行非法網絡訪問。

　　為了防止非法用戶通過修改網卡MAC地址的方法來制造ip地址沖突故障現象，我們可以利用局域網交換機的端口綁定功能，來有效化解非法用戶通過修改網卡MAC地址的方法來適應靜態ARP表的問題。大家知道，常見的可管理交換機都支持端口綁定功能，我們可以利用該功能提供的端口地址過濾模式，來實現阻止ip地址沖突的目的，因為交換機的端口地址過濾模式往往會允許每一個交換機連接端口僅允許具有合法MAC地址的工作站訪問網絡 ，任何具有不合法MAC地址的工作站都將被交換機拒絕訪問網絡。

　　在組網規模較大的工作環境中，我們還可以通過劃分虛擬子網的方法，來阻止ip地址沖突現象的發生。從嚴格意義上來說，劃分虛擬工作子網其實並不屬於技術措施，而是管理措施與技術措施結合在一起的手段。將那些具有相同訪問行為的IP地址統一劃分到相同的虛擬工作子網中，並正確設置好相關的路由策略，這樣一來我們就能有效拒絕非法攻擊者盜用其他工作子網IP地址現象的發生。

　　此外，我們在管理、維護局域網的過程中，盡量少用那些直接針對IP地址授權的管理模式，而應該綜合運用加密、口令、VPN連接或其他身份認證機制，建立多層次的嚴密的安全體系，那樣一來就能有效降低ip地址沖突所帶來的安全威脅了。

　　防范ip地址沖突的管理

　　前面，本文也曾提到局域網中發生ip地址沖突故障現象，不僅僅是簡單的技術問題，同時還是一個網絡管理員必須要認真面對的管理問題。為此，在采用了各種技術措施防范ip地址沖突現象發生外，我們還應該更加重視局域網的網絡管理問題。

　　首先應該加大宣傳力度，讓普通工作站用戶都明白隨意更改IP地址所帶來的危害以及處罰措施，同時應該制定合適的IP地址管理制度，並要求每一位局域網用戶都要嚴格遵守，例如建立的IP地址管理制度可以包括：IP地址申請分配制度，IP地址更改制度，IP地址臨時分配制度，工作站網卡MAC地址登記管理制度，非法更改IP地址的處罰制度等。

　　其次綜合運行各種技術措施，對那些經常犯規的局域網上網用戶進行嚴格限制。由於非法盜用IP地址的行為，總是局域網網絡中極少數非法用戶的行為。所以，對於已經投入使用的局域網網絡來說，網絡管理員一定要仔細篩查當前存在的各種問題，然後有針對性地采取各種技術手段，對那些頻繁違反IP地址管理制度的少數非法用戶進行重點防范。

　　第三在為規模較大的局域網網絡劃分虛擬工作子網時，我們一定要同時兼顧網絡訪問的簡易性和可管理性。在盡量不增加網絡建設成本和管理成本的前提下，應該善於使用劃分虛擬工作子網的手段，來將那些網絡訪問權限比較接近的工作站劃分到相同的工作子網中，這樣一來就會盡可能地弱化非法盜用IP地址所造成的安全威脅了。
<