网络ip地址冲突会出现什么情况(ip地址和网络硬件地址发生冲突)
网络安全应用中终端IP地址冲突的管理与控制
最近客户反映局域网经常出现IP地址冲突,影响正常的业务通信。
客户提出自动获取所有员工电脑的IP地址,禁止私自手动配置IP地址。打印机应通过网络共享,因此应使用固定的IP地址。
根据要求,实施方案是将所有员工电脑的IP地址设置为DHCP获取,然后部署IPSG,让员工只能使用DHCP服务器分配的IP地址,这样才能正常连接网络。如果他们私下指定IP地址,他们将无法访问网络。网络拓扑如下
作为DHCP的网关示意图
IPSG,IP Source Guard是一种基于IP/MAC的端口流量过滤技术,可以防止局域网内的IP地址欺骗攻击。
通过在设备接入用户端的端口上启用IPSG功能,可以对端口接收的报文进行过滤和控制,阻止非法报文通过端口,从而限制未授权设备(如非法主机假冒合法用户的IP接入网络)非法使用网络资源,提高网络的安全性。
g . IPSG应用程序生产环境:
在网络中,经常会出现使用假冒合法用户IP/MAC信息的消息访问或攻击网络的情况,导致合法用户无法获得稳定安全的网络服务。配置IP消息检查功能以防止上述情况。当启用IP报文检查功能时,默认情况下将检查IP报文中的IP、MAC、VLAN和接口信息,以进行绑定表匹配。只有与绑定表匹配的IP报文才能被转发,否则将被丢弃。
g . IPSG的执行条件:
由于该函数是基于绑定表进行匹配检查的,因此:
1)对于DHCP环境下的用户,需要启用DHCP Snooping来自动生成动态绑定表。
2)对于没有DHCP静态配置IP的用户,需要手动配置静态绑定。
IPSG实施步骤:
1.在接入交换机上配置DHCP侦听功能,生成DHCP侦听动态绑定表。
DHCP Snooping功能的实现在“”一文中已经有详细描述,这里不再赘述。dhcp侦听相关配置命令参考
2.接入交换机上连接到员工主机的接口启用了IPSG功能。
IPSG配置命令参考
3.打印机配置有固定的IP地址
根据实施文档为打印机配置规划的IP地址信息。
总结:经过上述IPSG配置,终端计算机自动获取IP地址后,交换机会生成一个dhcp snooping user-bind表(显示DHCP snooping user-bind all)。此时,如果员工手动设置IP地址,则无法正常使用网络,即使手动设置的IP地址是自动获取的IP地址,也无法使用网络。
本文介绍的功能是限制终端电脑手动更改IP地址,而不是限制终端接入网络的位置,即只要在网络服务范围内,能正常自动获取IP地址信息,就允许使用网络。
g . IPSG实施工作的常见问题:
1.是否要为聚合交换机配置ip源检查用户绑定启用?如图所示,聚合交换机的g0/0/8端口有终端接入。
下面是实现的思路。我们在配置一个工具和一个命令的时候,首先要明白这个工具命令的作用是什么,能实现什么功能,可能会造成什么后果。
ip source check user-bind enable命令是启动ip报文的检查功能,包括IP、MAC、VLAN、接口号等信息。其作用是将读取的信息与表中的信息进行比较,从而过滤非法终端,结果是非法终端无法使用网络。于是答案出来了。如果该接口连接到需要控制的计算机终端,则需要配置该命令,否则,不需要配置该命令。
2.配置ip源检查用户绑定启用后,交换机卡住或无法访问互联网。
1)上行端口配置了ip源检查用户绑定使能,但上行端口不能配置IPSG检查功能。
2)接入交换机的vlan下配置了ip source check user-bind enable,上行端口也包含这个vlan,导致接入交换机无法与这个vlan的网关设备正常通信。解决方法是去掉这个命令配置,在接口上配置ip source check user-bind enable,或者使用user-bind static mac-address全局绑定上行网关设备对应的三层接口的mac地址,只绑定mac地址,不绑定ip地址。如果上行链路是中继链路,建议在接口上配置ip源检查用户绑定启用。
3.显示DHCP snooping user-bind all发现绑定表已经创建并生成,但是IPSG函数没有生效。
1)检查指定接口或VLAN是否启用了IPSG功能。该功能仅在指定接口或VLAN上启用IPSG后生效。当上行链路是路由链路时,最好在vlan下配置ip源检查用户绑定使能,当上行链路是中继链路时,最好在接口上配置ip源检查用户绑定使能。
2)要在真机上实现。