解决网络中ＩＰ地址冲突的途径综述

摘要：同一网络中所有计算机的IP地址须各自不同，具有唯一性，当人们在有意无意中破坏了IP地址的这种规则，就势必产生了IP地址冲突，本文在详细介绍IP地址冲突现象的基础上，综合描述了多种预防和解决此类问题的途径，并指出各途径之间存在的特点。

关键词：网络；IP地址；冲突；MAC地址

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)12-21571-02

Ways to Solving the Problem of IP Address Conflict in the Network

XU Li-guang

(Information Network Center of Putian University, Putian 351100, China)

Abstract: Different computers in the same network must own different IP addresses respectively, which is the sole criterion of creating IP addresses. IP address conflict will occur if people violate the sole rule consciously or unconsciously. The paper first makes a detailed introduction on the phenomena of IP address conflict, then expounds the ways of preventing and solving such problems, and at the same time the paper points out the features of all the ways.

Key words：network; IP address; conflict; MAC address

1 引言

IP地址是基于TCP/IP协议(传输控制协议/互联网络协议)产生的，因为在Internet中有成千上万台计算机主机，为了区分这些主机，人们给每台主机都分配了一个唯一的地址，称为IP地址。通过IP地址就可以访问到每一台主机。IP地址直观的表示通常是由四部分十进制数字组成，每部分数值范围在“0-255”之间，各部分之间用点号分开，例如“莆田学院”网站对应主机的IP地址是“202.101.111.195”在您的IE浏览器上键入这个地址，就可以访问到莆田学院网站主页。若同一网络中有两台主机IP地址相同，则两台主机将相互报警，提示IP地址冲突。IP地址冲突发生时，会严重影响网络的正常使用，给网络管理、网络安全等应用带来不必要的麻烦。文章对各种预防和解决IP地址冲突的途径进行综述，并提出各途径间的细微差异所在，希望本文能在网络技术方面为辛勤工作的网络管理人士提供有价值的参考。

2 IP地址冲突现象起因

事实上，IP地址冲突现象非常普遍。下面几种情况均可能导致IP地址冲突。

2.1 无意中导致IP地址冲突情况

使用者使用计算机水平有限，对网络IP地址不甚了解，轻易不按正确规则设置IP地址；网络技术人员调试网络功能，临时设置IP地址，或由于疏忽失误而违背了正确的IP地址规则，均可造成IP地址冲突。

2.2 故意非法使用他人合法IP地址造成IP地址冲突情况

使用者为逃避网络使用计费，对于按IP计费的接入网络，使用者常常盗用IP地址将网络费用转嫁到他人身上；使用者为了获取基于IP地址的访问权限或网络资源的存取控制，盗用IP地址，伪装成合法用户欺骗网络安全策略的检查，从而实施一些影响网络安全的活动；还有少数恶意破坏者为了逃避追踪、隐藏身份的目的盗用合法IP地址，均可造成IP地址冲突现象发生。

3 IP地址冲突现场及时处理的方法

IP地址冲突是通过Windows对IP地址冲突的自动检测过程发现的，对重复IP地址的检测是Windows TCP/IP的一个重要特性，计算机启动时，首次初始化TCP/IP，广播ARP（地址解析协议）请求，以便为IP地址请求IP地址解析。如果另一个主机回答此ARP请求分组中的任何一个，就表示该主机已经在使用此IP地址。这称为DAT(Duplicate Address Test，重复地址测试)。检测到重复IP地址时，Windows计算机照样引导，但禁用此广播ARP请求的计算机上的重复IP地址，并显示一条IP地址冲突的错误信息，影响网络的使用。

因此，IP地址冲突发生时计算机开机之后会弹出的IP地址冲突的报警提示，看到这种现象我们的第一念头肯定是想赶紧找到与我们IP地址冲突的计算机，当场解决IP地址冲突的恼人问题。那么如何做到这点呢？下面介绍IP地址冲突的现场处理方法：

3.1 暂时允许并确认导致IP地址冲突的主机在网络中运行

暂时关闭被冲突的合法IP地址的主机，以便让导致冲突的非法IP地址的主机暂时在网络上正常运行。并在同一局域网中另一台合法主机的MSDOS命令提示符下使用网络测试命令（ping）进行确认，使用ping命令的另一个目的是在本地主机的ARP缓存表内保存对方的网络适配器MAC地址，便于下一步检查。具体效果如（图1）蓝色部分所示。

图1 ping命令和arp命令执行结果如图

3.2 查出导致IP地址冲突的主机中网络适配器MAC地址

在IP冲突所在的同一网段内可以使用“arp-a”命令查看MAC地址，其方法及效果如（图1）绿色部分所示；或者使用“nbtstat-a IP地址”命令也可以显示导致IP地址冲突的主机中网络适配器MAC地址，其方法效果如（图2）绿色所示。从上述我们可以清楚地看出例中导致冲突的IP地址172.16.64.235处网络适配器的MAC地址为00-D0-F8-01-37-2E。

图2 “nbtstat-a IP地址”命令查看MAC地址如图

3.3 确定以太网交换机中此MAC地址所使用的端口位置

以太网交换机中保存着一份FDB（转发表），这个表就是此交换机上的端口与MAC地址的对应表，网络数据包中包含有源地址与目的地址，当数据包当达网络交换设备时，交换设备根据数据包的目的地址查找对应表，如果查到目的地址对应的端口，就将数据包送到这个端口，如果没有查到则由设备决定是否向所有端口转发或者丢弃该数据包。根据此原理我们可以通过交换机提供的功能中找出已知MAC地址对应接在交换机的哪个端口上，最后根据综合布线资料，确定占用IP的主机物理位置。

碰到IP地址冲突时，如果网络中机器在设置网络参数（机器名、工作组等）时较有规律，则利用 “nbstat-a IP地址”命令如（图2）来详细查看导致冲突的主机机器名和工作组等信息，可以非常容易地找到该主机；另外，在一个Cisco交换网络中，根据掌握的IP地址，要找出它连接到了哪台交换机的哪个端口上，最方便快捷的方法是使用CiscoWorks2000LMS网管软件的Usertracking功能，找出IP对应的交换机端口。至此现场处理的问题解决。

4 IP地址冲突现象预防的多种解决途径及各途径的特点

网络中IP地址冲突现象很普遍，虽然我们有现场处理的应急方法，但是IP地址冲突的问题有时并不能及时发现，只有在相互冲突的网络客户端同时都在开机联网状态时才能显示出来，所以我们可能更需要的是防范于未然。下面介绍几种有效防范IP地址冲突现象发生的途径及各途径特点：

4.1 采用动态IP地址分配（DHCP）方法及特点

IP地址的分配目前有两种方案，其中之一就是使用动态IP地址分配(DHCP)，使用此方法分配IP地址，可以避免IP地址冲突发生。使用动态IP地址分配的最大优点是客户端网络的配置非常简单，在没有网络管理员的帮助和干预的情况下，用户自己便可以对网络进行链接设置。但是，因为IP地址是动态分配的，网络管理员不能从IP地址上确定客户的身份，相应的IP层管理将失去作用，而且使用动态IP地址分配需要额外的DHCP服务器。

4.2 采用静态IP地址与网络适配器MAC地址绑定的方法及特点

为了防止IP地址冲突，可以在分配静态IP地址时，在代理服务器端把IP地址与网卡MAC地址进行捆绑。首先获得各客户端网卡的MAC地址（Win9x用户可以使用winipcfg命令取得，Win2k/XP用户可以使用ipconfig /all命令取得），再到代理服务器端让网络管理员把IP地址与所记录计算机的网卡MAC地址进行捆绑。具体命令格式为：“ARP -S IP地址 MAC地址”，例如：“ARP -S 172.16.64.235 00-00-F1-34-63-06”就将静态IP地址172.16.64.235与MAC地址为00-00-F1-34-63-06的网卡绑定了，即使别人使用IP地址172.16.64.235也无法通过代理服务器上网，既然使用该IP无用，自然在一定程度上可以避免IP地址冲突的发生。该绑定方法的缺陷是虽然利用网络适配器的MAC地址是全球唯一的，但在系统真正使用时,考虑到软件运行的效率，系统并不是从网卡EPROM中读取MAC地址，而是在系统特定的缓冲区中获取MAC地址，这就意味了MAC地址可以修改。在Windows98/NT/2000等系统中都可以修改注册表中的MAC地址，主键位置为“HKEY LOCAL MACHINE\SYSTEM\Current control set\serviles\class\net\0000\”，可以把字符串“Network Address”的值修改为任意MAC地址，格式类似为“00D0F801372E”，还可以在系统的“控制面板\网络\网卡\属性\高级\Network Address\设置”中，直接修改主机的MAC地址。MAC地址一旦被用户动态修改，IP-MAC绑定也就无法体现其作用了。但此法对大多数用户不熟悉计算机应用技术时较为适用。

4.3 采用静态IP地址或MAC地址与交换机端口绑定的方法及特点

我们知道交换机是局域网的主要网络设备，它工作在数据链路层上，基于MAC地址来转发和过滤数据包。因此，每个交换机均维护着一个与端口对应的MAC地址表。任何与交换机直接相连或处于同一广播域的主机的MAC地址均会被保存到交换机的MAC地址表中。通过SNMP（Simple Network Management Protocol）管理站与各个交换机的SNMP代理通信可以获取每个交换机保存的与端口对应的MAC地址表，从而形成一个实时的Switch-Port-MAC对应表。

解决IP地址冲突最彻底的方法是使用交换机进行控制，即使用交换机提供的端口的单地址工作模式，让交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问被拒绝。但此方法的最大缺点在于它需要网络上全部采用高端交换机提供用户接入，这在高端交换机相对昂贵的状况下，必然会是增加网络设备投入的成本。

4.4 采用路由器隔离的方法及特点

采用路由器隔离主要是依据MAC地址作为以太网卡地址全球唯一特性。一种实现方法是通过SNMP协议定期扫描局域网内各路由器的ARP表，获得当前IP和MAC的对照关系，和事先合法的IP和MAC地址比较，如不一致，则为可能导致IP地址冲突的非法访问。对于非法访问，有几种办法可以制止，如：使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项；向非法访问的主机发送ICMP不可达的欺骗包，干扰其数据发送；修改路由器的存取控制列表，禁止非法访问。

路由器隔离的另外一种实现方法是使用静态ARP表，即路由器中IP与MAC地址的映射不通过ARP来获得，而采用静态设置。这样，当非法访问的IP地址和MAC地址不一致时，路由器根据正确的静态设置转发的帧就不会到达非法主机，从而避免IP冲突的发生。

路由器隔离技术能够较好地解决IP地址的盗用问题，但是如果非法用户针对其理论依据进行破坏，成对修改IP-MAC地址，对这样的IP地址盗用它就无能为力了。

4.5 采用防火墙与代理服务器用户认证管理的方法及特点

使用防火墙与代理服务器相结合，也能较好地解决IP地址盗用导致冲突的问题。防火墙用来实现内部网络和外部网络的隔离，用户访问外部网络通过代理服务器进行，任何上网用户需要到网络管理部门申请帐户和口令。这样将IP地址管理问题放到应用层来解决，变IP地址管理为用户身份和口令的管理，因为用户对于网络的使用归根结底是要使用网络资源。虽然在内部子网可以使用合法用户的IP地址，但是对于外部网络没有合法的身份和密码，却无权访问丰富的外网资源，如果无法使用网络资源，用户对某一个合法IP地址自然失去兴趣，在一定程度上可以避免IP地址冲突。

使用防火墙和代理服务器的缺点也是明显的，由于使用代理服务器访问外部网络对用户不是透明的，增加了用户操作的麻烦，用户访问外部网络必须通过身份验证；而且对于用户数量较少的情况而言管理比较便利，对于用户数量巨大的情况，会带来用户管理方面的麻烦。

5 结束语

综上所述，当网络中由于种种原因出现IP地址冲突问题时，网络管理人员可以根据实际需要参考应用上述某一途径或综合应用上述几种途径，冲突问题可以在一定程度上有效解决。当然本文只是从纯技术角度讨论如何解决IP地址冲突问题，技术是为管理服务的，如果网络管理过程中能够结合人员管理方面的手段和策略，制定完善的网络管理制度，那么解决类似IP地址问题就会更有实效。

参考文献：

[1] 冯登国．计算机通信网络安全[M]．清华大学出版社，2001．

[2] 常晓波．CISCO网络安全[M]．清华大学出版社，2004．

[3] 刘勇鹏，卢泽新，等．MAC地址与IP地址绑定的缺陷[J]．计算机应用研究，2002,(9):83-85.

[4] 冯年荣，蒋凡，等．内部网络安全防范盲区的研究[J]．计算机工程，2000,(10):155-156.

“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。”

推荐访问:综述 途径 冲突 地址 解决