局域网IP地址冲突分析及解决方法

田 野

(驻马店高级技工学校，河南 驻马店 463000）

0 引言

随着Internet的迅速发展及网络设施的大规模投入，作为网络管理人员，面临的问题越来越多，如：网络的稳定性；网络提供的功能与服务质量；用户多变的需求等。其中局域网的正常运行最基本也是最主要的问题就是IP地址的管理。IP地址管理不当将会给网络管理人员和网络用户造成极大的不便，在这其中，IP冲突是IP地址管理中最具代表性的问题，也是网络地址管理的基本问题。

1 IP冲突的现象及原因分析

1.1 IP地址冲突的现象

IP地址冲突是对用户而言的，IP地址冲突发生时，用户会看到一些提示信息，如在常用的windows xp操作系统下会提示：“windows系统错误，IP地址与网络上的其他系统有冲突”这时，发生冲突的计算机均不能正常访问网络，简单的说，IP冲突就是局域网内两个以上的用户在使用同一个IP地址。

1.2 IP地址冲突的原因

TCP/IP是一组协议的简称，包括上百个各种功能的协议，如：远程登录、文件传输等，而TCP协议和IP协议是保证数据完整传输的两个基本的重要协议。TCP/IP协议模型由四层结构组成：网络接口层、网络层、传输层和应用层。

计算机启动时，TCP/IP有一个初始化过程，在这一过程中，计算机发出一个ARP广播以便为IP地址请求地址解析。如果另一个主机回答此ARP请求分组中的任何一个，就表示该主机己经在使用此IP地址，地址发生了冲突。检侧到地址冲突时，计算机照样引导，但禁用此广播ARP请求的计算机上的重复IP地址，并显示一条IP地址冲突的错误提示信息。

由TCP/IP工作原理可以看出，IP冲突的实质就是IP的重复使用，共原因有以下几种：

1）管理员管理不善，对用户分配了相同的IP地址；

2）用户对网络参数设置不了'解，未按要求正确输入IP地址；

3）由维修人员为做调试临时改变计算机IP地址；

4）用户擅自修改管理员分配的IP地址，即使用了IP地址(这里所说的非法指的是用户未按管理员的要求使用公有或者私有IP地址)，这种情况可称为IP地址盗用，又可分为儿种情况：静态修改IP,成对修改物理地址和IP地址、IP欺骗等。

2 解决方案

针对以上几个IP地址冲突的原因，前三种情祝出现的可能性较小，即使出现，解决起来相对也比较容易，对管理员而言要做到两个方面：一是加强管理，避免IP地址的重复分配，另一方面要对用户进行简单说明，避免误设置，并在维修人员为了调试而修改IP地址后及时改回，同时要求用户出现IP地址冲突时不要私自更改IP地址，及时报知管理员。

最后一种情况解决起来比较复杂，可以使用的方案有三种：一种是IP地址动态分配；另一种是静态分配，但要做到合理规划IP地址的分配，同时加强对用户计算机物理地址的管理；三是通过应用层认证上网。现分别说明如下：

2.1 IP地址的动态分配

IP地址的动态分配主要通过DHCP实现。DHCP称为动态主机配置协议，DHCP服务允许计算机连接到网络并且自动获取一个IP地址，配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关、以及一个以上DNS服务器的IP地址。

DHCP的优点是：对网络管理员而言，可以更有效的监控IP地址和其他配置参数，DHCP不会同时租借相同的IP地址给两台主机；对用户而言，只需要将TCP/IP配置项设置为自动获取IP地址或自动获取DNS地址，用户计算机在不同子网间物理移动时不需要重新设置IP地址。

DHCP的缺点是：DHCP不能发现网络上非DHCP客户机已经在使用的IP地址。这样单纯使用DHCP的方式还不能解决局城网中IP地址非法使用的问题。原因是由于用户可以手工设定IP，并且该手工设定的IP有可能被DHCP服务器分配给第二个用户，从而造成IP地址的冲突。

如何控制用户不能设定静态IP地址是该解决方案的关键，这需要一个支持DHCP SNOOPING功能的交换机。DHCP SNOOPING功能是DHCP的一项安全特性，启用该功能后，交换机会监听DHCP的IP地址分配过程，同时交换机会生成一个IP地址、MAC地址、交换机端口的对应表.然后报据DHCP SNOOPING监听获得的IP地址、MAC地址、交换机瑞口对应表，进行绑定。在开启Dynamic ARP Inspection后，交换机将监听所有的ARP数据包，一旦发现ARP数据包中源IP地址和MAC地址的对应关系和DHCP SNOOPING获得的对应关系不同，则丢弃数据包，这样就可以防止用户私自更改地址。

2.2 加强对物理地址的管理

可在二层交换机上做端口绑定，即端口与MAC地址绑定，这要求管理员在分配给用户IP地址的同时要获得用户的MAC地址。或在三层交换机上做IP与MAC的绑定。

这种方法只能在一定程度防止用户盗用IP地址。一种可能的情况是同一个局域网内的非法用户设置了与合法用户相同的IP地址，虽然非法用户无法上网，但合法用户也无法上网。面管理员却无法获得非法用户的MAC地址。这就意味着一种管理员可能无法控制的情况，对这种情祝可通过两种方法解决：

1）通过尽可能小的划分VLAN，减小广播域，这样可有效屏蔽非法用户所造成的影响。可以按每瑞口一个VLAN的方式划分，为了节省VLAN号码资源，有的交换机还可以启用Isolate特性，或启用Super VLAN特性来划分Sub LAN。

2）当冲突发生时，可使用MAC地址扫描软件，获取局城网IP与MAC地址对应表，然后查看二层交换机MAC地址与端口对应表，即可找到非法使用IP地址的计算机所在的瑞口。

2.3 使用应用层认证

结合IP地址动态分配，使用认证是一种较好的方案。这种方案的缺点是花费较高，所以一般情况在局域网内不使用该方案。

3 结束语

作为一个负责的网络管理员，应该在尽可能小的影响合法用户的情况下，得到网络管理的主动性与完备。.就技术而言，以上方案基本能解决IP冲突这一问题，如果还有合理积极的管理措施比如制订严格的管理制度、尽可能的收集用户资料建立用户资料库等能更好的解决问题。然而管理措施远没有技木措施有效，因为IP地址冲突归根结底是技术原因造成的，而且更大的问题在于这种现象会随着管理技术水平的发展而发展，从而变得更加难以解决。可是我们相信随着网络设备功能的日趋完善和网络管理人员技术水平的提高，会有更多更好的防止IP地址冲突的方法。

［1］W.Richard Stevens.TCP/IP详解卷 1:协议[M].北京:机械工业出版社,2000，04.

［2］谢希仁.计算机网络.[M].5版.北京：电子工业出版社,2008，01.