每當遇到網絡病毒或系統崩潰現象時，上網用戶都可能要重裝系統，并修改IP地址，如果用戶沒有按照規定設置IP地址的話，IP地址沖突現象就不可避免，一旦這種現象頻繁發生，不但會影響上網用戶的沖浪效率，而且也不利于局域網網絡的穩定運行。為了提高局域網運行穩定性，我們不能等IP地址沖突故障發生時，才想辦法去應對，而應該主動出擊，讓上網用戶無法搶用局域網中的其他IP地址;為此，本文就從實戰角度出發，通過巧妙設置交換機，來控制IP地址沖突故障反復出現!

[[120404]]

組網情況

筆者所在的局域網大約有150個網絡節點，這些網絡節點平均分布在六個樓層，每一個樓層中的網絡節點都通過100M雙絞線與普通二層交換機保護連接，而每一個普通二層交換機又通過1000M光纖線纜連接到QuidWay S8500系列路由交換機上;為了保證網絡訪問安全，所有網絡節點都通過啟明星辰硬件防火墻與Internet網絡互聯互通。目前，單位局域網使用的是 10.168.163.0網段的IP地址，該網段中使用的默認網關地址為10.168.163.1，子網掩碼地址為255.255.255.0;由于該網段最多能擁有250多個IP地址，在平時工作中實際只用到150多個地址，顯然足夠大的地址空間余量完全可以滿足工作站數量不斷增加的需求。

但由于單位局域網采用了靜態地址分配方法，每當工作站系統發生突然崩潰或遭遇病毒攻擊不能正常啟動時，上網用戶都自行其是，隨意重新安裝系統、修改上網地址，結果局域網中頻繁出現IP地址沖突現象，這不但嚴重影響了他人的正常上網訪問，而且也加大了網絡管理員的維護工作量。為了有效避免上網用戶任意改動IP地址，筆者打算采用地址綁定的方法，將工作站的IP地址與對應網卡設備的物理地址綁定在一起;然而這種方法還沒有正式實施，就遭到了同為網絡管理員同事的反對，他認為這種方法治標不治本，因為上網用戶仍然可以采用修改網卡物理地址的方法，來竊取他人的IP地址，很顯然這種不是最有效的解決辦法。

應對方案

經過上網查閱相關資料以及深入分析之后，筆者和另外一位網絡管理員決定在核心交換機上對普通工作站的IP地址和網卡物理地址進行綁定操作，可是簡單地進行綁定操作，也不能解決上網用戶隨意設置IP地址的現象，因為某個IP地址一旦被設置綁定后，雖然上網用戶不能繼續搶用這個IP地址，但是他仍然可以搶用局域網中處于空閑的IP地址，這樣一來IP地址沖突現象仍然可能會發生，這也是很多網絡管理員百思不得其解的問題：在核心交換機中將所有工作站使用的IP地址綁定到對應網卡設備上后，仍然無法有效避免地址沖突故障。

要想徹底解決IP地址沖突故障，我們不但需要將局域網中已分配出去的IP地址綁定到對應網卡設備上，而且還需要對那些處于空閑狀態的IP地址進行綁定，這樣一來上網用戶既不能使用已經連網工作站的IP地址，又不能使用局域網中空閑的IP地址，因此只要局域網中的上網用戶隨意改動IP地址的話，他就不能正常接入到局域網網絡中。不過這樣配置后，也帶來了另外一個麻煩，那就是如果局域網中有新的用戶需要上網訪問時，就不能由自己作主任選IP地址，而必須事先向網絡管理員單獨申請上網，網絡管理員接受到申請后需要登錄進入交換機后臺管理系統對空閑地址進行放號，上網用戶才能正常連接到局域網中。實踐證明，這種方法不但可以有效避免IP地址沖突故障發生，而且還能有效地防止網絡病毒通過局域網非法傳播，從而可以有效地保障局域網的穩定運行!

實施過程

依照上述理論分析，筆者打算先將局域網中默認網關地址10.168.163.1綁定到對應的物理地址上，這樣可以有效控制局域網中ARP病毒的爆發;之后再想辦法對已經上網工作站的IP地址執行綁定操作，最后將那些處于空閑狀態的IP地址集中綁定到一個虛擬的網卡物理地址上，如此一來就能實現一石二鳥的效果了。

在綁定網關地址時，筆者先是以系統管理員身份登錄進入QuidWay S8500系列路由交換機后臺管理系統，在該系統的命令行狀態執字符串命令“system”，將系統切換到交換配置全局狀態;下面在該全局配置狀態下，輸入字符串命令“arp 10.168.163.1 0215.9cae.1156 arpa”，單擊回車鍵后，默認網關地址10.168.163.1就被成功綁定到0215.9cae.1156MAC地址上了，其他工作站日后上網時如果搶用10.168.163.1地址時，就會出現無法上網的故障現象，如此一來整個局域網的運行穩定性就能得到保證了。

為了防止用戶搶用其他IP地址，我們需要把已經上網的150個左右網絡節點地址綁定起來;由于待綁定的地址數量比較多，單純依靠手工方法獲取每臺工作站的網卡物理地址和IP地址，工作量將會十分巨大，為此筆者在交換機后臺系統的全局配置狀態下，執行“display arp”字符串命令，之后將顯示出來的交換機ARP表中的內容復制拷貝到本地紀事本編輯窗口中，通過簡單的編輯修改后，再將修改后的ARP表內容復制粘貼到交換機ARP表中，這樣一來就能快速完成已上網工作站地址的綁定任務。

對于剩下100個左右的空閑IP地址，我們可以采用手工方法依次將每一個空閑的IP地址綁定到虛擬的MAC地址上，例如要將 10.168.163.156地址綁定到071e.33ea.8975上時，我們可以在交換機后臺系統的全局配置狀態下，執行字符串命令“arp 10.168.163.156 071e.33ea.8975 arpa”，之后我們再按同樣的方法將其他空閑IP地址綁定到虛擬MAC地址071e.33ea.8975上。

完成上面的地址綁定任務后，任何用戶都不能隨意更改IP地址;倘若此時有新的用戶需要使用空閑的10.168.163.156地址上網訪問時，網絡管理員可以按照下面的操作步驟，將10.168.163.156地址從綁定地址列表中釋放出來：

首先在QuidWay S8500系列路由交換機后臺管理系統執行“system”命令，將系統狀態切換到全局配置狀態，在該狀態下輸入字符串命令“display arp”，單擊回車鍵后，從其后出現的ARP列表中檢查一下10.168.163.156地址是否處于空閑狀態，要是目標IP地址處于空閑狀態，我們就能繼續執行下面的釋放步驟了：

其次輸入字符串命令“no arp 10.168.163.156 071e.33ea.8975 arpa”，單擊回車鍵后，目標IP地址10.168.163.156就從地址綁定列表中釋放出來了;

下面將10.168.163.156地址告訴給需要上網的用戶，讓他將該IP地址設置到對應工作站系統中，如此一來新增用戶就能順利地接入到單位局域網網絡中了;

之后在核心交換機的后臺管理系統，繼續執行字符串命令“display arp 　 in 10.168.163.156”，從其后返回的結果界面中我們可以查看得到對應10.168.163.156地址的網卡物理地址為00bb.ebc3.c6d0;

得到該MAC地址后，我們可以繼續執行字符串命令“arp 10.168.163.156 00bb.ebc3.c6d0 arpa”，這樣一來新上網用戶的IP地址與網卡物理地址就被成功綁定在一起了;最后依次執行字符串命令“quit”、“save”，將上述配置操作保存到交換機系統中，結束交換機配置任務。

最后結語

通過上面的配置，局域網中的所有IP地址都被成功控制起來，任何用戶私自改動IP地址，都將不能接入網絡;整個控制過程雖然有點復雜，但是可以很好地控制網絡的接入安全，避免不明真相的工作站將網絡病毒或木馬程序帶入到局域網工作環境中。當然，上面的控制方案還不能保證萬無一失，還有一種情況會引發地址沖突現象發生，那就是非法用戶竊取了交換機ARP列表中的內容，他只要同時修改自己工作站的網卡物理地址以及IP地址，并且在被竊用戶沒有在線的情況下，就能成功搶用他人地址進行上網訪問了，不過這種情況出現的可能性相當低，除非網絡管理員有意而為之。