学校ap地址冲突

IP地址冲突是网络管理的一个常见问题。

尤其在企业局域网内部，由于管控策略的存在，总会有人试图通过修改IP地址来绕开管控、获取更多的上网权限以及更高的带宽。

修改的IP一旦和公司的服务器发送IP冲突，会直接影响到办公和业务的正常运行。

IP冲突的危害如下：绕开行为管理策略和流控策略的管控。

导致被冲突的客户机断网。

和服务器IP冲突会影响业务的正常运行。

难以定位，使网络管理混乱无序。

本文将介绍几种常见的“IP地址冲突解决方案”，以及出现IP冲突时如何解决的相关措施。

方案一. 禁止私自修改IP。

不给客户机开放管理员权限，并且用组策略禁止修改IP。

这样就从根本上杜绝了修改IP的现象。

如图：1. 用域的组策略禁止修改IP2. 不是域环境，也可以设置每台电脑的组策略。

方案二. IP-MAC绑定对局域网的电脑配置IP-MAC绑定，可以带来很多好处：防止私自修改IP。

进行绑定后，私自修改IP反而会断网。

这样就杜绝了修改IP的动机。

绑定后，所有的客户机等于是固定IP。

上网记录、行为管理策略都可以落实到个人，更加便于管理。

IP-MAC绑定既可以在网关上做，也可以在交换机上做。

下图是在WSG网关上配置的IP-MAC绑定：在可管理交换机上，也可以通过命令来绑定端口的IP和mac地址，从而实现IP-MAC绑定。

如图：3. 出现IP地址冲突怎么办？IP地址冲突是个让人头疼的事情，有些人导致了冲突自己都不知道。

这个情况下，网管人员就需要有有效的技术手段来进行查找。

如WFilter里面的”网络健康度检测插件“。

可以一键检测出IP冲突的MAC地址，然后你可以对这个MAC地址进行进一步的处理。

如图：可以直接给他断网并且给相关提示：

首先，我解释一下IP地址冲突的原因。

IP地址冲突的一般是在局域网中可能出现，无论是手工配置IP地址，还是DHCP动态获取IP地址，都有可能出现IP地址冲突IP地址冲突只有可能出现在二层局域网。

也就是同一个网段内才有可能地址冲突。

我们配置IP地址时都有一个地址和一个掩码，例如下图中主机获取192.168.1.71这个地址，掩码是在255.255.255.0。

那么IP地址冲突只可能发生在192.168.1.2到192.168.1.254这一段地址内。

因为在这一段地址内，PC机可以通过广播的方式发送报文，而ARP协议就是IP地址冲突检测的基础。

什么叫ARP？我们可以简单理解ARP协议的作用，就是用来获取某个IP地址对应的MAC地址，因为相同网段的局域网用户都是通过MAC地址来转发的。

例如下图中192.168.0.200这台PC机要访问192.168.0.107这台PC机。

由于源PC机判断目的地址和自己地址处于相同的网段，因此目的PC机和源PC机在同一个局域网内，需要用MAC地址转发。

所以地址是200的源PC机会发一个ARP报文向整个局域网请求107对应的MAC地址，107这台主机就会回一个包含他MAC的ARP响应信息，然后我们PC机就可以通过MAC来转发我们看到下图就是这个过程，本来200这台主机上没有107的MAC地址，Ping一个包之后，通过ARP请求就学习到了192.168.0.107的MAC地址简单的说，ARP请求的作用就是向局域网所有的PC机呼喊“107你的MAC是什么”ARP响应的作用就是地址是107这台PC机看到是请求自己的MAC，因此回应“107的MAC地址是XX-XX-XX-XX-XX-XX”那么，我们再看看IP地址冲突的检测过程当我们获取IP地址之后（例如下图DHCP获取地址后），我们的PC机会发起一个叫做免费ARP的报文,免费ARP报文的作用实际上就是向局域网发布一个请求自己IP地址所在的PC机对应的MAC地址的的消息。

以上图为例，当图中192.114.200.7刚刚获取IP地址时，它会向局域网所有的PC机发这个请求：“192.114.200.7这个PC机的MAC地址是什么？”|由于200.7这个地址就是PC机自己，所以一般情况下是没人回应的，于是200.7这台PC就心安理得的用这个IP地址。

但是如果这个地址在局域网已经存在，那个这个地址的PC就会回一句“192.114.200.7的PC机MAC地址是XX-XX-XX-XX-XX-XX”.此时获取192.114.200.7这个地址的PC机就会赫然发现，自己竟然收到其他PC机对自己地址的回应了，那么很显然此时IP地址肯定是冲突的，此时我们的PC机就会提示IP地址冲突这就是IP地址冲突的基本原理。

那么一旦发生地址冲突我们该怎么做？根据你地址获取方式的不同，分为两种种场景：如果你所处的局域网都是手工配置的地址，那么你只需改一个地址就可以，你可以请同在局域网的其他朋友任意选一个IP地址Ping一下，如果这个地址Ping不通，那么是肯定可以用的，比如下图，192.168.0.20肯定是可以用的，那么你把自己的地址改成这个就可以如果你所处的局域网的地址都是DHCP自动分配的，那么一般情况下是不会冲突的，因为分配地址的服务器是可以保证地址分配不冲突。

如果此时一旦出现冲突，必然是有人私下配置了IP地址，这个肯定是不允许的，所以你可以站起来大吼一声“哪个用了IP地址192.168.0.20，不要乱配！！！”基本听到你声音的私下配置的朋友就会告诉你是他配置的如果没人响应，就可以请管理员抓ARP数据看看这个私自乱配的IP地址对应的MAC地址是哪个，然后在交换机检查这个MAC地址是从二层交换机哪个端口发出的，直接把那个MAC地址封杀掉就可以，他上不了网自然会反馈故障，此时就知道是谁干的坏事了