網(wǎng)絡(luò)簡介
作為典型的企業(yè)網(wǎng)架構(gòu),,本單位網(wǎng)絡(luò)拓撲結(jié)構(gòu)大致分為三級,,并全部采用北電產(chǎn)品。第一級由ATM交換機組成,,網(wǎng)絡(luò)服務(wù)器,、多媒體工作站等工作在主干網(wǎng)絡(luò)上,第二級由大量的以太網(wǎng)交換機構(gòu)成,,對第三級桌面提供高密度端口,。并根據(jù)劃分出的VLAN(Vitual Local Area Network)提供實際的VLAN端口。網(wǎng)絡(luò)協(xié)議采用TCP/IP,,IP地址規(guī)劃使用靜態(tài)IP地址分配,,由網(wǎng)管員統(tǒng)一規(guī)劃。
問題的提出
我們知道,,對于在Internet和Intranet網(wǎng)絡(luò)上,,使用TCP/IP協(xié)議時每臺主機必須具有獨立的IP地址,有了IP地址的主機才能與網(wǎng)絡(luò)上的其它主機進行通訊。隨著網(wǎng)絡(luò)應(yīng)用大力推廣,,網(wǎng)絡(luò)客戶急劇膨脹,,由于靜態(tài)IP地址分配,IP地址沖突的麻煩相繼而來,。IP地址沖突造成了很壞的影響,,首先,網(wǎng)絡(luò)客戶不能正常工作,,只要網(wǎng)絡(luò)上存在沖突的機器,,只要電源打開,在客戶機上都會頻繁出現(xiàn)地址沖突的提示:“如果網(wǎng)絡(luò)上某項應(yīng)用的安全策略(諸如訪問權(quán)限,,存取控制等)是基于IP地址進行的,,這種非法的IP用戶會對應(yīng)用系統(tǒng)的安全造成了嚴重威脅。
分析原因
出現(xiàn)問題有時并不能及時發(fā)現(xiàn),,只有在相互沖突的網(wǎng)絡(luò)客戶同時都在開機狀態(tài)時才能顯露出問題,,所以具有相當?shù)碾[蔽性。分析原因有如下幾種情況可以造成IP地址沖突,。
1,、很多用戶對TCP/IP并不了解,不知道“IP地址”,、“子網(wǎng)掩碼”,、“默認網(wǎng)關(guān)”等參數(shù)如何設(shè)置,有時用戶不是從管理員處得到的上述參數(shù)的信息,,或者是用戶無意修改了這些信息;2,、管理員或用戶根據(jù)管理員提供的上述參數(shù)進行設(shè)置時,由于失誤造成參數(shù)輸錯;3,、在客戶機維修調(diào)試時,,維修人員使用臨時 IP地址應(yīng)用造成;4、有人竊用他人的IP地址,。
解決方法
接到?jīng)_突報告后,,我們首先確定沖突發(fā)生的VLAN。通過IP規(guī)劃的vlan定義,,和沖突的IP地址,,找到?jīng)_突地址所在的網(wǎng)段。這對成功地找到網(wǎng)卡MAC地址很關(guān)鍵,,因為有些網(wǎng)絡(luò)命令不能跨網(wǎng)段存取,。
首先將客戶機與網(wǎng)絡(luò)隔離,讓非法的IP地址的微機在網(wǎng)上運行,,網(wǎng)管員便可以設(shè)法找到它了,。應(yīng)用網(wǎng)絡(luò)測試命令有ping命令和arp命令。使用ping命令,假設(shè)沖突的IP地址為10.119.40.40,,在msdos窗口,,命令格式如下,其中斜體部分是命令結(jié)果,。
C:\WIDOWS\〉ping 10.119.40.40
Request timed out
Reply from 10.119.40.40 : bytes=32 time〈1ms TTL=128 略
我們之所以要ping這臺機器,是出于兩個目的,,首先我們要知道我們要找的機器確實在網(wǎng)絡(luò)上,,其次,我們要知道這臺機器的網(wǎng)卡的MAC地址,,那么我們?nèi)绾沃浪腗AC地址哪?這就需要使用第二個命令arp:arp命令只能在某一個VLAN中使用有效,,它是低層協(xié)議,并不能跨路由,。
C:\WIDOWS\〉arp -a
Interface: ...... on Inerface ......
Internet Address/Physical Address/Type
10.119.40.40/00-00-21-34-63-56/ dynamic 以下略
以上列表表示出沖突IP地址10.119.40.40 處網(wǎng)卡的MAC地址為00-00-21-34-63-56,。接下來我們要找的是MAC地址為00-00-21-34-63-56的網(wǎng)卡的具體物理位置。
網(wǎng)絡(luò)簡介中已經(jīng)說明,,每臺客戶機的網(wǎng)卡直接連接到第二級交換機上,,接下來面對大量的以太網(wǎng)交換機,我們要查找是沖突MAC所對應(yīng)交換機端口,。本網(wǎng)絡(luò)中與客戶連接的設(shè)備是Bay的303/304,,本文以303為例,描述如何查找某一個MAC地址所在的端口位置,。Bay303的網(wǎng)管有多種方式,,下面僅以 Web瀏覽器方式描述查找非法MAC的方法。
在查找之前,,首先要確定VLAN內(nèi)的交換機位置,,查出這些交換機的IP地址,使用交換機地址可以訪問該交換機的網(wǎng)管信息,。
* 在網(wǎng)管員的機器上啟動瀏覽器
* 鍵入交換機的IP地址
* 提示登陸信息后輸入用戶名和密碼
* 進入“MAC Address Table”選項
顯示表格如下:
Index/MAC address/Learned on Port/Learning Method/Filter Packets to this Address 1
00:00:21:34:63:56
13
Dynamic
No
2
00:00:81:65:c3:a0
N/A
Static
No
3
00:00:a2:f7:c3:e4
25
Dynamic
No
4
00:00:21:34:63:56
2
Dynamic
No
以下略,。
此時你可以看到索引的第4項,它正是我們要查找的MAC地址,,它的端口號為2,。根據(jù)綜合布線資料,可以查找出相應(yīng)的信息點的物理位置,,從而定位到所連接的微機位置,。當然,在此是針對特有的交換機所舉的例子,,在實際工作中我們要查找很多臺交換機,,才能找到我們要找的MAC地址,當VLAN中存在大量的交換機時,我們需要在這些交換機中逐個去查找,,直到找到為止,,這是一個相當煩瑣的事情。
對于某一交換機的端口中存在下聯(lián)交換機的情況,,因為交換機支持多個MAC地址,,會在上級的MAC表中有下級MAC的記載,所以首先查找上級交換機MAC表,,確定較具體位置后再去查找下一級交換機,,這樣會大幅度地縮減查找范圍。
管理策略
對于局域網(wǎng)來講此類IP地址沖突的問題會經(jīng)常出現(xiàn),,用戶規(guī)模越大,,查找工作就越困難,所以網(wǎng)絡(luò)管理員必須深思加以解決,。目前有兩種方案,,一是使用動態(tài)IP地址分配(DHCP),另一種方案是使用靜態(tài)地址分配,,但必須加強MAC地址的管理,。
用動態(tài)IP地址分配(DHCP)的最大優(yōu)點是客戶端網(wǎng)絡(luò)的配置非常簡單,在沒有管理員的幫助和干預(yù)的情況下,,用戶自己便可以對網(wǎng)絡(luò)進行連接設(shè)置,。但是,因為IP地址是動態(tài)分配的,,網(wǎng)管員不能從IP地址上鑒定客戶的身份,,相應(yīng)的IP層管理將失去作用。而且使用動態(tài)IP地址分配需要設(shè)置額外DHCP服務(wù)器,。
使用靜態(tài)IP地址分配可以對各部門進行合理的IP地址規(guī)劃,,能夠在第三層上方便地跟蹤管理,如果我們通過加強對MAC地址的管理,,同樣也會有效地解決這一問題,。
在網(wǎng)絡(luò)用戶連網(wǎng)的同時,建立IP地址和MAC地址的信息檔案,,自始至終地對局域網(wǎng)客戶執(zhí)行嚴格的管,、登記制度,將每個用戶的IP地址,、MAC地址,、上聯(lián)端口、物理位置和用戶身份等信息記錄在網(wǎng)絡(luò)管理員的數(shù)據(jù)庫中,。試想,,在我們上述的案例中,,如果知道了非法用戶的MAC地址后,我們可以從管理員數(shù)據(jù)庫中進行查尋,,如果我們對MAC地址記錄全面,,我們便可以立即找到具體的使用人的信息,這會節(jié)省我們大量寶貴時間,,避免大海撈針的煩惱,。同時我們對于某些應(yīng)用應(yīng)避免使用IP地址來進行權(quán)限限制,如果我們從MAC地址上進行限制相對來說要安全的多,,這樣可以有效地防止有人竊取IP地址的僥幸行為,。