当前位置：首页 > 实用文档 > 其他范文> 局域网中IP地址冲突的问题

局域网中IP地址冲突的问题

时间：2022-11-05 07:52:57 其他范文收藏本文下载本文

局域网中IP地址冲突的问题（共5篇）由网友“LUNO”投稿提供，下面是小编为大家整理后的局域网中IP地址冲突的问题，以供大家参考借鉴!

局域网中IP地址冲突的问题

篇1：局域网中IP地址冲突的问题

我们知道，对于在Internet和Intranet网络上，使用TCP/IP协议时每台主机必须具有独立的IP地址，有了IP地址的主机才能与网络上的其它主机进行通讯，随着网络应用大力推广，网络客户急剧膨胀，由于静态IP地址分配，IP地址冲突的麻烦相继而来。IP地址冲突造成了很坏的影响，首先，网络客户不能正常工作，只要网络上存在冲突的机器，只要电源打开，在客户机上都会频繁出现地址冲突的提示：“如果网络上某项应用的安全策略（诸如访问权限，存取控制等）是基于IP地址进行的，这种非法的IP用户会对应用系统的安全造成了严重威胁。

分析原因

出现问题有时并不能及时发现，只有在相互冲突的网络客户同时都在开机状态时才能显露出问题，所以具有相当的隐蔽性。分析原因有如下几种情况可以造成IP地址冲突。

1、很多用户对TCP/IP并不了解，不知道“IP地址”、“子网掩码”、“默认网关”等参数如何设置，有时用户不是从管理员处得到的上述参数的信息，或者是用户无意修改了这些信息；2、管理员或用户根据管理员提供的上述参数进行设置时，由于失误造成参数输错；3、在客户机维修调试时，维修人员使用临时IP地址应用造成；4、有人窃用他人的IP地址。

解决方法

接到冲突报告后，我们首先确定冲突发生的VLAN。通过IP规划的vlan定义，和冲突的IP地址，找到冲突地址所在的网段。这对成功地找到网卡MAC地址很关键，因为有些网络命令不能跨网段存取。

首先将客户机与网络隔离，让非法的IP地址的微机在网上运行，网管员便可以设法找到它了。应用网络测试命令有ping命令和arp命令。使用ping命令，假设冲突的IP地址为10.119.40.40，在msdos窗口，命令格式如下，其中斜体部分是命令结果。

C:WIDOWS〉ping 10.119.40.40

Request timed out

Reply from 10.119.40.40 : bytes=32 time〈1ms TTL=128 略

我们之所以要ping这台机器，是出于两个目的，首先我们要知道我们要找的机器确实在网络上，其次，我们要知道这台机器的网卡的MAC地址，那么我们如何知道它的MAC地址哪？这就需要使用第二个命令arp：arp命令只能在某一个VLAN中使用有效，它是低层协议，并不能跨路由。

C:WIDOWS〉arp -a

Interface: ...... on Inerface ......

Internet Address/Physical Address/Type

10.119.40.40/00-00-21-34-63-56/ dynamic 以下略

以上列表表示出冲突IP地址10.119.40.40 处网卡的MAC地址为00-00-21-34-63-56。接下来我们要找的是MAC地址为00-00-21-34-63-56的网卡的具体物理位置。

网络简介中已经说明，每台客户机的网卡直接连接到第二级交换机上，接下来面对大量的以太网交换机，我们要查找是冲突MAC所对应交换机端口，

本网络中与客户连接的设备是Bay的303/304，本文以303为例，描述如何查找某一个MAC地址所在的端口位置。Bay303的网管有多种方式，下面仅以Web浏览器方式描述查找非法MAC的方法。

在查找之前，首先要确定VLAN内的交换机位置，查出这些交换机的IP地址，使用交换机地址可以访问该交换机的网管信息。

* 在网管员的机器上启动浏览器

* 键入交换机的IP地址

* 提示登陆信息后输入用户名和密码

* 进入“MAC Address Table”选项

显示表格如下：

index/mac address/learned on port/learning method/filter packets to this address

1 00:00:21:34:63:56 13 dynamic no

2 00:00:81:65:c3:a0 n/a static no

3 00:00:a2:f7:c3:e4 25 dynamic no

4 00:00:21:34:63:56 2 dynamic no

以下略。

此时你可以看到索引的第4项，它正是我们要查找的MAC地址，它的端口号为2。根据综合布线资料，可以查找出相应的信息点的物理位置，从而定位到所连接的微机位置。当然，在此是针对特有的交换机所举的例子，在实际工作中我们要查找很多台交换机，才能找到我们要找的MAC地址，当VLAN中存在大量的交换机时，我们需要在这些交换机中逐个去查找，直到找到为止，这是一个相当烦琐的事情。

对于某一交换机的端口中存在下联交换机的情况，因为交换机支持多个MAC地址，会在上级的MAC表中有下级MAC的记载，所以首先查找上级交换机MAC表，确定较具体位置后再去查找下一级交换机，这样会大幅度地缩减查找范围。

管理策略

对于局域网来讲此类IP地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须深思加以解决。目前有两种方案，一是使用动态IP地址分配（DHCP），另一种方案是使用静态地址分配，但必须加强MAC地址的管理。

用动态IP地址分配（DHCP）的最大优点是客户端网络的配置非常简单，在没有管理员的帮助和干预的情况下，用户自己便可以对网络进行连接设置。但是，因为IP地址是动态分配的，网管员不能从IP地址上鉴定客户的身份，相应的IP层管理将失去作用。而且使用动态IP地址分配需要设置额外DHCP服务器。

使用静态IP地址分配可以对各部门进行合理的IP地址规划，能够在第三层上方便地跟踪管理，如果我们通过加强对MAC地址的管理，同样也会有效地解决这一问题。

在网络用户连网的同时，建立IP地址和MAC地址的信息档案，自始至终地对局域网客户执行严格的管理、登记制度，将每个用户的IP地址、MAC地址、上联端口、物理位置和用户身份等信息记录在网络管理员的数据库中。试想，在我们上述的案例中，如果知道了非法用户的MAC地址后，我们可以从管理员数据库中进行查寻，如果我们对MAC地址记录全面，我们便可以立即找到具体的使用人的信息，这会节省我们大量宝贵时间，避免大海捞针的烦恼。同时我们对于某些应用应避免使用IP地址来进行权限限制，如果我们从MAC地址上进行限制相对来说要安全的多，这样可以有效地防止有人窃取IP地址的侥幸行为。

篇2：局域网中IP地址的设置

TCP/IP协议，即Transmission Control Protocol/ Internet Protocol传输控制协议/因特网协议，是目前最完美并广为接受的通信协议之一，它不仅应用于在广域网中实现不同类型的网络以及不同类型的芯片和操作系统的主机之间的相互通信，而且也广泛应用于各种类型的以太网中，Windows 95/98的对等网也好，Windows NT、Unix、Linux、NetWare的也罢，目前都广泛地支持该协议。如何为所有的设备各自分配一个IP地址既是一件技术含量很高的工作，下面我们分别以Windows 95/98对等网和Windows NT Server/Client网为例，介绍一下IP地址的分配与设置问题。

一、IP地址简介

网络上的每一台主机和进行网管的设备都应当至少有一个唯一的IP地址，以便于能够准确无误地寻找到某个特定的设备。IP地址是一个四字节（32位）的串，每个字节写成一个十进制数，字节间用点号（即句号）分隔开，如192.168.8.88。由于IP地址的每个部分都是1字节，所以其值必须在0至255之间（包含0和255）。IP地址包括两个部分，即网络部分和主机（或节点）部分。如何简单地将前两个字节规定为网络号，那么一方面任何网络上（即使是广域网）都不可能有216（65536）个以上的主机，而另一方面由于某些较小的网络节点数较少又会浪费地址空间。为了有效地利用有限的地址空间，IP地址被根据头几位划分为三“类”，即A类、B类和C类。

＊ A类第一个字节从0到127，虽然只有127个网络号，但每个网络最多可容纳16000000个主机（连接的计算机），只可惜拥有这么多主机的网络几乎根本不存在。

＊ B类第一字节从128到191，拥有16000个网络号，每个网络最多可容纳60000个主机。

＊ C类第一字节从192到223，拥有2080800个网络号，每个网络最多可容纳254个主机。

例如，18.88.89.98是一个A类地址，其中18为网络号，88.89.98为主机号；128.188.189.198是一个B类地址，其中128.188为网络号，189.198为主机号；198.168.186.169是一个C类地址，其中198.168为网络号，186.169为主机号。

二、固定IP地址的设置

（一）分配的IP地址能够满足网络的需求

我们的IP地址空间一般都可以通过直接向当地的ISP（一般为当地的电信部门）提出申请而获得。当分配给您的IP地址从网络号到主机号都完全能够满足局域网的需求时，那您可实在是太幸运了，只要简单地为每台主机和可进行网管的设备分别指定一个IP地址即可，当然您应当建立一个必要的日志文件对IP地址的分配情况作一个记录，以便将来进行的查询。

1．Windows 95/98主机的IP地址设置

安装TCP/IP协议。在控制面板?网络?配置选项卡中单击“添加”按钮，从列表框中选中“协议”后再次单击“添加”按钮，然后在“厂商”列表框中选中“Microsoft“，在“网络协议”列表框中选中“TCP/IP”，单击“确定”按钮并根据提示插入Windows 98安装光盘即可完成。当然，您需要重新启动计算机以便使新的设置生效。

指定IP地址。在控制面板－>网络－>配置选项卡中选中与网卡绑定的TCP/IP协议（如图2），单击“属性”按钮，在IP地址选项卡中选中指定IP地址选项按钮，然后键入为该主机分配的IP地址和子网掩码（如图3）。若分配的是A类IP地址，则其子网掩码为255.0.0.0；若分配的是B类IP地址，则其子网掩码为255.255.0.0；若分配的是C类IP地址，则其子网掩码为255.255.255.0。应当注意的是，主机部分全部为0或255的IP地址不能使用，因为该值已经定义并保留为网络内部的广播地址。

2．Windows NT主机的IP地址设置

安装TCP/IP协议。在控制面板－>网络－>协议选项卡中单击添加按钮，然后再在网络协议列表框中选中TCP/IP协议后，单击确定按钮，根据提示插入Windows NT安装盘，待机器重新启动后协议添加完成。

指定IP地址。在控制面板－>网络－>协议选项卡的网络协议列表框中选中TCP/IP通讯协议，单击属性按钮。由于Windows NT可以安装两块网卡，因此应当在IP地址－>适配器下拉列表框中选定不同的网卡分别进行配置。选中指定IP地址选项按钮后，分别键入为其分配的IP地址和子网掩码（如图4）。默认网关指用以联接到其它网络的路由器的IP地址，但若以本机充当联接两个不同子网的路由器则可将其设为本机的地址。

3．网连设备的IP地址设置

以3om Super Stack II Switch 1100 Hub为例。

（1）建立与终端的连接。用一根随机赠送的九芯交叉电缆将计算机的串口与Hub 的Console端口连接起来，启动计算机，运行附件中的仿真终端程序（Hyper Terminal），建立新的连接，并在Connect Using下拉列有框中选择以串口连接（Direct to Com）的方式，然后在串中属性中将波特率（Bits per second）设置为9600，数据位(Data bits)设置为8，奇偶校验位(Parity)设置为无，停止位(Stop bits)设置为1位，流量控制(Flow control)设置为无（如图5）。

（2）登录。Hub接电，建立连接后，按回车键显示登录信息，输入缺省用户名及口令。

Password: security

进入主菜单，显示信息如下：

（3）配置IP地址。在Select menu option行键入ip并回车，进入IP子菜单后，显示如下内容：

在Select menu option行键入interface并回车，显示如下内容：

在Select menu option (ip/interface)行输入命令define，然后根据提示分别键入其IP address（IP地址）、subnet mask（子网掩码）和default gateway（缺省网关），Enter SLIP address和Enter SLIP subnet mask二项内容可以忽略。配置完毕，系统将把已经配置好的信息重新显示一遍以进行确认。此时，键入q，可回到上一级菜单。

至此IP地址已配置完毕，可用Ping 或 Display来验证。

（二）分配的IP地址仅能满足对主机数量的需求

想必您也知道，由于上网一族的不断扩大，当今IP地址资源已经所剩无几了。因此，您所分得的一个C类的地址或许远不能满足您欲在局域网中再建立若干子网的需要，于是您不得不使用子网掩码（Subnet Mask）来一解燃眉之急。

子网掩码也以四个字节24 bit表示，默认子网掩码如表所示。其主要功能包括两个方面，一是用来区分IP地址的网络号和主机号，二是用来将某个类地址再划分为若干子网。

子网掩码中为1的部分定位网络号，为零的部分定位主机号。因此，当IP地址与子网掩码二者相与（and）时，非零部分即为网络号，为零部分即为主机号。如某设备的IP地址为168.186.89.88，其二制表示为10101000 10111010 01011001 01011000，由于其属于B类地址，故其子网掩码为255.255.0.0，其二进制表示为11111111 1111111 00000000 00000000二者相与的结果为10101000 10111010。

既然子网掩码中为1的部分可以定义为网络号，那么我们就可以通过修改子网掩码的方式，即将掩码中原本为0的最高位部分修改为1，从而使得本来应当属于主机号的部分改变成为网络号，进而达到划分子网的目的。例如，您得到了一个C类网络地址198.189.98，毫无疑问，所有的设备从198.189.98.0 － 198.189.98.254都将处于同一个网络之中，但您需要将自己的网络划分为5个子网以便于管理当如之何？很简单，我们可以将255.255.255.0中第四个字节中的前三位再拿出来充当子网掩码，即将原第四字节由00000000修改为11100000，由于11100000的十进制值为224，所以应当将子网掩码设置为255.255.255.224。这三位共有000、001、010、011、100、101、110、111等八种不同的组合方式，除去000和111作为保留地址不能够使用外，尚有六种组合可资建立子网。各子网的前三个字节当然仍然是198.189.98，所以各子网提供的IP地址范围为：

由此可见，子网掩码的位数越多，所取得子网的数量也就越多，但每个子网中所容纳的主机数也就越少，同时损失的IP资源也就越多，这是因为每个子网都会保留全0或全1的两个地址作为广播地址使用。

（三）网络及主机数量均不能满足需要

随着IP地址资源的日趋枯竭，可供分配的IP地址越来越少，往往一个拥有几百台计算机规模的网络只能得到区区几个IP地址，真的是让人愁眉不展。对于这种情况，只能采取代理服务器的方式，实行内部网址与公用网址的相互转换而实现。IANA（Internet Assigned Numbers Authority）将下列地址保留作为私人IP地址空间，专门用于企业内部局域网的使用。它们分别是：

您可以根据自己的需要（依网络主机和设备的数量而定）选用适当的地址类，在企业内部，您完全可以放心大胆地将该地址当作公用IP地址一样地使用和配置。通过代理服务器，一方面，当局域网内部的主机访问Internet时，代理服务器接受来自该私用地址的请求，从公用Internet上获取所请求的信息，并返回给原始用户，或者干脆直接将来自内部的私用IP地址转换为公用的IP地址以实现与Internet主机间的通信，从而使内部网络内的所有主机都具有通过代理服务器访问Internet的能力。当然，如果您需要，也可以对某些主机的访问能力进行必要的限制。另一方面，外部的主机也可以通过代理服务器访问您指定的允许外界访问的主机，从而实现内外部主机的双向通讯。三、动态IP地址的设置

动态IP地址，顾名思义就是设备所取得的IP地址是非固定的，是可以动态分配和取得的。使用动态IP地址的原因主要有两个：一是可以用较少的IP地址构建较大的网络。如果与连入网络的主机和其它设备相比，所分得的公用IP地址略少一些，如果为每个设备都分配一个固定的IP地址，则显然部分计算机将不能接入网络。考虑到并非所有的计算机都在同一时间内运行并与网络连接，所以，如果将IP进行动态分配，即计算机连入网络时自动取得，断开与网络的连接时自动收回，即可满足网络对IP地址的需求。二是可以增加网络内计算机的可移动性。当某台主机从一个子网移动到另一个子网时，由于IP地址中网络号的不同，从而导致该计算机与其它主机间无法进行通信，解决该类问题最简单的方式就是为移动的主机在新子网中重新指定一个IP地址。但是，如果我们采用动态IP地址，就会减少这种网络管理的复杂性。

Windows NT使用DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）来解决动态IP地址的分配问题。使用DHCP时，整个网络中必须至少有一台运行Windows NT主机安装有DHCP软件，充当DHCP服务器，而其它所有欲使用DHCP功能的工作站也必须具有支持DHCP的功能。这样，当DHCP工作站启动时，它就会自动与DHCP服务器通信，并由DHCP服务器为其提供一个IP地址。当然，这个地址只是临时的，当租约期满，这个地址就会还给DHCP服务器，并将其提供给其他的DHCP工作站使用。如果原DHCP工作站仍需要IP地址，可以再向DHCP服务器租用另一个IP地址。

（一）DHCP服务器的设置

打开控制面板－>网络－>服务选项卡，单击添加按钮，在网络服务列表框（如图6）中选中“Microsoft DHCP服务器”，单击确定按钮，根据提示放入NT光盘完成文件复制，单击关闭按钮，然后重新启动计算机。

打开管理工具－>DHCP管理器，选择本地主机DHCP服务器。打开菜单作用域－>创建，弹出创建领域对话框，分别键入起始和结束地址以及子网掩码。若欲保留某段地址为特定主机或设备使用，可在排除范围中进行设定。租用期限建议选择为限制时间方式，并根据需要规定租用的期限。确定后，在本地计算机下多了一个新的IP地址范围，黄色的灯泡表示该IP地址范围已经启用（如图7）。

若欲保留某些IP地址给某些特定设备（如DHCP服务器、WWW服务器、E－mail服务器、FTP服务器、Router、Switch Hub等），可使用保留客户设置。打开管理工具－>DHCP服务器，双击打开本地计算机，选中IP地址范围。打开菜单作用域－>添加保留位置，在唯一标识符中键入该主机网卡或设备的ID号，在IP地址中键入欲为其保留的IP地址，并在客户名中为该设备起一个简单易记的名字。若欲继续为其它设备指定IP地址，可单击添加按钮，否则，即可关闭退出。添加完成后，可以利用菜单作用域－>活动租用命令进行检查，也可在此利用属性作相应的修改。

注意：DHCP服务器应当使用固定的IP地址。

（二）Windows 95/98 DHCP工作站的设置

应当首先确认该工作站已经安装了TCP/IP协议。打开控制面板－>网络－>与网卡绑定的TCP/IP－>属性－>IP地址选项卡，选中自动获得一个IP地址即可。

篇3：巧妙管理不让IP地址冲突干扰局域网

在管理、维护局域网的过程中，网络管理员往往都会担负起普通工作站IP地址的分配任务，普通工作站只有通过正确地注册后才能被局域网认为是合法工作站，在局域网工作环境中，任何一台普通工作站使用没有经过特别授权的IP地址时，都会被局域网网络当作是非法IP地址在使用。不过在Windows操作系统环境下，普通工作站用户常常可以根据自己的意愿随意修改本地工作站的IP地址参数，那样一来局域网网络就容易频繁发生IP地址冲突的故障现象，这种现象会“干扰”局域网的稳定运行，甚至会给日常的办公效率带来严重的影响。那么作为网络管理员来说，我们究竟该采取什么措施，不让IP地址冲突“干扰”局域网网络的正常、高效运行呢?现在本文就为各位朋友提出一些有效的应对办法，以帮助各位巧妙地管理好自己单位的局域网，确保局域网网络的运行效率不会受到IP地址冲突现象的“干扰”!

制造IP地址冲突的动机

局域网中发生IP地址冲突故障现象，不仅仅是简单的技术问题，并且还是一个网络管理员必须要认真面对的管理问题。网络管理员只有找到该故障现象存在的理由，想方设法地消灭该故障现象存在的基础，才可能从源头上杜绝IP地址冲突故障现象的发生。总结各种IP地址冲突故障现象，我们不难分析得出制造IP地址冲突现象的动机主要有下面几种情况：一是普通工作站在长时间使用之后，因频繁地安装、卸载各种应用程序或杀毒软件，甚至由于操作者本人不小心发生了错误操作，导致本地工作站系统发生了崩溃现象，不得已工作站用户重新安装了操作系统，并且随意设置了工作站的上网参数，最终在无意中造成了IP地址冲突故障现象，这种情况比较普通，网络管理员只要善加管理，就能有效避免由这种情况引起的IP地址冲突故障现象;二是局域网甚至Internet网络中的一些非法攻击者，企图破坏或干扰本地局域网中重要网络设备的稳定运行，最终达到干扰局域网稳定运行的目的，例如非法攻击者想方设法地制造IP地址冲突故障现象，以便达到破坏局域网中服务器或交换机等重要设备的稳定运行，最终造成整个局域网无法正常工作;三是一些别有用心的用户想拥有那些被非法使用的IP地址所获取的各种特殊访问权限，最常见的就是想获得Internet访问权限。

那些被非法盗用的IP地址在局域网网络中运行时，有可能会产生下面几种影响：一是在合法工作站没有连到局域网的情况下，冒用合法工作站使用的IP地址进行网络连接操作，最终达到窃取合法工作站各种访问权限的目的;二是在合法工作站已经连到局域网的情况下，擅自盗用合法工作站使用的IP地址时，会造成合法工作站出现IP地址发生资源冲突的故障提示，最终造成合法工作站不能正常访问网络;三是盗用了合法工作站的IP地址后，可以利用该IP地址在局域网网络中进行各种恶意破坏活动。

制造IP地址冲突的方法

要想避免IP地址冲突故障现象的发生，我们自然应该先了解制造IP地址冲突的方法，只有这样我们才能对症下药，采取针对性措施来拒绝IP地址冲突“干扰”局域网的正常运行。

一般来说，在局域网投入运行的初期，网络管理员都会为局域网中的所有工作站分配一个合适的IP地址，

不过，在局域网工作站长时间运行后，很可能会出现系统瘫痪或者其他一些故障现象，导致工作站的上网参数发生了丢失，此时工作站用户很可能会自己动手，进入本地工作站系统的TCP/IP属性设置窗口，在其中随意为本地工作站分配一个IP地址，该IP地址由于不是网络管理员事先划分好的那个IP地址，这样一来自然就形成了IP地址冲突现象了。所以，在使用了静态IP地址的局域网工作环境中，普通工作站用户可以很容易地打开本地系统的TCP/IP属性设置窗口，从而可以随意更改本地工作站使用的IP地址。

为了保护本地工作站的IP地址不被非法用户随意盗用，有一些熟悉网络的朋友往往会采取地址绑定的方法，将网络管理员事先分配给本地工作站的IP地址绑定到对应工作站的网卡设备上，那样一来即使非法用户盗用了本地工作站的IP地址，也不会干扰本地工作站的正常上网访问。对于采取了绑定措施的IP地址来说，非法用户同样也找到了盗用办法，那就是同时盗用合法工作站的IP地址与网卡设备的MAC地址，然后冒用合法主机的身份进行恶意破坏。例如，非法用户在盗用了合法工作站的IP地址后，发现盗用后的IP地址不能正常连接到局域网网络中时，他们会认为该IP地址很可能被绑定了，于是他们会尝试使用MAC地址扫描器之类的工作来查看、盗用合法工作站的网卡MAC地址，在盗取合法工作站的网卡MAC地址后，非法用户再将自己工作站的IP地址修改成合法MAC地址就可以了。修改网卡MAC地址的方法很简单，用户只要依次单击本地工作站系统桌面中的“开始”/“设置”/“网络连接”命令，在弹出的网络连接列表窗口中，用鼠标右键单击本地连接图标，从弹出的快捷菜单中执行“属性”命令，打开本地连接属性设置对话框;单击该对话框中的“常规”选项卡，并在对应选项设置页面中单击“配置”按钮，进入本地工作站的目标网卡属性设置对话框;继续单击该设置对话框中的“高级”选项卡，打开如图1所示的高级选项设置页面，选中该设置页面左侧“属性”列表框中的“Network Address”选项，并将该选项的数值设置成盗用得来的网卡MAC地址，最后单击“确定”按钮就可以完成网卡物理地址的修改任务了。

图1

此外，对于一些熟悉攻击技术的非法用户来说，他们常常会利用IP地址电子欺骗技术来伪造某台工作站的IP地址，不过这个电子欺骗技术通常需要借助编程手段来实现。例如，非法攻击者可以通过SOCKET编程，向局域网网络发送带有虚假的源IP地址的通信数据包，从而达到欺骗攻击的目的。

阻止IP地址冲突的手段

了解了制造IP地址冲突的几种方法后，我们就能根据不同的制造方法采取不同的阻止手段了。

在使用静态IP地址的局域网工作环境中，网络管理员可以使用IP-MAC地址绑定方法，也就是使用静态路由技术的方法来阻止普通工作站用户随意进入TCP/IP属性设置窗口，胡乱修改本地系统的IP地址。考虑到在相同的局域网网段中，普通工作站的网络寻径不是根据主机的IP地址而是根据主机的物理地址来进行的，在不同网段之间通信时才会根据主机的IP地址进行网络寻径，所以作为局域网网关的路由器设备上通常保存有IP-MAC的动态对应表，这是由ARP通信协议自动生成并维护的。我们可以进入局域网路由器的后台管理界面，从中找到配置ARP表的设置选项，对静态的ARP路由表进行个性化指定，日后局域网路由器设备会自动依照静态的ARP表检查通信数据包，要是无法对应，那么就不会进行数据转发操作。使用这种手段，网络管理员能够轻松地阻止非法攻击者在不修改网卡设备MAC地址的情况下，冒用合法工作站IP地址进行非法网络访问。

篇4：局域网中IP地址的切换和保护

一、IP自由切换，轻松实现移动办公

1、基于不同子网的IP切换

移动办公在局域网中是非常普遍的，我们经常会在不同的子网(部门)间进行相关的工作，拿着自己的笔记本，利用网卡接口连入局域网，马上就可以进入工作状态，大大提高了工作效率。但是每个子网有不同的网络配置，例如IP地址、网关、DNS、DHCP等等。这样的话每到一个新的子网(部门)中，就需要员工重新进行网络设置，显得非常麻烦，而且对于有些人确实比较困难。那如何实现IP的自由切换呢?

(1).思路

我们可以将不同子网的的网络设置备份下来，当我们需要在某个网络环境中使用时，调用相应的备份文件即可完成网络的相关设置，这样就免去了手工设置的烦恼，非常方便快捷。

(2).实现

备份网络设置：先将电脑的网络设置为子网1的网络配置，然后在命令提示符(cmd.exe)窗口中敲入如下命令：netsh dump >net1.txt当然你也可以指定其他的保存位置，这样就完成了对“子网1”的网络配置的备份。同样可以将单位其他子网的网络配置备份为net*.txt(*为其他子网的序号)文件。

图1

设置切换：完成备份后，进行切换就比较简单了。若此时你需要设置成为“子网1”的网络配置，在命令提示符(cmd.exe)窗口中敲入如下命令：netsh exec net1.txt即可完成“子网1”的网络配置工作，若需要设置为其他子网的网络配置，将命令行中的配置文件改为net*.txt(*为其他子网的序号)即可。

图2

(3). 简化操作

上面对网络环境的备份和切换需要输入命令略显麻烦，并且需要员工有一定的命令行基础不宜推广。我们可以批处理然后共享给大家，当需要切换网络时只需运行相应的批处理脚本即可。具体操作方法是：将下面的代码分别保存为bf.bat和qh.bat，放在同一目录下。

@echo off

echo 备份网络设置

netsh dump >net1.txt

exit

@echo off

echo 恢复网络设置

netsh exec net1.txt

exit

这样在备份时只需双击bf.bat即可，网络切换时也只需双击qh.bat就可以了。当然，我们也可以进行共享。做好每个子网设置的备份然后放到共享服务器上进行共享，在别人需要在某子网移动办公的时候只需调用该子网的网络配置文件(net*.txt)运行qh.bat即可完成网络配置马上投入工作。

2、基于不同帐户的IP切换

通常情况下企业中有一些公共电脑，管理员为不同用户创建不同的帐户，并赋予其不同的权限供其使用，

以企业中使用最普遍的Windows客户端来说，不同的帐户可以赋予不同的权限，但是网络环境是统一的。在有些情况下我们需要不同的帐户有不同的网络配置，那如何实现呢?

(1).思路

我们为每个用户创建一个批处理文件，通过该文件完成用户的网络设置。如何实现帐户登录自动完成网络配置呢?大家知道每个帐户都有各自的桌面环境，其中有一个“启动项”，我们可以将相应的用户网络设置批处理文件放到启动项中实现帐户登录后的网络自动配置。

(2).实现

创建批处理：以创建gslw用户的网络批处理文件为例，其他用户类似，将下面的代码保存为gslw.bat：

@echo off

netsh interface ip show address

netsh int ip set address name=“本地连接” source=static addr=192.168.1.10 mask=255.255.255.0 gateway=192.168.1.1 gwmetric=1

netsh int ip set dns name=“本地连接” source=static addr=202.100.64.68

netsh int ip add dns name=“本地连接” addr=202.100.64.68

netsh int ip add dns name=“本地连接” addr=61.178.0.93

netsh interface ip show address

netsh interface ip show dns

exit

(3).实现自动配置

将gslw.bat文件拷贝到帐户glsw的启动菜单中，即“C:\Documents and Settings\gslw\「开始」菜单\程序\启动”中。其他帐户的实现方法类似，大家可以根据上面的示例找到对于用户的启动菜单路径。

图3

二、IP保护从DHCP开始

其实，具有一定规模的企业网络，一般会部署DHCP服务器来为客户端提供网络服务，免去了手工设置IP的麻烦，大大简化了网络管理。此时，客户端连入网络后会发送DHCP请求包，DHCP服务器会应答并提供IP地址、子网掩码、网关，DNS等信息。但是，当局域网中出现了另外一台非授权的DHCP后会怎么样呢?毫无疑问，这必然导致IP的混乱。因此，我们不能忽视对DHCP的保护。

1、简单防范

(1).客户端不断请求

既然广播包会发向网络中的所有设备，合法还是非授权服务器先应答是没有任何规律的，那么我们可以通过多次尝试广播包的发送来临时解决这个问题，直到客户机可以得到真实的地址为止。

客户端在命令行中先敲入命令“ipconfig /release”释放非授权网络数据，然后输入命令“ipconfig /renew”尝试获得网络参数。如果还是获得错误信息则再次尝试上面两条命令，直到得到正确信息。不过这种方法治标不治本，反复尝试的次数没有保证，一般都需要十几次甚至是几十次，另外当DHCP租约到期后客户端需要再次寻找DHCP服务器获得信息，故障仍然会出现。

篇5：三招保护局域网中的IP地址

局域网中IP地址被占用或篡改的情况时有发生,为你提供几个实用招数，

停用网络连接服务

要限制用户随意修改TCP/IP参数，最简单的方法是让用户无法打开TCP/IP参数设置窗口。打开“开始”中“运行”输入“services.msc”命令，选中“Network Connections”服务，右键单击，从属性中选择其中的停用按钮，将“启动类型”选为“已禁用”，并确定。这样，你如果从“开始”进入“网络连接”里，就找不到“本地连接”图标。这也会给自己网络参数修改带来麻烦，可以将“Plug and play”服务停用，就不影响你正常网络访问了

限制修改网络参数法

修改注册表的相关网络键值就能实现，

进入“运行”输入“regedit”命令，打开注册表编辑，确定在HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network分支上，在右侧区域中，依次选择“编辑”、“新建”、“Dword值”选项，将新建的Dword值命名为“NoNetSetup”，将其数值输入为“1”，重新启动电脑，系统就会提示无法进入网络属性设置窗口了。

隐藏本地连接图标法

本地连接图标与系统的Netcfgx.dll、Netshell.dll、Netman.dll这三个动态链接文件有关，一旦将这三个动态链接文件反注册的话，那么本地连接图标就会被自动隐藏起来了。在反注册上面三个动态链接文件时，可以先打开系统运行框，并在其中输入字符串命令“regsvr32

Netcfgx.dll/u”命令，单击一下“确定”按钮后，就能把Netcfgx.dll文件反注册了。

★ 无法登录无线路由器配置界面解决网络知识

★ arp协议书

★ SA399第四章读书笔记Windows系统