今天分享二層環(huán)路的基礎(chǔ)知識。

IP沖突的危害

如下拓撲：

這是非常非常典型的場景，不管是搞網(wǎng)絡(luò)、弱電還是運維，絕對清楚有兩種IP沖突的情況：

• 網(wǎng)絡(luò)中存在設(shè)備與網(wǎng)關(guān)IP沖突：影響危害極大，會導致所有終端無法正常上網(wǎng)。
• 網(wǎng)絡(luò)中的設(shè)備終端彼此IP沖突：沖突設(shè)備網(wǎng)絡(luò)異常。

IP沖突致網(wǎng)絡(luò)異常的原理

網(wǎng)關(guān)IP沖突：

所有上網(wǎng)終端會學到錯誤的ARP網(wǎng)關(guān)表項，如上述拓撲中所有內(nèi)網(wǎng)設(shè)備的網(wǎng)關(guān)ARP條目都可能會學成PC3的，這樣上網(wǎng)數(shù)據(jù)包就會交給PC3導致上網(wǎng)異常 。

終端IP沖突：

• 其它終端訪問某個IP時就會學到非預期設(shè)備的ARP表項（如要訪問PC1但實際ARP表學到的是PC2），導致訪問目標錯誤；
• 同理，出口網(wǎng)關(guān)也會學錯沖突設(shè)備的ARP表項，本來要給PC1的包錯誤的給了PC2，導致合法終端設(shè)備上網(wǎng)異常

如何確認存在IP沖突

因為ARP問詢和免費ARP都是廣播包，所以這種同一局域網(wǎng)的網(wǎng)絡(luò)下隨便找個交換機口子插入PC，打開抓包工具Wireshark抓包即可：

比如簡單抓個五分鐘后，過濾“ARP”，你就能看到“Duplicate IP address configured (X.X.X.X)”的描述，表示“X.X.X.X IP地址檢測到?jīng)_突”，這是Wireshark直接解析好的：

然后對比一下源MAC，一下子就找出來了哪些終端配了相同的IP地址：

其它方式

抓包分析是一種本源分析數(shù)據(jù)包的辦法，一點也不復雜，華為/H3C/銳捷等設(shè)備命令也是通過獲取數(shù)據(jù)包給你總結(jié)并顯示出來的，但很多場景下你可能是設(shè)備不支持、沒操作權(quán)限等尷尬處境，依賴設(shè)備不如靠自己。

還有一些比如ARP掃描的小工具，往往要多次操作掃描并記錄MAC和IP的對應情況才能完整的找出來，我個人覺得挺麻煩