網絡簡介
作為典型的企業網架構,本單位網絡拓撲結構大致分為三級,并全部采用北電產品。第一級由ATM交換機組成,網絡服務器、多媒體工作站等工作在主干網絡上,第二級由大量的以太網交換機構成,對第三級桌面提供高密度端口。并根據劃分出的VLAN(Vitual Local Area Network)提供實際的VLAN端口。網絡協議采用TCP/IP,IP地址規劃使用靜態IP地址分配,由網管員統一規劃。
問題的提出
我們知道,對于在Internet和Intranet網絡上,使用TCP/IP協議時每臺主機必須具有獨立的IP地址,有了IP地址的主機才能與網絡上的其它主機進行通訊。隨著網絡應用大力推廣,網絡客戶急劇膨脹,由于靜態IP地址分配,IP地址沖突的麻煩相繼而來。IP地址沖突造成了很壞的影響,首先,網絡客戶不能正常工作,只要網絡上存在沖突的機器,只要電源打開,在客戶機上都會頻繁出現地址沖突的提示:“如果網絡上某項應用的安全策略(諸如訪問權限,存取控制等)是基于IP地址進行的,這種非法的IP用戶會對應用系統的安全造成了嚴重威脅。
分析原因
出現問題有時并不能及時發現,只有在相互沖突的網絡客戶同時都在開機狀態時才能顯露出問題,所以具有相當的隱蔽性。分析原因有如下幾種情況可以造成IP地址沖突。
1、很多用戶對TCP/IP并不了解,不知道“IP地址”、“子網掩碼”、“默認網關”等參數如何設置,有時用戶不是從管理員處得到的上述參數的信息,或者是用戶無意修改了這些信息;2、管理員或用戶根據管理員提供的上述參數進行設置時,由于失誤造成參數輸錯;3、在客戶機維修調試時,維修人員使用臨時 IP地址應用造成;4、有人竊用他人的IP地址。
解決方法
接到沖突報告后,我們首先確定沖突發生的VLAN。通過IP規劃的vlan定義,和沖突的IP地址,找到沖突地址所在的網段。這對成功地找到網卡MAC地址很關鍵,因為有些網絡命令不能跨網段存取。
首先將客戶機與網絡隔離,讓非法的IP地址的微機在網上運行,網管員便可以設法找到它了。應用網絡測試命令有ping命令和arp命令。使用ping命令,假設沖突的IP地址為10.119.40.40,在msdos窗口,命令格式如下,其中斜體部分是命令結果。
C:\WIDOWS\〉ping 10.119.40.40
Request timed out
Reply from 10.119.40.40 : bytes=32 time〈1ms TTL=128 略
我們之所以要ping這臺機器,是出于兩個目的,首先我們要知道我們要找的機器確實在網絡上,其次,我們要知道這臺機器的網卡的MAC地址,那么我們如何知道它的MAC地址哪?這就需要使用第二個命令arp:arp命令只能在某一個VLAN中使用有效,它是低層協議,并不能跨路由。
C:\WIDOWS\〉arp -a
Interface: ...... on Inerface ......
Internet Address/Physical Address/Type
10.119.40.40/00-00-21-34-63-56/ dynamic 以下略
以上列表表示出沖突IP地址10.119.40.40 處網卡的MAC地址為00-00-21-34-63-56。接下來我們要找的是MAC地址為00-00-21-34-63-56的網卡的具體物理位置。
網絡簡介中已經說明,每臺客戶機的網卡直接連接到第二級交換機上,接下來面對大量的以太網交換機,我們要查找是沖突MAC所對應交換機端口。本網絡中與客戶連接的設備是Bay的303/304,本文以303為例,描述如何查找某一個MAC地址所在的端口位置。Bay303的網管有多種方式,下面僅以 Web瀏覽器方式描述查找非法MAC的方法。
在查找之前,首先要確定VLAN內的交換機位置,查出這些交換機的IP地址,使用交換機地址可以訪問該交換機的網管信息。
* 在網管員的機器上啟動瀏覽器
* 鍵入交換機的IP地址
* 提示登陸信息后輸入用戶名和密碼
* 進入“MAC Address Table”選項
顯示表格如下:
Index/MAC address/Learned on Port/Learning Method/Filter Packets to this Address 1
00:00:21:34:63:56
13
Dynamic
No
2
00:00:81:65:c3:a0
N/A
Static
No
3
00:00:a2:f7:c3:e4
25
Dynamic
No
4
00:00:21:34:63:56
2
Dynamic
No
以下略。
此時你可以看到索引的第4項,它正是我們要查找的MAC地址,它的端口號為2。根據綜合布線資料,可以查找出相應的信息點的物理位置,從而定位到所連接的微機位置。當然,在此是針對特有的交換機所舉的例子,在實際工作中我們要查找很多臺交換機,才能找到我們要找的MAC地址,當VLAN中存在大量的交換機時,我們需要在這些交換機中逐個去查找,直到找到為止,這是一個相當煩瑣的事情。
對于某一交換機的端口中存在下聯交換機的情況,因為交換機支持多個MAC地址,會在上級的MAC表中有下級MAC的記載,所以首先查找上級交換機MAC表,確定較具體位置后再去查找下一級交換機,這樣會大幅度地縮減查找范圍。
管理策略
對于局域網來講此類IP地址沖突的問題會經常出現,用戶規模越大,查找工作就越困難,所以網絡管理員必須深思加以解決。目前有兩種方案,一是使用動態IP地址分配(DHCP),另一種方案是使用靜態地址分配,但必須加強MAC地址的管理。
用動態IP地址分配(DHCP)的最大優點是客戶端網絡的配置非常簡單,在沒有管理員的幫助和干預的情況下,用戶自己便可以對網絡進行連接設置。但是,因為IP地址是動態分配的,網管員不能從IP地址上鑒定客戶的身份,相應的IP層管理將失去作用。而且使用動態IP地址分配需要設置額外DHCP服務器。
使用靜態IP地址分配可以對各部門進行合理的IP地址規劃,能夠在第三層上方便地跟蹤管理,如果我們通過加強對MAC地址的管理,同樣也會有效地解決這一問題。
在網絡用戶連網的同時,建立IP地址和MAC地址的信息檔案,自始至終地對局域網客戶執行嚴格的管、登記制度,將每個用戶的IP地址、MAC地址、上聯端口、物理位置和用戶身份等信息記錄在網絡管理員的數據庫中。試想,在我們上述的案例中,如果知道了非法用戶的MAC地址后,我們可以從管理員數據庫中進行查尋,如果我們對MAC地址記錄全面,我們便可以立即找到具體的使用人的信息,這會節省我們大量寶貴時間,避免大海撈針的煩惱。同時我們對于某些應用應避免使用IP地址來進行權限限制,如果我們從MAC地址上進行限制相對來說要安全的多,這樣可以有效地防止有人竊取IP地址的僥幸行為。