交換機如何設定控制IP地址衝突故障

網路 交換機，是一個擴大網路的器材，能為子網路中提供更多的連線 埠，以便連線更多的計算機。下面給大家介紹交換機如何設定控制IP地址衝突故障，一起來了解一下吧!

　　組網情況

舉例：區域網大約有150個網路節點，這些網路節點平均分佈在六個樓層，每一個樓層中的網路節點都通過100M雙絞線與普通二層交換機保護連線，而每一個普通二層交換機又通過1000M光纖線纜連線到路由交換機上，為了保證網路訪問安全，所有網路節點都通過硬體防火牆與Internet網路互聯互通。

目前，單位區域網使用的是 網段的IP地址，該網段中使用的預設閘道器地址為，子網掩碼地址為;由於該網段最多能擁有250多個IP地址，在平時工作中實際只用到150多個地址，顯然足夠大的地址空間餘量完全可以滿足工作站數量不斷增加的需求。

但由於單位區域網採用了靜態地址分配方法，每當工作站系統發生突然崩潰或遭遇病毒攻擊不能正常啟動時，上網使用者都自行其是，隨意重新安裝系統、修改上網地址，結果區域網中頻繁出現IP地址衝突現象，這不但嚴重影響了他人的正常上網訪問，而且也加大了網路管理員的維護工作量。

為了有效避免上網使用者任意改動IP地址，筆者打算採用地址繫結的方法，將工作站的IP地址與對應網絡卡裝置的物理地址繫結在一起;然而這種方法還沒有正式實施，就遭到了同為網路管理員同事的反對，他認為這種方法治標不治本，因為上網使用者仍然可以採用修改網絡卡實體地址的方法，來竊取他人的IP地址，很顯然這種不是最有效的解決辦法。

　應對方案

經過上網查閱相關資料以及深入分析之後，筆者和另外一位網路管理員決定在核心交換機上對普通工作站的IP地址和網絡卡實體地址進行繫結操作，可是簡單地進行繫結操作，也不能解決上網使用者隨意設定IP地址的現象，因為某個IP地址一旦被設定繫結後，雖然上網使用者不能繼續搶用這個IP地址，但是他仍然可以搶用區域網中處於空閒的IP地址，這樣一來IP地址衝突現象仍然可能會發生，這也是很多網路管理員百思不得其解的問題：在核心交換機中將所有工作站使用的IP地址繫結到對應網絡卡裝置上後，仍然無法有效避免地址衝突故障。

要想徹底解決IP地址衝突故障，我們不但需要將區域網中已分配出去的IP地址繫結到對應網絡卡裝置上，而且還需要對那些處於空閒狀態的IP地址進行繫結，這樣一來上網使用者既不能使用已經連網工作站的IP地址，又不能使用區域網中空閒的IP地址，因此只要區域網中的上網使用者隨意改動IP地址的`話，他就不能正常接入到區域網網路中。不過這樣配置後，也帶來了另外一個麻煩，那就是如果區域網中有新的使用者需要上網訪問時，就不能由自己作主任選IP地址，而必須事先向網路管理員單獨申請上網，網路管理員接受到申請後需要登入進入交換機後臺管理系統對空閒地址進行放號，上網使用者才能正常連線到區域網中。實踐證明，這種方法不但可以有效避免IP地址衝突故障發生，而且還能有效地防止網路病毒通過區域網非法傳播，從而可以有效地保障區域網的穩定執行!

實施過程

依照上述理論分析，筆者打算先將區域網中預設閘道器地址繫結到對應的實體地址上，這樣可以有效控制區域網中ARP病毒的爆發;之後再想辦法對已經上網工作站的IP地址執行繫結操作，最後將那些處於空閒狀態的IP地址集中繫結到一個虛擬的網絡卡實體地址上，如此一來就能實現一石二鳥的效果了。

在繫結閘道器地址時，筆者先是以系統管理員身份登入進入路由交換機後臺管理系統，在該系統的命令列狀態執字串命令“system”，將系統切換到交換配置全域性狀態;下面在該全域性配置狀態下，輸入字串命令“arp 0215.9cae.1156 arpa”，單擊回車鍵後，預設閘道器地址就被成功繫結到0215.9cae.1156MAC地址上了，其他工作站日後上網時如果搶用地址時，就會出現無法上網的故障現象，如此一來整個區域網的執行穩定性就能得到保證了。

為了防止使用者搶用其他IP地址，我們需要把已經上網的150個左右網路節點地址繫結起來;由於待繫結的地址數量比較多，單純依靠手工方法獲取每臺工作站的網絡卡實體地址和IP地址，工作量將會十分巨大，為此筆者在交換機後臺系統的全域性配置狀態下，執行“display arp”字串命令，之後將顯示出來的交換機ARP表中的內容複製拷貝到本地紀事本編輯視窗中，通過簡單的編輯修改後，再將修改後的ARP表內容複製貼上到交換機ARP表中，這樣一來就能快速完成已上網工作站地址的繫結任務。

對於剩下100個左右的空閒IP地址，我們可以採用手工方法依次將每一個空閒的IP地址繫結到虛擬的MAC地址上，例如要將 地址繫結到071e.33ea.8975上時，我們可以在交換機後臺系統的全域性配置狀態下，執行字串命令“arp 071e.33ea.8975 arpa”，之後我們再按同樣的方法將其他空閒IP地址繫結到虛擬MAC地址071e.33ea.8975上。

完成上面的地址繫結任務後，任何使用者都不能隨意更改IP地址;倘若此時有新的使用者需要使用空閒的地址上網訪問時，網路管理員可以按照下面的操作步驟，將地址從繫結地址列表中釋放出來：

首先在路由交換機後臺管理系統執行“system”命令，將系統狀態切換到全域性配置狀態，在該狀態下輸入字串命令“display arp”，單擊回車鍵後，從其後出現的ARP列表中檢查一下地址是否處於空閒狀態，要是目標IP地址處於空閒狀態，我們就能繼續執行下面的釋放步驟了：

其次輸入字串命令“no arp 071e.33ea.8975 arpa”，單擊回車鍵後，目標IP地址就從地址繫結列表中釋放出來了;

下面將地址告訴給需要上網的使用者，讓他將該IP地址設定到對應工作站系統中，如此一來新增使用者就能順利地接入到單位區域網網路中了;

之後在核心交換機的後臺管理系統，繼續執行字串命令“display arp 　 in ”，從其後返回的結果介面中我們可以檢視得到對應地址的網絡卡實體地址為3.c6d0;

得到該MAC地址後，我們可以繼續執行字串命令“arp 3.c6d0 arpa”，這樣一來新上網使用者的IP地址與網絡卡實體地址就被成功繫結在一起了;最後依次執行字串命令“quit”、“save”，將上述配置操作儲存到交換機系統中，結束交換機配置任務。

總結

通過上面的配置，區域網中的所有IP地址都被成功控制起來，任何使用者私自改動IP地址，都將不能接入網路;整個控制過程雖然有點複雜，但是可以很好地控制網路的接入安全，避免不明真相的工作站將網路病毒或木馬程式帶入到區域網工作環境中。當然，上面的控制方案還不能保證萬無一失，還有一種情況會引發地址衝突現象發生，那就是非法使用者竊取了交換機ARP列表中的內容，他只要同時修改自己工作站的網絡卡實體地址以及IP地址，並且在被竊使用者沒有線上的情況下，就能成功搶用他人地址進行上網訪問了，不過這種情況出現的可能性相當低，除非網路管理員有意而為之。