“摆脱”由操作不当引起的麻烦
由操作不当因素造成的IP地址冲突现象可能是最为常见的,这种现象往往会频繁出现于以下几个场合:一是一些用心不良的上网用户为了偷偷获得某台重要主机系统的管理员权限,而有意偷用目标重要主机系统的IP地址,从而造成上网地址冲突现象;二是局域网中的非法破坏分子,为了实现破坏局域网稳定运行的目的,故意制造IP地址冲突故障,比方说,他们只要将自己的计算机IP地址,设置成与局域网核心计算机或核心网络设备的IP地址相同,就会造成局域网访问不能正常的现象;三是普通上网用户在网络访问过程中,由于无意中的操作不当,造成了上网地址发生冲突现象,例如在反复安装、卸载杀毒软件或应用程序的时候,在频繁查杀网络病毒的时候,在不断调整上网参数的时候,很容易会发生无法上网的故障,对待这样的网络故障,很多上网用户会自己动手,随意调整自己系统的配置参数,这样一来发生地址冲突现象的几率就十分巨大。
很明显,无论是有意操作还是无意操作,都有可能造成上网地址发生冲突的故障;为了“摆脱”由操作不当引起的IP地址冲突故障,不少网络管理员往往会通过地址绑定的方法,直接将局域网计算机的IP地址与对应的网卡MAC地址互相绑定在一起,如此一来就限定了特定的网卡设备只能使用特定的IP地址进行上网连接,而使用其他IP地址进行上网时就无法成功,那样的话恶意用户即使偷偷抢用了重要主机系统的IP地址,他也不能顺利地连接到网络中,那么地址冲突现象也就不会发生了;不过仔细分析一下,我们或许会发现这种方法也许并不是最有效的解决办法,这是什么原因呢?
这是因为上面的地址绑定方法,只能限制恶意用户偷偷使用局域网中重要主机系统的上网地址,但是不能有效防范合法用户自己操作不当引起的地址冲突现象;例如,合法计算机的IP地址虽然被成功绑定到特定网卡设备上了,但是合法用户仍然可以使用其他IP地址进行上网,当合法用户由于自己操作上的不当,随意选用了其他上网地址进行网络连接时,还是可能会出现地址冲突现象的,这个过程与合法用户是否修改网卡MAC地址没有任何关系。具体地说,简单地将IP地址与网卡MAC地址绑定在一起的方法,只能有效防范恶意用户偷偷抢用别人的IP地址,但是无法防范合法用户操作上的无意失误引起的IP地址冲突现象,很明显上面的地址绑定方法,并不能彻底“摆脱”由操作不当引起的麻烦。
有鉴于此,在规模比较大的局域网网络中,我们必须在核心交换机上同时采用两种地址绑定操作,以便彻底“摆脱”由操作不当引起的麻烦:一种是将全部可信任计算机的IP地址与它们的网卡MAC地址绑定在一起,另外一种就是将其他没有被使用到的空闲IP地址集中绑定到一个根本不存在的MAC地址上。经过这样的双重地址绑定操作,局域网中的任何一台可信任计算机系统只能使用事先指定的IP地址进行上网连接,而不能随意使用其他的地址进行上网访问。日后,要是有新的可信任计算机需要接入到局域网网络中时,网络管理员只要从核心交换机上释放一个空闲的上网地址出来,并且将这个释放出来地址绑定到新的可信任计算机网卡MAC地址上。这种双重地址绑定的方法,经过实践测试,笔者发现这种方法在“摆脱”由操作不当引起的地址冲突故障方面,效果非法的好,而且这种方法在防止ARP病毒袭击方面也有不错的效果。
另外,还有一种极端情况,即使我们采用双重地址绑定的方法来防范,仍然还可能发生地址冲突现象:那就是恶意用户同时得到了目标重要主机的网卡MAC地址以及IP地址,而且可信任计算机恰好又不在网络上时,恶意用户只要强行将自己计算机的网卡MAC地址修改成重要主机的网卡MAC地址,再将自己计算机的IP地址设置成目标IP地址,那样的话地址冲突就会发生了。不过,从实际管理网络的过程中,笔者发现这种极端情况出现的几率非常低,毕竟这种情况的出现要同时符合三个条件:一要获得重要主机的MAC地址,二要获得对应系统的IP地址,三要确保重要主机系统不能在线。
当然,对于规模不大的局域网网络来说,可能局域网中没有核心交换机,此时我们只要在客户端系统中执行简单的地址绑定操作就可以了。在进行这种操作时,我们可以先打开客户端系统的“开始”菜单,点选其中的“运行”选项,在弹出的系统运行对话框中,执行“cmd”命令,打开DOS命令行工作窗口;在该窗口中输入“ipconfig /all”命令,单击回车键后,从对应的结果界面中得到对应系统的网卡MAC地址与上网地址,将这些地址信息记录下来;之后再在DOS命令行工作窗口中,执行“arp X Y arpa”字符串命令(其中X为目标IP地址,Y为网卡MAC地址),完成地址绑定操作。