網(wǎng)絡(luò)簡介
作為典型的企業(yè)網(wǎng)架構(gòu),本單位網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)大致分為三級,并全部采用北電產(chǎn)品。第一級由ATM交換機(jī)組成,網(wǎng)絡(luò)服務(wù)器、多媒體工作站等工作在主干網(wǎng)絡(luò)上,第二級由大量的以太網(wǎng)交換機(jī)構(gòu)成,對第三級桌面提供高密度端口。并根據(jù)劃分出的VLAN(Vitual Local Area Network)提供實(shí)際的VLAN端口。網(wǎng)絡(luò)協(xié)議采用TCP/IP,IP地址規(guī)劃使用靜態(tài)IP地址分配,由網(wǎng)管員統(tǒng)一規(guī)劃。
問題的提出
我們知道,對于在Internet和Intranet網(wǎng)絡(luò)上,使用TCP/IP協(xié)議時每臺主機(jī)必須具有獨(dú)立的IP地址,有了IP地址的主機(jī)才能與網(wǎng)絡(luò)上的其它主機(jī)進(jìn)行通訊。隨著網(wǎng)絡(luò)應(yīng)用大力推廣,網(wǎng)絡(luò)客戶急劇膨脹,由于靜態(tài)IP地址分配,IP地址沖突的麻煩相繼而來。IP地址沖突造成了很壞的影響,首先,網(wǎng)絡(luò)客戶不能正常工作,只要網(wǎng)絡(luò)上存在沖突的機(jī)器,只要電源打開,在客戶機(jī)上都會頻繁出現(xiàn)地址沖突的提示:“如果網(wǎng)絡(luò)上某項(xiàng)應(yīng)用的安全策略(諸如訪問權(quán)限,存取控制等)是基于IP地址進(jìn)行的,這種非法的IP用戶會對應(yīng)用系統(tǒng)的安全造成了嚴(yán)重威脅。
分析原因
出現(xiàn)問題有時并不能及時發(fā)現(xiàn),只有在相互沖突的網(wǎng)絡(luò)客戶同時都在開機(jī)狀態(tài)時才能顯露出問題,所以具有相當(dāng)?shù)碾[蔽性。分析原因有如下幾種情況可以造成IP地址沖突。
1、很多用戶對TCP/IP并不了解,不知道“IP地址”、“子網(wǎng)掩碼”、“默認(rèn)網(wǎng)關(guān)”等參數(shù)如何設(shè)置,有時用戶不是從管理員處得到的上述參數(shù)的信息,或者是用戶無意修改了這些信息;2、管理員或用戶根據(jù)管理員提供的上述參數(shù)進(jìn)行設(shè)置時,由于失誤造成參數(shù)輸錯;3、在客戶機(jī)維修調(diào)試時,維修人員使用臨時 IP地址應(yīng)用造成;4、有人竊用他人的IP地址。
解決方法
接到?jīng)_突報告后,我們首先確定沖突發(fā)生的VLAN。通過IP規(guī)劃的vlan定義,和沖突的IP地址,找到?jīng)_突地址所在的網(wǎng)段。這對成功地找到網(wǎng)卡MAC地址很關(guān)鍵,因?yàn)橛行┚W(wǎng)絡(luò)命令不能跨網(wǎng)段存取。
首先將客戶機(jī)與網(wǎng)絡(luò)隔離,讓非法的IP地址的微機(jī)在網(wǎng)上運(yùn)行,網(wǎng)管員便可以設(shè)法找到它了。應(yīng)用網(wǎng)絡(luò)測試命令有ping命令和arp命令。使用ping命令,假設(shè)沖突的IP地址為10.119.40.40,在msdos窗口,命令格式如下,其中斜體部分是命令結(jié)果。
C:\WIDOWS\〉ping 10.119.40.40
Request timed out
Reply from 10.119.40.40 : bytes=32 time〈1ms TTL=128 略
我們之所以要ping這臺機(jī)器,是出于兩個目的,首先我們要知道我們要找的機(jī)器確實(shí)在網(wǎng)絡(luò)上,其次,我們要知道這臺機(jī)器的網(wǎng)卡的MAC地址,那么我們?nèi)绾沃浪腗AC地址哪?這就需要使用第二個命令arp:arp命令只能在某一個VLAN中使用有效,它是低層協(xié)議,并不能跨路由。
C:\WIDOWS\〉arp -a
Interface: ...... on Inerface ......
Internet Address/Physical Address/Type
10.119.40.40/00-00-21-34-63-56/ dynamic 以下略
以上列表表示出沖突IP地址10.119.40.40 處網(wǎng)卡的MAC地址為00-00-21-34-63-56。接下來我們要找的是MAC地址為00-00-21-34-63-56的網(wǎng)卡的具體物理位置。
網(wǎng)絡(luò)簡介中已經(jīng)說明,每臺客戶機(jī)的網(wǎng)卡直接連接到第二級交換機(jī)上,接下來面對大量的以太網(wǎng)交換機(jī),我們要查找是沖突MAC所對應(yīng)交換機(jī)端口。本網(wǎng)絡(luò)中與客戶連接的設(shè)備是Bay的303/304,本文以303為例,描述如何查找某一個MAC地址所在的端口位置。Bay303的網(wǎng)管有多種方式,下面僅以 Web瀏覽器方式描述查找非法MAC的方法。
在查找之前,首先要確定VLAN內(nèi)的交換機(jī)位置,查出這些交換機(jī)的IP地址,使用交換機(jī)地址可以訪問該交換機(jī)的網(wǎng)管信息。
* 在網(wǎng)管員的機(jī)器上啟動瀏覽器
* 鍵入交換機(jī)的IP地址
* 提示登陸信息后輸入用戶名和密碼
* 進(jìn)入“MAC Address Table”選項(xiàng)
顯示表格如下:
Index/MAC address/Learned on Port/Learning Method/Filter Packets to this Address 1
00:00:21:34:63:56
13
Dynamic
No
2
00:00:81:65:c3:a0
N/A
Static
No
3
00:00:a2:f7:c3:e4
25
Dynamic
No
4
00:00:21:34:63:56
2
Dynamic
No
以下略。
此時你可以看到索引的第4項(xiàng),它正是我們要查找的MAC地址,它的端口號為2。根據(jù)綜合布線資料,可以查找出相應(yīng)的信息點(diǎn)的物理位置,從而定位到所連接的微機(jī)位置。當(dāng)然,在此是針對特有的交換機(jī)所舉的例子,在實(shí)際工作中我們要查找很多臺交換機(jī),才能找到我們要找的MAC地址,當(dāng)VLAN中存在大量的交換機(jī)時,我們需要在這些交換機(jī)中逐個去查找,直到找到為止,這是一個相當(dāng)煩瑣的事情。
對于某一交換機(jī)的端口中存在下聯(lián)交換機(jī)的情況,因?yàn)榻粨Q機(jī)支持多個MAC地址,會在上級的MAC表中有下級MAC的記載,所以首先查找上級交換機(jī)MAC表,確定較具體位置后再去查找下一級交換機(jī),這樣會大幅度地縮減查找范圍。
管理策略
對于局域網(wǎng)來講此類IP地址沖突的問題會經(jīng)常出現(xiàn),用戶規(guī)模越大,查找工作就越困難,所以網(wǎng)絡(luò)管理員必須深思加以解決。目前有兩種方案,一是使用動態(tài)IP地址分配(DHCP),另一種方案是使用靜態(tài)地址分配,但必須加強(qiáng)MAC地址的管理。
用動態(tài)IP地址分配(DHCP)的最大優(yōu)點(diǎn)是客戶端網(wǎng)絡(luò)的配置非常簡單,在沒有管理員的幫助和干預(yù)的情況下,用戶自己便可以對網(wǎng)絡(luò)進(jìn)行連接設(shè)置。但是,因?yàn)镮P地址是動態(tài)分配的,網(wǎng)管員不能從IP地址上鑒定客戶的身份,相應(yīng)的IP層管理將失去作用。而且使用動態(tài)IP地址分配需要設(shè)置額外DHCP服務(wù)器。
使用靜態(tài)IP地址分配可以對各部門進(jìn)行合理的IP地址規(guī)劃,能夠在第三層上方便地跟蹤管理,如果我們通過加強(qiáng)對MAC地址的管理,同樣也會有效地解決這一問題。
在網(wǎng)絡(luò)用戶連網(wǎng)的同時,建立IP地址和MAC地址的信息檔案,自始至終地對局域網(wǎng)客戶執(zhí)行嚴(yán)格的管、登記制度,將每個用戶的IP地址、MAC地址、上聯(lián)端口、物理位置和用戶身份等信息記錄在網(wǎng)絡(luò)管理員的數(shù)據(jù)庫中。試想,在我們上述的案例中,如果知道了非法用戶的MAC地址后,我們可以從管理員數(shù)據(jù)庫中進(jìn)行查尋,如果我們對MAC地址記錄全面,我們便可以立即找到具體的使用人的信息,這會節(jié)省我們大量寶貴時間,避免大海撈針的煩惱。同時我們對于某些應(yīng)用應(yīng)避免使用IP地址來進(jìn)行權(quán)限限制,如果我們從MAC地址上進(jìn)行限制相對來說要安全的多,這樣可以有效地防止有人竊取IP地址的僥幸行為。
同步發(fā)布 豆瓜網(wǎng) https://www.dougua.net/ 曾光紅/文
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!