大数跨境
首页
>
网络出现IP冲突怎么办?两招彻底搞定
>
0
0

网络出现IP冲突怎么办?两招彻底搞定

网络出现IP冲突怎么办?两招彻底搞定 SPOTO思博网络
2025-11-27
1
导读:90%的IP冲突,都是人为或配置漏洞导致,而80%的网工只会清ARP



大家好,我的网工朋友。

前阵子财务部集体掉线,说是“上不了系统”。我ping网关,通;查路由,正常。

但抓包一看:两个MAC在抢同一个IP! 一查,原来是有人私接路由器开了DHCP。新人第一反应是“让财务换IP”,我说:“治标不治本,明天还会崩!”

90%的IP冲突,都是人为或配置漏洞导致,而80%的网工只会清ARP、改IP,从不堵源头。今天,我不讲现象,直接给你两招实战组合拳,一次解决,永不复发。

今日文章阅读福利:《 IP地址管理开源系统-PHPIPAM》


想必你也很清楚,IP地址管理的重要性以及其复杂性,传统的Excel表格虽然在某些情况下能够提供帮助,但在处理大量数据和复杂网络结构时,其效率和准确性往往不尽如人意。


俗话说得好,车到山前必有路。PHPIPAM的出现,为我们提供了这样一个解决方案。


有了这套IP地址管理开源系统谁还用Excel啊?(点击蓝字教你如何使用)


扫码发送暗号PHPIPAM即可获取此份优质资源。


 前20名粉丝 免费获得资源 


01

第一招:精准定位冲突源

步骤1:确认冲突存在

终端弹窗“IP地址冲突”或:

# Windows 查看ARP缓存

arp -a | findstr "192.168.10.50"

若返回多个MAC对应同一IP → 确认冲突。

步骤2:在核心/接入交换机查ARP或MAC表

# 华为/华三

display arp | include 192.168.10.50

display mac-address | include 192.168.10.50

输出示例:

IP address      MAC address     VLAN   Port

192.168.10.50   00e0-fc12-3456  10     GigabitEthernet1/0/5  ← 合法PC

192.168.10.50   aabb-ccdd-eeff  10     GigabitEthernet1/0/12 ← 私接路由器!

步骤3:定位物理位置

  • 根据端口(如 1/0/12)找到对应办公室

  • 若接的是AP或傻瓜交换机,继续下联排查

✅ 技巧:在交换机上对冲突IP持续ping,同时观察哪个端口的错包突增,也能辅助定位。


02

第二招:彻底阻断 + 防复发

方案A:临时应急 —— 封端口 or 绑定合法MAC

# 华为:关闭非法端口

shutdown interface gigabitethernet 1/0/12


# 或只允许合法MAC通信(端口安全)

interface gigabitethernet 1/0/5

 port-security enable

 port-security mac-address 00e0-fc12-3456

 port-security max-mac-num 1

方案B:长期防御 —— 启用 DHCP Snooping + IP Source Guard

# 全局开启DHCP Snooping

dhcp enable

dhcp snooping enable


# 接入层接口设为非信任(默认)

interface gigabitethernet 1/0/1 to 1/0/24

 dhcp snooping binding record

 ip source check user-bind enable


# 上联口(连DHCP服务器)设为信任

interface gigabitethernet 1/0/25

 dhcp snooping trusted

✅ 效果

  • 非法DHCP服务器无法分配IP

  • 终端若伪造IP/MAC,数据包被直接丢弃


03

为什么你的网络总出IP冲突?

原因
占比
解决方案
私接路由器/随身WiFi
60%
启用DHCP Snooping + 用户教育
手动IP与DHCP池重叠
25%
规划地址段,DHCP保留静态IP范围
虚拟机克隆未改IP
10%
使用DHCP或脚本自动改IP
ARP病毒/攻击
5%
启用DAI(动态ARP检测)



04

预防建议(写进运维规范)

  1. 全网禁用终端手动配IP(通过组策略或准入控制)

  2. DHCP服务器统一管理,关闭所有非授权DHCP服务

  3. 接入交换机默认开启端口安全(最大MAC数=1)

  4. 部署IP-MAC绑定表,异常自动告警


05

结语

IP冲突不是“小毛病”,而是网络管理失控的信号。

真正专业的处理方式,不是让受害者换IP,而是揪出肇事者、加固防线。

能定位是本事,能防住才是水平。下次再遇冲突,用这两招——先抓人,再关门,让你的网络从此清净。



 文章声明 


本文由网络工程师俱乐部独家发布,请在获得账号管理员授权后转载。


 策划制作 


策划:星星    丨   监制:一为

编辑:星星    丨   图片来源:Pexels及网络,侵删
图片

END


SPOTO思博网络成立于2003年,是获得腾讯和坚果投资及华为官方授权的全球ICT人才在线职业教育品牌。专注ICT人才培养21年,累计为全球152个国家和地区培养55万多ICT人才其中CCIE/HCIE认证等高端人才3000多,拥有思科认证、华为认证、鸿蒙开发、红帽RHCE、CISP安全、云计算、大数据和人工智能等课程服务,为学员提供一个掌握技能知识与提升自我价值的机会,助力学员快速取得专家认证。

同时,SPOTO思博网络作为熊猫同学的旗下品牌,将共同携手全球合作伙伴共赢智慧教育未来。


【声明】内容源于网络
0
0
SPOTO思博网络
SPOTO在线大学是一所以提升职业能力为目标、倡导终身成长的全球IT人才在线大学。 思博立足IT、泛IT等前沿高新行业和职业,提供进阶式、实战化的持续学习解决方案,致力于培养更多未来的IT行业核心人才。
内容 584
粉丝 0
SPOTO思博网络 SPOTO在线大学是一所以提升职业能力为目标、倡导终身成长的全球IT人才在线大学。 思博立足IT、泛IT等前沿高新行业和职业,提供进阶式、实战化的持续学习解决方案,致力于培养更多未来的IT行业核心人才。
总阅读114
粉丝0
内容584