当社の LAN 環境 (有線および無線) では、IP アドレスの競合によりシステムがダウンすることがほとんどです。
当社には、PC、アクセス ポイント、RF、体重計、POS マシンなど、ネットワークに接続された機器が多数あります。各機器には、定義された IP アドレスの範囲が独自にあります。ただし、IP は静的に割り当てられます。外部ベンダーは、それぞれの機器をオフラインで構成します。マシンがネットワークに接続されている場合、ほとんどの場合、これが競合の原因となります。
競合のトラブルシューティングと解決方法はすでにわかっています。ここでお聞きしたいのは、既存の使用済み IP と競合する IP アドレスを持つマシン/機器がネットワークに導入または接続されるのをブロックまたは防止する方法です。
私は、たとえば毎日午前 2 時にスケジュールされたタスクで LookAtLan を実行し、使用されているすべての IP アドレスと Mac アドレスの最新リストを取得し、スイッチ ポート経由でネットワークに新しいエントリが検出されると自動的に検証 (IP の) を実行するプログラムを作成する予定です (有線のみ - 無線用はありません)。
新しいエントリが既存のエントリと競合して検証されると、何をどのようにエントリを防止するかが私の主な問題になります。
私の計画が実現可能かどうかわかりません。助けてください。
答え1
IPv4を使用しているようですので、静的IPアドレスのネットワーク競合は次の方法で見つけることができます。無償ARP問題は、この検出が機能するのは紛争が起こった後。
ただし、一部のスイッチのセキュリティ機能を使用すると、IPアドレスの競合の影響を最小限に抑えることができます。Cisco のダイナミック ARP 検査提案通りこの回答では。
DAI は、ネットワーク内の ARP パケットを検証するセキュリティ機能です。DAI は、IP アドレスと MAC アドレスのバインディングが無効な ARP パケットを傍受、ログに記録、破棄します。この機能により、ネットワークは中間者攻撃から保護されます。
だから基本的にIPv4では、静的(DHCP割り当てではない)IPアドレスの競合を防ぐことはできず、システムへの最終的な競合の影響を最小限に抑えることに集中する必要があります。これは、適切なネットワーク ハードウェアと構成を使用することで実現できます。
IPv6を使用すると、次のようなメリットがあります。IPv6 の楽観的重複アドレス検出 (DAD)。
IPv4 Gratuitous ARP では、ARP 要求メッセージ ヘッダーのソース プロトコル アドレス フィールドとターゲット プロトコル アドレス フィールドは、重複が検出された IPv4 アドレスに設定されます。IPv6 DAD では、近隣要請 (NS) メッセージのターゲット アドレス フィールドは、重複が検出された IPv6 アドレスに設定されます。DAD は、次の点でアドレス解決と異なります。
- DAD NS メッセージでは、IPv6 ヘッダーの送信元アドレス フィールドが未指定アドレス (::) に設定されます。重複が照会されているアドレスは、重複がないと判断されるまで使用できません。
- DAD NS メッセージに対する近隣アドバタイズメント (NA) 応答では、IPv6 ヘッダーの宛先アドレスがリンク ローカル全ノード マルチキャスト アドレス (FF02::1) に設定されます。NA メッセージの送信者フラグは 0 に設定されます。DAD NS メッセージの送信者は目的の IP アドレスを使用していないため、ユニキャスト NA メッセージを受信できません。したがって、NA メッセージはマルチキャストです。
- 重複が検出されたIPアドレスにターゲットアドレスフィールドが設定されたマルチキャストNAメッセージを受信すると、 ノードはインターフェース上の重複IPアドレスの使用を無効にしますノードがアドレスの使用を保護する NA メッセージを受信しない場合、インターフェイス上のアドレスを初期化します。
そのため、IPv6 では競合が発生する前に検出され、重複がないと判断されるまで重複した IP アドレスは使用できません。