如何找出IP衝突的電腦?
到iT邦幫忙

chaconx(iT邦初學者10級)發問:
公司有五個樓層,每個樓層切不同的VLAN。如果有非公司員工用自己的筆電上網,導致使用到重複IP,要如何在最短時間,找到IP衝突使用者所在位置?

cklin(iT邦初學者7級):
企業在設定DHCP Server時,網段區隔是很重要的。雖然已經設定了5個樓層的Client VLAN,但大多會再設定2個VLAN,1個是Server VLAN,另外一個是Device VLAN。而DHCP Server設置於Server VLAN,對於Client DHCP分配採用DHCP Relay技術來作,每個網路設備都指定DHCP Relay為公司的DHCP Server,Device VLAN是收容網路設備以及其他非PC/Server等上網設備。

套用到情境中Server VLAN IP網段可規畫為192.168.1.0~250/24,Device VLAN IP網段可規畫為192.168.0.0~254/24。因為每個網路設備都指定DHCP Relay為公司的DHCP Server,所以不會發生DHCP Server IP被其他使用者搶走或重複的狀況,同時可在Routing進Server VLAN之間加裝防火牆/IDS/防毒牆等機制,確保主機群的安全。

萬一真的沒有設定Server VLAN,出現DHCP Server IP被搶走/重複的狀況,那就先到其中一臺DHCP Client用ipconfig /all指令,找到偽配發的DHCP Server IP,再用arp -a反解出偽DHCP Server的MAC Address,從網路設備Switch MAC和Port的對應表中,找到是哪個Switch Port,再下指令關閉Switch Port,讓偽DHCP Server的主人自動來要求解開Switch Port。

我覺得要解決這個問題,平常網管工作要做好。每個Switch Port對應辦公區域布線位置的圖面資料要收集齊全,照上面的方法確認出是哪個Switch Port對應到圖面位置。

sailsolitary(iT邦初學者5級):
既然是每層都用VLAN切割,那每個人的IP跟MAC應該都是固定的。如果某個IP發生衝突時,一定會影響到其中一人,Switch或是Router上會出現兩個不同的MAC在搶同一個IP。這時候可以把外來的MAC擋掉,這樣對方就沒有辦法使用該網卡在公司環境上網了。

查詢的方式,就要看Switch/Router有沒有這個功能,或是使用該樓層的電腦,去查詢這臺電腦的MAC。

例如5樓的192.168.50.88的IP被搶,那先讓原先使用88的電腦中斷網路或拔掉網路線,其他電腦去Ping 192.168.50.88,再輸入arp -p查詢現在88電腦的MAC,再到Switch/Router把這個MAC列入黑名單中。

如果Switch或是Router可以記錄 MAC,建議使用白名單的設定方式,會比較方便。

馬上按讚加入iThome FB粉絲團

Advertisement

更多 iThome相關內容