交换机如何设置控制IP地址冲突故障

  网络用户如果没有按照规定设置IP地址的话，IP地址冲突现象就不可避免，一旦这种现象频繁发生，不但会影响上网用户的冲浪效率，而且也不利于局域网网络的稳定运行。为了实现提高局域网运行稳定性，让上网用户无法抢用局域网中的其他IP地址。

一、组网情况

    分公司局域网大约有150个网络节点，这些网络节点平均分布在六个楼层，每一个楼层中的网络节点都通过100M网线与普通二层H3c交换机保护连接，而每一个普通二层交换机又通过光纤线缆连接到H3C核心交换机上；为了保证网络访问安全，所有网络节点都通过某公司AF1520硬件防火墙与Internet网络互联互通。目前，分公司局域网使用的有 10.168.163.0网段的IP地址，该网段中使用的默认网关地址为10.168.163.1，子网掩码地址为255.255.255.0；由于该网段最多能拥有250多个IP地址，在平时工作中实际只用到150多个地址，由于局域网采用了静态地址分配方法，每当电脑系统发生突然崩溃或遭遇病毒攻击不能正常启动时，员工都随意重新安装系统、修改上网地址，结果局域网中频繁出现IP地址冲突现象，这不但严重影响了他人的正常上网访问，而且也加大了维护工作量。

    为了有效避免上网用户任意改动IP地址，最初打算采用地址绑定的方法，将工作站的IP地址与对应网卡设备的物理地址绑定在一起，但是这种方法治标不治本，用户仍然可以采用修改网卡物理地址的方法，来窃取他人的IP地址，很显然这种不是最有效的解决办法。

二、应对方案

    经过上网查阅相关资料以及深入分析之后，和另外一位网络管理员决定在核心交换机上对普通工作站的IP地址和网卡物理地址进行绑定操作，但不能解决上网用户随意设置IP地址的现象，因为某个IP地址一旦被设置绑定后，虽然上网用户不能继续抢用这个IP地址，但是他仍然可以抢用局域网中处于空闲的IP地址，这样一来IP地址冲突现象仍然可能会发生，仍然无法有效避免地址冲突故障。要想彻底解决IP地址冲突故障，决定将局域网中已分配出去的IP地址绑定到对应网卡设备上，而且还需要对那些处于空闲状态的IP地址进行绑定，这样一来上网用户既不能使用已经连网工作站的IP地址，又不能使用局域网中空闲的IP地址，因此只要局域网中的上网用户随意改动IP地址的话，他就不能正常接入到局域网网络中。这样也带来了另外一个麻烦，如果局域网中有新的用户需要上网访问时，必须事先向网络管理员单独申请上网，网络管理员接受到申请后需要登录进入交换机后台管理系统对空闲地址进行放号，上网用户才能正常连接到局域网中。实践证明，这种方法不但可以有效避免IP地址冲突故障发生，而且还能有效地防止网络病毒通过局域网非法传播，从而可以有效地保障局域网的稳定运行!


三、实施过程
    1、将局域网中默认网关地址10.168.163.1绑定到对应的物理地址上，这样可以有效控制局域网中ARP病毒的爆发；对已经工作站的IP地址执行绑定操作，最后将那些处于空闲状态的IP地址集中绑定地址上了。
    2.在绑定网关地址时，以系统管理员身份登录进入H3c路由交换机后台，在该系统的命令行状态执字符串命令“system”，将系统切换到交换配置全局状态；
    3.在全局配置状态下，输入字符串命令“arp 10.168.163.1 0215.9cae.1156 arpa”，单击回车键后，默认网关地址10.168.163.1就被成功绑定到0215.9cae.1156MAC地址上了，其他工作站日后上网时如果抢用10.168.163.1地址时，就会出现无法上网的故障现象，如此一来整个局域网的运行稳定性就能得到保证了。
    4.为了防止用户抢用其他IP地址，我们需要把已经上网的150个左右网络节点地址绑定起来；在交换机后台系统的全局配置状态下，执行“display arp”字符串命令，之后将显示出来的交换机ARP表中的内容复制拷贝到本地纪事本编辑窗口中，通过简单的编辑修改后，再将修改后的ARP表内容复制粘贴到交换机ARP表中
    5.对于剩下100个左右的空闲IP地址，我们可以采用手工方法依次将每一个空闲的IP地址绑定到虚拟的MAC地址上，例如要将 10.168.163.156地址绑定到071e.33ea.8975上时，我们可以在交换机后台系统的全局配置状态下，执行字符串命令“arp 10.168.163.156 071e.33ea.8975 arpa”，之后我们再按同样的方法将其他空闲IP地址绑定到虚拟MAC地址071e.33ea.8975上。

    通过上面的配置，局域网中的所有IP地址都被成功控制起来，任何用户私自改动IP地址，都将不能接入网络;整个控制过程虽然有点复杂，但是可以很好地控制网络的接入安全，避免不明真相的工作站将网络病毒或木马程序带入到局域网工作环境中。当然，还不能保证万无一失，还有一种情况会引发地址冲突现象发生，那就是非法用户窃取了交换机ARP列表中的内容，他只要同时修改自己工作站的网卡物理地址以及IP地址，并且在被窃用户没有在线的情况下，就能成功抢用他人地址进行上网访问了，不过这种情况出现的可能性相当低，除非网络管理员有意而为之。

很详细。

感谢楼主分享，这个很实用。

感谢楼主的精彩分享，学习了！

非常实用的案例，感谢楼主分享。