网络IP技术在电力企业中的应用*—— 以IP地址管理为例

张 骋，郭一兵

（国网浙江安吉县供电公司，浙江 安吉 313300）

现代社会发展进步非常迅速.近年来，为了适应社会主义市场经济发展的需要，全面加强县级供电企业管理，按照国网公司及省公司智能电网工作部署，围绕建设“一强三优”现代企业的发展目标，县级供电企业的生产设施得到了一定的改善.在省公司加强规范化管理的背景下，随着信息通信技术的高速发展和普及，县级供电企业开始了较大力度的信息化建设.OA系统、协同办公、MIS系统等办公软件也相应的通过企业网络平台进行了推广及应用.可以说，网络的普及切实地带动了电力企业工作效率的提升.

不管之前对IP地址是否熟悉，一旦接触到了Internet网络，那么就会直接或间接地与IP地址产生联系.因为无论用何种方式访问Internet资源，归根究底都需要用IP地址来实现.毫不夸张地讲，IP地址其实就是网络的根基.越来越多的办公软件都是基于网络平台，在这个前提下，如何管理和维护好网络，确保网络时时畅通，如何有效地分配好全局的IP地址，保证地址不冲突，成为局信息部门的首要工作问题.

网络中断是网络事故中最常见的问题之一，而此问题的产生多与IP地址有关.只要有一台个人电脑的地址设置不正确，网络的传输就会受到影响，甚至整个网络都会瘫痪.对于在Internet和Intranet网络上，使用TCP／IP协议时每台主机必须具有独立的IP地址，有了IP地址的主机才能与网络上的其它主机进行通讯.随着网络应用普及，网络客户急剧膨胀，由于静态IP地址分配，IP地址冲突和IP地址篡改的麻烦相继而来.IP地址篡改，网络能正常运行，但是网络传输质量发生了变化，改变的原因是路由改变了.IP地址冲突也会造成很坏的影响，以安吉县供电局为例，全局的内网机有516台，外网机有60台，如果中间有任意两台IP地址冲突，那么都会给双方的正常办公造成一定影响.

1 造成IP地址冲突的原因

只要网络上存在冲突的机器，网络客户不能正常工作.因为只要有冲突的网络终端一启动，在客户机上都会频繁出现地址冲突的提示：“如果网络上某项应用的安全策略是基于IP地址进行的，这种非法的IP用户会对应用系统的安全造成了严重威胁.出现问题有时并不能及时发现，只有在相互冲突的网络客户同时都在开机状态时才能显露出问题，所以具有相当的隐蔽性.一般而言，下列几种情况有可能造成IP地址冲突：

（1）很多用户对TCP／IP并不了解，不知道“IP地址”、“子网掩码”、“默认网关”等参数如何设置，有时用户不是从管理员处得到的上述参数的信息，或者是用户无意修改了这些信息.

（2）管理员或用户根据管理员提供的上述参数进行设置时，由于失误造成参数输错.

（3）在客户机维修调试时，维修人员使用临时IP地址应用造成.

（4）有人窃用他人的IP地址.

2 解决IP地址冲突的办法

2.1 使用Dos自带命令

如果导入网络管理软件，比如电力企业都要求安装的桌面终端标准化管理系统（简称桌面管控系统），也许就能够更加轻松地发现并解决问题.但是利用ping等命令，基本上也可以解决简单的问题.当发生故障以后，首先使用ping命令.如果使用得当，其作用堪与昂贵的软件相媲美.当出现IP地址冲突时候，我们首先要确定冲突发生的VLAN.

通过IP规划的VLAN定义，和冲突的IP地址，找到冲突地址所在的网段.这对成功地找到网卡MAC地址很关键，因为有些网络命令不能跨网段存取.将客户机与网络隔离，让非法的IP地址的微机在网上运行，网管员便可以设法找到它了.应用网络测试命令有ping命令和arp命令.使用ping命令，假设冲突的IP地址为10.147.142.75，在Dos窗口，命令格式如下，其中斜体部分是命令结果.

之所以要ping这台机器，是出于两个目的：首先要知道要找的机器确实在网络上；其次，要知道这台机器网卡的MAC地址，那么如何知道它的MAC地址呢？这就需要使用第二个命令arp.arp命令只能在某一个VLAN中使用有效，它是低层协议，并不能跨路由.

以上列表表示出冲突IP地址10.147.142.75处网卡的 MAC地址为00－30－88－02－dc－5c.接下来就可以通过其他记录方式找到MAC地址为00－30－88－02－dc－5c的网卡的具体物理位置.

2.2 使用桌面管控软件

当然，如果在发现自己机器IP地址出现冲突的提示后，大多数人的反应是先跟局信息部门联系.在信息部门的相关人员了解情况后，便可以登录到桌面管控系统进行检查，来判断该IP是否存在多台机器使用的情况，只要之前有过桌面管控注册，那么在软件里都可以查到相应的机器记录以及设备使用人，便于工作人员第一时间为你排除障碍.假设冲突的IP地址为10.147.142.130，在桌面管控软件里，通过查询如下（见图1）：

图1 通过桌面管控软件来查询该IP的占用1况

但是以上办法也有一定局限性，因为毕竟不是人人都可以通过桌面管控软件进行IP监测.同时如果信息部门处理人员不在计算机旁，也就无法在第一时间处理此问题.

2.3 提前预防，做好地址备份

当然，任何事物，防范冲突永远比解决冲突更重要，因此也就对电力企业信息部门日常工作提出了新的要求.

做好预防IP地址冲突，是问题的根本.解决这种问题并不是很难，需要信息部门网络管理员做到以下几点：

首先，做好整个局域网终端用户计算机的桌面管控注册，指定IP地址，根据用户的类别统一命名计算机，并给定IP地址.这样一看机器名，就知道是哪个部门哪台机器，便于管理.同时，统一规划分配IP地址给每台终端机器，并建立IP地址分配登记表.

其次，统计每个终端机器网卡的MAC地址，建立IP地址与MAC地址对应表.在MS－DOS方式下键入命令“ipconfig／all”就可以获得本机IP地址和MAC地址.可以将此方法公布一下，然后要求相关用户将本机MAC地址抄录上报到企业信息部门，再进行登记汇总.也可在设定机器名和IP地址时一并统计好.信息部门网络管理员也可以利用Nbtstat命令来远程获得指定机器的MAC地址.在MS－DOS方式下键入命令“Nbtstat－a远程计算机名”，即可获得指定机器的IP地址和MAC地址（见图2）.

图2 局省外网的数据备份库

最后，将IP地址与MAC地址绑定.这要根据局域网接入互联网的方式不同而采用不同的办法.

方法一：交换机控制.解决IP地址的最彻底的方法是使用交换机进行控制，即在TCP／IP第二层进行控制.使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问被拒绝.但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入，这在交换机相对昂贵的当下不是一个能够普遍采用的解决方案.

方法二：路由器隔离.采用路由器隔离的办法的主要依据是MAC地址作为以太网卡地址全球唯一不能改变.其实现方法为通过SNMP协议定期扫描各路由器的ARP表，获得当前IP和MAC的对照关系，和事先合法的IP和MAC地址比较，如不一致，则为非法访问.对于非法访问，有几种办法可以制止，如：

（1）使用正确的IP与MAC地址映射覆盖非法的IP－MAC表项；

（2）向非法访问的主机发送ICMP不可达的欺骗包，干扰其数据发送；

（3）修改路由器的存取控制列表，禁止非法访问.

路由器隔离的另外一种实现方法是使用静态ARP表，即路由器中IP与MAC地址的映射不通过ARP来获得，而采用静态设置.这样，当非法访问的IP地址和MAC地址不一致时，路由器根据正确的静态设置转发的帧就不会到达非法主机.

在使用该方法之前，首先需要将指定网卡的物理地址查找到；要是只有少量的工作站地址需要绑定时，那么可以在Win2000或Win XP系统中，通过“ipconfig／all”命令，来得到指定工作站网卡的MAC地址，在Win98环境中通过“msconfig”命令，得到指定网卡的物理地址.

查找到指定网卡的物理地址后，可以依次单击“开始”／“运行”命令，在弹出的系统运行框中，执行“cmd”命令，将系统切换到Ms－dos工作方式，并在DOS命令行中执行“arp－s ip mac”格式的字符串命令，这样就能将指定IP地址限制在指定网卡中了.例如，要是希望将“10.147.142.75”这样的IP地址，限制在MAC地址“00－21－30－E7－86－BB”的网卡上时，那么可以在 DOS命令行中输入“arp－s 10.147.142.75 00－21－30－E7－86－BB”字符串命令，单击回车键后，该工作站的IP地址就无法随意更改了；倘若此时强行更改IP地址时，工作站无论如何都是连不上网的.这种方法虽然操作起来有点简单，但它只对通过代理服务器方式上网的工作站有效，而对其他类型的工作站却无效.在电力企业中，一般通过使用SecureCRT软件来方便地实现此功能（见图3）.

图3 通过Secu reCRT软件来绑定IP与MAC地址

使用静态IP地址分配可以对各部门进行合理的IP地址规划，能够在第三层上方便地跟踪管理，如果通过加强对MAC地址的管理，同样也会有效地解决这一问题.

总之，在网络用户连网的同时，建立IP地址和MAC地址的信息档案，自始至终地对局域网客户执行严格的管理、登记制度.通过桌面管控系统将每个用户的IP地址、MAC地址、物理位置和用户身份等信息记录在信息部门网络管理员的数据库中.试想，在上面说到的情况中，如果知道了非法用户的MAC地址后，即使不通过桌面管控软件，也可以从信息部门网络管理员的数据库中进行查寻.如果对MAC地址记录全面，便可以立即找到具体的使用人的信息，这会节省大量宝贵时间.同时对于某些应用应避免使用IP地址来进行权限限制，如果从MAC地址上进行限制相对来说要安全的多，这样可以有效地防止有人窃取IP地址的侥幸行为.

网络是一个企业的“信息高速公路”，只有网络技术强，才能更好地保障企业的信息安全，车才跑得快.而IP地址管理是一项长期的工作，管理的好坏，直接可以影响到电力企业部门之间的正常运作.因此，在信息部门的日常工作中，只有抓好平时的细节，做好IP地址数据的备份并熟练处理网络问题的技能，才可以有效地保障电力企业的快速发展，才可以在不断发展进步的企业面前创优争先.