高君豐，高鑫偉

（1.中國(guó)人民解放軍92785部隊(duì)，河北 秦皇島 066200；2.西安通信學(xué)院，陜西 西安 710000）

1 引言

局域網(wǎng)作為典型的網(wǎng)絡(luò)架構(gòu)，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)大致分為三級(jí)：第一級(jí)由核心交換機(jī)組成，網(wǎng)絡(luò)服務(wù)器等工作在主干網(wǎng)絡(luò)上；第二級(jí)由對(duì)第三級(jí)桌面提供高密度端口的交換機(jī)構(gòu)成，并根據(jù)劃分出的VLAN（Vitual Local Area Network）提供實(shí)際的VLAN端口。網(wǎng)絡(luò)協(xié)議采用TCP/IP，IP地址規(guī)劃為靜態(tài)IP地址。隨著局域網(wǎng)絡(luò)應(yīng)用的大力推廣，網(wǎng)絡(luò)用戶數(shù)量不斷增加，由于靜態(tài)IP地址分配，IP地址沖突相繼而來(lái)。因此，解決IP沖突，實(shí)現(xiàn)用戶的惟一性確定，成為維護(hù)局域網(wǎng)絡(luò)健康、安全運(yùn)行的重要任務(wù)。

2 IP地址沖突的機(jī)理及常見(jiàn)IP盜用方法

局域網(wǎng)中的計(jì)算機(jī)在啟動(dòng)時(shí)，首次初始化 TCP/IP，廣播ARP請(qǐng)求，以便為IP地址請(qǐng)求IP地址解析。如果另一個(gè)主機(jī)回答此ARP請(qǐng)求分組中的任何一個(gè)，就表示該主機(jī)已經(jīng)在使用此IP地址，地址發(fā)生了沖突。檢測(cè)到地址沖突時(shí)，計(jì)算機(jī)照樣引導(dǎo)，但禁用此廣播ARP請(qǐng)求計(jì)算機(jī)上的重復(fù)IP地址，并顯示一條IP地址沖突的錯(cuò)誤信息。此時(shí)計(jì)算機(jī)就不能享用計(jì)算機(jī)網(wǎng)絡(luò)資源了。

根據(jù)有關(guān)統(tǒng)計(jì)，網(wǎng)絡(luò)上的錯(cuò)誤有50%以上是直接或間接由IP盜用引起的，因此有必要闡述其原理。IP地址盜用大致可分為3種情況：靜態(tài)修改IP地址、成對(duì)修改MAC地址和IP地址、IP欺騙。

2.1 靜態(tài)修改IP地址

對(duì)于任何一個(gè)TCP/IP實(shí)現(xiàn)來(lái)說(shuō)，IP地址都是其用戶配置的必選項(xiàng)。如果用戶在配置TCP/IP或修改TCP/IP配置時(shí)，使用的不是授權(quán)機(jī)構(gòu)分配的IP地址，就形成了IP地址盜用。由于IP地址是一個(gè)邏輯地址，是一個(gè)需要用戶設(shè)置的值，因此無(wú)法限制用戶對(duì)于IP地址的靜態(tài)修改，除非使用動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）服務(wù)器分配 IP地址，動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）是一種使網(wǎng)絡(luò)管理員能夠集中管理和自動(dòng)分配IP網(wǎng)絡(luò)地址的通信協(xié)議。在IP網(wǎng)絡(luò)中，每個(gè)連接網(wǎng)絡(luò)的設(shè)備都需要分配唯一的IP地址。DHCP使網(wǎng)絡(luò)管理員能從中心結(jié)點(diǎn)監(jiān)控和分配IP地址。當(dāng)某臺(tái)計(jì)算機(jī)移到網(wǎng)絡(luò)中的其他位置時(shí)，能自動(dòng)收到新的IP地址。但又會(huì)帶來(lái)其他管理問(wèn)題。

2.2 成對(duì)修改MAC地址和IP地址

對(duì)于靜態(tài)修改IP地址的問(wèn)題，現(xiàn)在很多單位都采用靜態(tài)路由技術(shù)加以解決。針對(duì)靜態(tài)路由技術(shù)，IP盜用技術(shù)又有了新的發(fā)展，即成對(duì)修改MAC地址和IP地址。MAC地址是設(shè)備的硬件地址，對(duì)于我們常用的以太網(wǎng)來(lái)說(shuō)，即俗稱的計(jì)算機(jī)網(wǎng)卡地址。每一個(gè)網(wǎng)卡的 MAC地址在所有以太網(wǎng)設(shè)備中必須是唯一的，它由 IEEE分配，是固化在網(wǎng)卡上的，一般不能隨意改動(dòng)。但是，現(xiàn)在的一些兼容網(wǎng)卡，其 MAC地址可以使用網(wǎng)卡配置程序進(jìn)行修改。如果將一臺(tái)計(jì)算機(jī)的IP地址和MAC地址都改為另外一臺(tái)合法主機(jī)的IP地址和MAC地址，那靜態(tài)路由技術(shù)就無(wú)能為力了。

2.3 IP欺騙

對(duì)于那些 MAC地址不能直接修改的網(wǎng)卡來(lái)說(shuō)，用戶還可以采用軟件的辦法來(lái)修改 MAC地址，即通過(guò)修改底層網(wǎng)絡(luò)軟件達(dá)到欺騙上層網(wǎng)絡(luò)軟件的目的。動(dòng)態(tài)修改IP地址對(duì)于一些黑客高手來(lái)說(shuō)，直接編寫(xiě)程序在網(wǎng)絡(luò)上收發(fā)數(shù)據(jù)包，繞過(guò)上層網(wǎng)絡(luò)軟件，動(dòng)態(tài)修改自己的IP地址（或成對(duì)修改MAC地址和IP地址），達(dá)到IP欺騙并不是一件困難的事。

3 IP地址沖突解決方法

通過(guò)IP地址與MAC地址綁定，MAC、IP地址與交換機(jī)端口綁定，以及網(wǎng)絡(luò)規(guī)劃管理策略、對(duì)用戶進(jìn)行安全教育并進(jìn)行相應(yīng)的IP地址入網(wǎng)申請(qǐng)登記制度、主動(dòng)監(jiān)督等?？捎行У胤乐褂脩舾腎P地址和MAC地址的現(xiàn)象，較好地解決網(wǎng)絡(luò)中IP沖突問(wèn)題。

3.1 交換機(jī)端口與MAC綁定

解決IP地址沖突最徹底的方法是，使用交換機(jī)進(jìn)行控制，使用交換機(jī)提供的端口的單地址工作模式，即交換機(jī)的每一個(gè)端口，只允許一臺(tái)主機(jī)通過(guò)該端口訪問(wèn)網(wǎng)絡(luò)，如將交換機(jī)端口與MAC和IP綁定，任何其他地址的主機(jī)的訪問(wèn)都將被拒絕。網(wǎng)卡的MAC地址通常是唯一確定的，在路由器中建立一個(gè)IP地址與MAC地址的對(duì)應(yīng)表，只有IP－MAC地址相對(duì)應(yīng)的合法注冊(cè)機(jī)器才能得到正確的ARP應(yīng)答，來(lái)控制IP－MAC不匹配的主機(jī)與外界通訊，達(dá)到防止IP地址的盜用。比如局域網(wǎng)某一用戶的IP地址為：202.100.181.160，MAC地址為：0010.80EC.B64D，在Cisco的路由器或交換機(jī)的路由模塊上使用命令：router(config)# arp 202.100.181.160 00 10 80 EC B6 4D arpa把該IP地址與 MAC地址進(jìn)行綁定，若有人盜用該IP地址，因其MAC地址的唯一性，使得IP地址與MAC地址不匹配而盜用失敗。但此方案的最大缺點(diǎn)在于，它需要網(wǎng)絡(luò)上全部采用交換機(jī)提供用戶接入，這在交換機(jī)相對(duì)昂貴的今天，不是一個(gè)能夠普遍采用的解決方案。

3.2 采用PVLAN（虛擬局域網(wǎng)）技術(shù)

虛擬局域網(wǎng)是在二層交換機(jī)上實(shí)現(xiàn)對(duì)端口數(shù)據(jù)的隔離，把原本的廣播域進(jìn)行隔離，把一個(gè)大的廣播域劃分成若干個(gè)小的廣播域。這種隔離是一種邏輯隔離，不是一種物理隔離。這樣的劃分使得廣播只能局限在單個(gè)的小廣播域內(nèi)，廣播報(bào)文不會(huì)跨越到其他的廣播域中。這樣網(wǎng)絡(luò)規(guī)劃人員可以根據(jù)實(shí)際的需要靈活的對(duì)網(wǎng)絡(luò)進(jìn)行邏輯劃分，這樣的隔離在網(wǎng)絡(luò)規(guī)模較小的環(huán)境中較容易實(shí)現(xiàn)。PVLAN的應(yīng)用對(duì)于保證接入網(wǎng)絡(luò)的數(shù)據(jù)通信的安全性非常有效，用戶只需與自己的默認(rèn)網(wǎng)關(guān)連接，一個(gè)PVLAN不需要多個(gè)VLAN和IP子網(wǎng)就提供了具備第2層數(shù)據(jù)通信安全性的連接，所有的用戶都接入PVLAN，從而實(shí)現(xiàn)了所有用戶與默認(rèn)網(wǎng)關(guān)的連接，而與 PVLAN內(nèi)的其他用戶沒(méi)有任何訪問(wèn)。PVLAN功能可以保證同一個(gè)VLAN中的各個(gè)端口相互之間不能通信，但可以穿過(guò)Trunk端口。這樣即使同一VLAN中的用戶，相互之間也不會(huì)受到廣播的影響。

4 結(jié)束語(yǔ)

通過(guò)以上方法，我們?cè)凇凹夹g(shù)為主，管理為輔”總方針的指導(dǎo)下用較低的成本解決了 IP地址沖突問(wèn)題。其中，PVLAN其實(shí)就是在原本一層VLAN劃分的基礎(chǔ)上所進(jìn)行的二次VLAN的劃分，這樣的劃分能夠把廣播域隔離得更小，抑制了IP沖突、廣播風(fēng)暴在全局網(wǎng)絡(luò)中的產(chǎn)生，把沖突范圍壓縮的最小，增強(qiáng)局域網(wǎng)絡(luò)的穩(wěn)定性，保障了局域網(wǎng)通信的安全，也增強(qiáng)了虛擬局域網(wǎng)配置的靈活性，在很大程度上能夠滿足不斷擴(kuò)大的局域網(wǎng)絡(luò)發(fā)展的需求。

1 吳亞榕.校園網(wǎng)IP地址沖突解決方法[J].軟件導(dǎo)刊，2008（9）

2 吳建軍.IP地址沖突的分析與對(duì)策[J].云南師范大學(xué)學(xué)報(bào)，2008（6）

3 陳明.PVLAN技術(shù)在虛擬局域網(wǎng)中的應(yīng)用[J].漳州職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2009（1）

4 [美]Todd Lamm le著.CCNA學(xué)習(xí)指南[M].北京：電子工業(yè)出版社，2008.2