局域网IP冲突分析与解决方法研究

高君丰，高鑫伟

（1.中国人民解放军92785部队，河北 秦皇岛 066200；2.西安通信学院，陕西 西安 710000）

1 引言

局域网作为典型的网络架构，其网络拓扑结构大致分为三级：第一级由核心交换机组成，网络服务器等工作在主干网络上；第二级由对第三级桌面提供高密度端口的交换机构成，并根据划分出的VLAN（Vitual Local Area Network）提供实际的VLAN端口。网络协议采用TCP/IP，IP地址规划为静态IP地址。随着局域网络应用的大力推广，网络用户数量不断增加，由于静态IP地址分配，IP地址冲突相继而来。因此，解决IP冲突，实现用户的惟一性确定，成为维护局域网络健康、安全运行的重要任务。

2 IP地址冲突的机理及常见IP盗用方法

局域网中的计算机在启动时，首次初始化 TCP/IP，广播ARP请求，以便为IP地址请求IP地址解析。如果另一个主机回答此ARP请求分组中的任何一个，就表示该主机已经在使用此IP地址，地址发生了冲突。检测到地址冲突时，计算机照样引导，但禁用此广播ARP请求计算机上的重复IP地址，并显示一条IP地址冲突的错误信息。此时计算机就不能享用计算机网络资源了。

根据有关统计，网络上的错误有50%以上是直接或间接由IP盗用引起的，因此有必要阐述其原理。IP地址盗用大致可分为3种情况：静态修改IP地址、成对修改MAC地址和IP地址、IP欺骗。

2.1 静态修改IP地址

对于任何一个TCP/IP实现来说，IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授权机构分配的IP地址，就形成了IP地址盗用。由于IP地址是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IP地址的静态修改，除非使用动态主机配置协议（DHCP）服务器分配 IP地址，动态主机配置协议（DHCP）是一种使网络管理员能够集中管理和自动分配IP网络地址的通信协议。在IP网络中，每个连接网络的设备都需要分配唯一的IP地址。DHCP使网络管理员能从中心结点监控和分配IP地址。当某台计算机移到网络中的其他位置时，能自动收到新的IP地址。但又会带来其他管理问题。

2.2 成对修改MAC地址和IP地址

对于静态修改IP地址的问题，现在很多单位都采用静态路由技术加以解决。针对静态路由技术，IP盗用技术又有了新的发展，即成对修改MAC地址和IP地址。MAC地址是设备的硬件地址，对于我们常用的以太网来说，即俗称的计算机网卡地址。每一个网卡的 MAC地址在所有以太网设备中必须是唯一的，它由 IEEE分配，是固化在网卡上的，一般不能随意改动。但是，现在的一些兼容网卡，其 MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，那静态路由技术就无能为力了。

2.3 IP欺骗

对于那些 MAC地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改 MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。动态修改IP地址对于一些黑客高手来说，直接编写程序在网络上收发数据包，绕过上层网络软件，动态修改自己的IP地址（或成对修改MAC地址和IP地址），达到IP欺骗并不是一件困难的事。

3 IP地址冲突解决方法

通过IP地址与MAC地址绑定，MAC、IP地址与交换机端口绑定，以及网络规划管理策略、对用户进行安全教育并进行相应的IP地址入网申请登记制度、主动监督等。可有效地防止用户更改IP地址和MAC地址的现象，较好地解决网络中IP冲突问题。

3.1 交换机端口与MAC绑定

解决IP地址冲突最彻底的方法是，使用交换机进行控制，使用交换机提供的端口的单地址工作模式，即交换机的每一个端口，只允许一台主机通过该端口访问网络，如将交换机端口与MAC和IP绑定，任何其他地址的主机的访问都将被拒绝。网卡的MAC地址通常是唯一确定的，在路由器中建立一个IP地址与MAC地址的对应表，只有IP－MAC地址相对应的合法注册机器才能得到正确的ARP应答，来控制IP－MAC不匹配的主机与外界通讯，达到防止IP地址的盗用。比如局域网某一用户的IP地址为：202.100.181.160，MAC地址为：0010.80EC.B64D，在Cisco的路由器或交换机的路由模块上使用命令：router(config)# arp 202.100.181.160 00 10 80 EC B6 4D arpa把该IP地址与 MAC地址进行绑定，若有人盗用该IP地址，因其MAC地址的唯一性，使得IP地址与MAC地址不匹配而盗用失败。但此方案的最大缺点在于，它需要网络上全部采用交换机提供用户接入，这在交换机相对昂贵的今天，不是一个能够普遍采用的解决方案。

3.2 采用PVLAN（虚拟局域网）技术

虚拟局域网是在二层交换机上实现对端口数据的隔离，把原本的广播域进行隔离，把一个大的广播域划分成若干个小的广播域。这种隔离是一种逻辑隔离，不是一种物理隔离。这样的划分使得广播只能局限在单个的小广播域内，广播报文不会跨越到其他的广播域中。这样网络规划人员可以根据实际的需要灵活的对网络进行逻辑划分，这样的隔离在网络规模较小的环境中较容易实现。PVLAN的应用对于保证接入网络的数据通信的安全性非常有效，用户只需与自己的默认网关连接，一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接，所有的用户都接入PVLAN，从而实现了所有用户与默认网关的连接，而与 PVLAN内的其他用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信，但可以穿过Trunk端口。这样即使同一VLAN中的用户，相互之间也不会受到广播的影响。

4 结束语

通过以上方法，我们在“技术为主，管理为辅”总方针的指导下用较低的成本解决了 IP地址冲突问题。其中，PVLAN其实就是在原本一层VLAN划分的基础上所进行的二次VLAN的划分，这样的划分能够把广播域隔离得更小，抑制了IP冲突、广播风暴在全局网络中的产生，把冲突范围压缩的最小，增强局域网络的稳定性，保障了局域网通信的安全，也增强了虚拟局域网配置的灵活性，在很大程度上能够满足不断扩大的局域网络发展的需求。

1 吴亚榕.校园网IP地址冲突解决方法[J].软件导刊，2008（9）

2 吴建军.IP地址冲突的分析与对策[J].云南师范大学学报，2008（6）

3 陈明.PVLAN技术在虚拟局域网中的应用[J].漳州职业技术学院学报，2009（1）

4 [美]Todd Lamm le著.CCNA学习指南[M].北京：电子工业出版社，2008.2