查IP 冲突的电脑

公司有五個樓層，每個樓層切不同的VLAN。如果有非公司員工用自己的筆電上網，導致使用到重複IP，要如何在最短時間，找到IP衝突使用者所在位置？ cklin（iT邦初學者7級）： 企業在設定DHCP Server時，網段區隔是很重要的。雖然已經設定了5個樓層的Client VLAN，但大多會再設定2個VLAN，1個是Server VLAN，另外一個是Device VLAN。而DHCP Server設置於Server VLAN，對於Client DHCP分配採用DHCP Relay技術來作，每個網路設備都指定DHCP Relay為公司的DHCP Server，Device VLAN是收容網路設備以及其他非PC/Server等上網設備。 套用到情境中Server VLAN IP網段可規畫為192.168.1.0～250/24，Device VLAN IP網段可規畫為192.168.0.0～254/24。因為每個網路設備都指定DHCP Relay為公司的DHCP Server，所以不會發生DHCP Server IP被其他使用者搶走或重複的狀況，同時可在Routing進Server VLAN之間加裝防火牆／IDS／防毒牆等機制，確保主機群的安全。 萬一真的沒有設定Server VLAN，出現DHCP Server IP被搶走／重複的狀況，那就先到其中一臺DHCP Client用ipconfig /all指令，找到偽配發的DHCP Server IP，再用arp -a反解出偽DHCP Server的MAC Address，從網路設備Switch MAC和Port的對應表中，找到是哪個Switch Port，再下指令關閉Switch Port，讓偽DHCP Server的主人自動來要求解開Switch Port。 我覺得要解決這個問題，平常網管工作要做好。每個Switch Port對應辦公區域布線位置的圖面資料要收集齊全，照上面的方法確認出是哪個Switch Port對應到圖面位置。 sailsolitary（iT邦初學者5級）： 既然是每層都用VLAN切割，那每個人的IP跟MAC應該都是固定的。如果某個IP發生衝突時，一定會影響到其中一人，Switch或是Router上會出現兩個不同的MAC在搶同一個IP。這時候可以把外來的MAC擋掉，這樣對方就沒有辦法使用該網卡在公司環境上網了。 查詢的方式，就要看Switch/Router有沒有這個功能，或是使用該樓層的電腦，去查詢這臺電腦的MAC。 例如5樓的192.168.50.88的IP被搶，那先讓原先使用88的電腦中斷網路或拔掉網路線，其他電腦去Ping 192.168.50.88，再輸入arp -p查詢現在88電腦的MAC，再到Switch/Router把這個MAC列入黑名單中。 如果Switch或是Router可以記錄 MAC，建議使用白名單的設定方式，會比較方便。