https://m.toutiao.com/is/iLD4pd8r/ 

如果网络用户不按照规定设置IP地址，IP地址冲突是不可避免的。 这种现象一旦频繁发生，不仅会影响互联网用户的上网效率，而且也不利于局域网网络的稳定运行。

为了提高局域网运行的稳定性，我们不能等到IP地址冲突故障发生才想办法处理。 相反，我们应该主动阻止互联网用户抢占局域网内的其他IP地址。 为此，本文从实践角度出发。 ，通过巧妙设置开关来控制反复出现的IP地址冲突故障！

1、组网情况

例如：局域网中有大约150个网络节点。 这些网络节点均匀分布在六层楼。 每层网络节点均经过保护并通过100M双绞线连接到普通二层交换机，每台普通二层交换机通过1000M光缆连接到QuidWay S9300系列路由交换机； 为了保证网络访问安全，所有网络节点均通过启明星辰硬件防火墙与Internet网络互联。

目前，单位局域网使用10.168.163.0网段的IP地址。 该网段使用的默认网关地址为10.168.163.1，子网掩码地址为255.255.255.0； 因为这个网段可以有250多个IP地址，日常工作中实际用到的只有150多个。 显然，地址空间余量足够大，可以满足工作站数量不断增加的需求。

但由于公司局域网采用静态地址分配方式，每当工作站系统突然死机或遭遇病毒攻击而无法正常启动时，互联网用户就会为所欲为，重装系统、随意修改互联网地址。 因此，局域网中经常出现IP地址冲突的情况。 ，不仅严重影响其他人正常上网，而且增加了网络管理员的维护工作量。

为了有效防止互联网用户随意更改IP地址，笔者计划采用地址绑定的方式，将工作站的IP地址与对应网卡设备的物理地址进行绑定； 但该方法尚未正式实施，并受到同一作者的批评。 一位网络管理员同事表示反对。 他认为这种方法只是治标不治本，因为互联网用户仍然可以通过修改网卡的物理地址来盗取别人的IP地址。 显然，这不是最有效的解决方案。

2. 对策

笔者和另一位网络管理员在网上查阅相关资料并进行深入分析后，决定将普通工作站的IP地址与核心交换机上网卡的物理地址进行绑定。 但单纯进行绑定操作并不能解决上网问题。 用户随意设置IP地址的现象是因为一旦设置并绑定了一个IP地址，虽然互联网用户无法继续抢占这个IP地址，但仍然可以抢占局域网中闲置的IP地址。 这样，仍然可能会出现IP地址冲突的情况。 这也是很多网络管理员困惑的问题：将所有工作站使用的IP地址绑定到核心交换机中对应的网卡设备后，仍然无法有效避免地址冲突故障。

为了彻底解决IP地址冲突问题，我们不仅需要将局域网中分配的IP地址绑定到对应的网卡设备上，还需要绑定那些闲置的IP地址，这样上网的用户就无法请使用已连接到网络的工作站的 IP 地址，也不能使用 LAN 中空闲的 IP 地址。 因此，局域网内的互联网用户只要随意更改IP地址，就无法正常访问局域网网络。

但这种配置也带来了另一个麻烦，那就是如果局域网中有新用户需要上网，他们无法自己选择IP地址，而必须提前向网络管理员单独申请上网。 管理员接受申请后，需要登录交换机后台管理系统，为空闲地址分配号码，以便互联网用户能够正常连接局域网。

实践证明，该方法不仅能有效避免IP地址冲突故障，还能有效防止网络病毒通过局域网非法传播，从而有效保证局域网的稳定运行！

三、实施过程

根据以上理论分析，笔者计划首先将局域网中的默认网关地址10.168.163.1绑定到对应的物理地址上，这样可以有效控制局域网中ARP病毒的爆发； 然后想办法绑定已经在线的工作站的IP地址。 进行一定的操作，最终将空闲的IP地址集中绑定到地址上。 这样就可以达到一石二鸟的效果了。

在绑定网关地址时，笔者首先以系统管理员身份登录QuidWay S9300系列路由交换机后端管理系统，在系统命令行状态下执行字符串命令“system”，将系统切换到全局交换配置状态；

接下来，在全局配置状态下，输入字符串命令“arp 10.168.163.1 0215.9cae.1156 arpa”。 点击回车键后，默认网关地址10.168.163.1与0215.9cae.1156 MAC地址成功绑定。 ，如果以后其他工作站上网时抢到了10.168.163.1地址，将无法上网。 这样就可以保证整个局域网的运行稳定性。

为了防止用户抢占其他IP地址，我们需要绑定已经在线的约150个网络节点的地址。 由于需要绑定的地址数量较多，我们简单的依靠手动的方式来获取各个工作站网卡的物理地址和IP地址。 ，工作量会非常巨大。 为此，笔者在交换机后台系统的全局配置状态下执行“display arp”字符串命令，然后将交换机ARP表的显示内容复制到本地笔记本编辑窗口中。 ，经过简单的编辑和修改后，然后将修改后的ARP表内容复制粘贴到交换机ARP表中，这样就可以快速完成所连接工作站的地址的绑定任务。

对于剩下的100个左右的空闲IP地址，我们可以通过手动的方式将每个空闲IP地址依次绑定一个虚拟MAC地址，例如将10.168.163.156地址绑定到071e.33ea.8975时，我们可以执行在交换机后台系统全局配置状态下输入string命令“arp 10.168.163.156 071e.33ea.8975 arpa”，然后用同样的方法将其他空闲IP地址绑定到虚拟MAC地址071e上。 33ea.8975 上。

完成上述地址绑定任务后，任何用户都不能随意更改IP地址； 如果此时有新用户需要使用免费的10.168.163.156地址上网，网络管理员可以按照以下步骤更改10.168。 将163.156地址从绑定地址列表中释放：

首先，在QuidWay S8500系列路由交换机后台管理系统中执行“system”命令，将系统状态切换到全局配置状态。 在此状态下输入字符串命令“display arp”并按回车键。 检查ARP列表中10.168.163.156地址是否空闲。 如果目标IP地址空闲，我们可以继续执行以下释放步骤：

其次，输入字符串命令“no arp 10.168.163.156 071e.33ea.8975 arpa”，然后按回车键。 目标IP地址10.168.163.156将从地址绑定列表中释放；

接下来，将10.168.163.156地址告诉需要上网的用户，让他将IP地址设置到对应的工作站系统上，这样新用户就可以成功访问单位局域网网络；

之后，在核心交换机后台管理系统中，继续执行字符串命令“display arp in 10.168.163.156”。 从返回的结果接口可以看到10.168.163.156地址对应的网卡物理地址为 00bb.ebc3.c6d0 ；

得到MAC地址后，我们可以继续执行字符串命令“arp 10.168.163.156 00bb.ebc3.c6d0 arpa”，这样新上网用户的IP地址和网卡物理地址就成功绑定在一起了； 最后，按照步骤执行字符串命令“quit”和“save”，将上述配置操作保存到交换机系统中，结束交换机配置任务。

4。结论

通过以上配置，成功控制局域网内所有IP地址。 任何私下更改IP地址的用户将无法访问网络。 虽然整个控制过程有点复杂，但是可以很好的控制网络访问安全。 避免不明工作站将网络病毒或木马程序带入局域网工作环境。

当然，上述控制方案并不能保证万无一失。 还有一种情况会造成地址冲突，即非法用户窃取了交换机的ARP列表内容。 他只需要同时修改自己工作站网卡的物理地址和IP地址，并且在被盗用户不在线的情况下，就可以成功地使用别人的地址上网。 然而，除非网络管理员故意这样做，否则发生这种情况的可能性非常低。

▼▼▼