为什么内网中老是提示ip地址冲突,上不去网,访问ftp的时候老是会出现中途断掉的情况?????????

为什么内网中老是提示ip地址冲突,上不去网,访问ftp的时候老是会出现中途断掉的情况?????????,第1张

公司局域网的网络问题:
目前局域网内有大量的网络攻击和欺骗。造成网络服务器无法访问的原因主要是:
(1) 局域网内有大量网络协议欺骗,这样会导致你的服务器和主机被虚假的信息欺骗找不到真正的设备或请求回应不到真正主机。例如:大家比较熟悉的ARP欺骗。
(2) 网络中有大量的协议和流量攻击,出现网络通道导致网卡或者交换机无法进行数据传输或交换。这样你的电脑主机就无法访问到服务器了。例如:网络的DDOS攻击、SYN洪水攻击等网络协议攻击。
传统解决方案:(1)、进行ARP绑定,这样可以一定程度减轻一下问题情况。
注:现在利用ARP协议进行网络攻击或欺骗已经有七种形式的攻击了,尤其是二代arp会清除你的绑定。所以ARP绑定是治标(效果还不一定)不治本。
(2)、还有一种粗暴的办法那就是重做系统,让这种利用协议攻击的程序清除掉。
注:费时费力,问题当时肯定可以解决。你还会通过各种途径接触和以后再有肯定还会有同样问题出现。
我接触到能彻底解决网络服务器访问不到问题的方案是:使用巡路免疫网络安全解决方案在网路中的每台电脑网卡上安装“终端免疫驱动” 终端MAC取自物理网卡而非系统,有效防范了MAC克隆和假冒;终端驱动实现的是双向的控制,不仅仅抵御外部对本机的威胁,更重要的是抑制从本机发起的攻击。这样网络协议欺骗和超量攻击直接在网卡上直接拦截了,你就能正常的访问服务器了。
说到这里我对巡路免疫网络安全解决方案简单一下,其实现在很多公司的网络中都存在大量网络协议攻击导致了大家一些应用(网络打印机不能连接,内部服务器访问时快时慢,语音电话不清甚至电脑跟老牛似的)不能正常使用。对于这些大家包括我原来也是认为就是系统病毒或者外网攻击问题造成的,通过与专业人士沟通以后才清楚,简单说:现在很多网络问题80%是由于内部网络问题(网络协议攻击)造成的,传统的解决办法(上防火墙、上入侵检测系统、防毒)主要是外网、系统木马病毒和文件病毒进行被动防范,对于网络协议攻击没有有效的解决办法。巡路免疫网络解决方案不是一个单独的产品,而是一套由软硬件、内网安全协议,安全策略构成的完整组件。它由接入模块、运营中心、终端免疫驱动、内网安全协议、安全策略组成,从内网的角度解决攻击问题,应对目前网络攻击复杂性、多样性、更多从内网发起的趋势,更有效地解决网络威胁。通过这个方案可以让我们的网络变成身体强壮,让咱们的网络可以自我防御和管理。

你的网络是不是有过这样的问题:明明配置了DHCP,还总有IP冲突,排查非常费劲,而且吃力不讨好,碰到素质差点的用户,免不了还被反怼几句。
对付这样的人,有三个方法:
1、 在域控上下发组策略,禁止用户修改IP地址
2、 在交换机上配置IPSG,他倒是能改IP地址,但是改了之后,不但上不了外网,就连内网都不通了,那他就只能自己改回来了,免去你排查之苦,就算他不改回来,对网络也不会产生任何影响。
3、行政手段,一经发现私自修改IP地址,直接罚款,从工资里面扣那种。
行政罚款也到不了IT外包的手里,咱们还是用点技术手段吧,那就IPSG走起。
一、 原理简述:
IPSG是IP Source Guard的简称。IPSG可以防范针对源IP地址进行欺骗的攻击行为。
随着网络规模越来越大,基于源IP的攻击也逐渐增多。所谓的攻击,不一定是恶意的,他也许只是想获得上网权限而擅自修改IP地址,但是这样的行为,已经对网络造成了攻击,甚至有些人,把自己的IP地址直接改成了网关IP,把整个网络都搞崩溃了;
二、网络架构及配置方法
1、 废话不多说,先上拓扑图;
2、 配置要求:
如上图所示,内网有台服务器,需要配置静态IP,并且在接入交换机内静态绑定;PC1和PC2配置为自动获取IP地址,并且需要防止用户修改IP地址接入网络;核心交换机与接入交换机之间的接口配置为trunk模式,并且放行所有VLAN;
3、 配置过程:
(1) 核心交换机的配置:
sys
Enter system view, return user view with Ctrl+Z
[Huawei]sys core //命名交换机
[core]vlan 10 //创建vlan10
[core-vlan10]
[core-vlan10]q
[core]dhcp en //开启dhcp
[core]ip pool vlan10 //定义vlan10的地址池
[core-ip-pool-vlan10]net 192168100 mask 24 //在地址池中声明网络
[core-ip-pool-vlan10]gateway-list 192168101 //在地址池中声明网关
[core-ip-pool-vlan10]dns-list 1921681011 //在地址池中声明DNS服务器
[core-ip-pool-vlan10]excluded-ip-address 192168102 1921681020 //在地址池中声保留不分配出去的IP地址
[core-ip-pool-vlan10]int vlan 10
[core-Vlanif10]ip add 192168101 24 //配置vlan的IP地址
[core-Vlanif10]dhcp sele glo //选择全局的地址池给DHCP客户端使用
[core-Vlanif10]int g0/0/1
[core-GigabitEthernet0/0/1]p l t //1口配置为trunk模式
[core-GigabitEthernet0/0/1]p t a v a //允许所有vlan通过
(2) 接入交换机的配置:
sys
[Huawei]sys SW1
[SW1]vlan 10
[SW1-vlan10]int g0/0/4
[SW1-GigabitEthernet0/0/4]p l t
[SW1-GigabitEthernet0/0/4]p t a v a
[SW1-GigabitEthernet0/0/4]q
[SW1]p g g0/0/1 to g0/0/3 //创建端口组,组成员为1-3口
[SW1-port-group]p l a //1-3口配置为access模式
[SW1-port-group]p d v 10 //1-3口access vlan10
[SW1-port-group]q
[SW1]dhcp en
[SW1]dhcp snooping en //启用全局DHCP Snooping功能
[SW1]vlan 10
[SW1-vlan10]dhcp sn
[SW1-vlan10]dhcp snooping en //启用VLAN 10下的DHCP Snooping功能
[SW1-vlan10]dhcp snooping trusted int g0/0/4 //配置4口为DHCP信任口
[SW1-vlan10]q
[SW1]user-bind static ip-address 1921681011 mac-address 5489-98F9-77D6 interface g0/0/3 vlan 10 //创建服务器的静态绑定表项
[SW1]vlan 10
[SW1-vlan10]ip source check user-bind en //启用IPSG功能
[SW1-vlan10]q
配置完成,来查看DHCP绑定是否正确:dis dhcp snooping user-bind all
再查看静态绑定是否正确:dis dhcp static user-bind all
经过以上配置,PC1和PC2使用DHCP服务器动态分配的IP地址可以正常访问网络,如果将IP地址更改为其他的静态IP地址,则无法访问网络。
同理,服务器修改为其他IP地址后,也是无法正常通讯的。
这样一来,网络就会清静很多,从此“无丝竹之乱耳,无案牍之劳形”,何不快哉。

统一设置DHCP,或者统一设置固定IP。或者归类一下。比如。DHCP从2-100,固定IP从101-200这样就不会冲突了。你这冲突是因为例:A机设置固定IP为2 ,A机没开机的情况下,B机自动获取IP2,A机开机后就冲突了。如果A机先开,B机再开他会自动获取别的。
采纳哦


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/13209076.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-06-20
下一篇 2023-06-20

发表评论

登录后才能评论

评论列表(0条)

保存