In unserer LAN-Umgebung (kabelgebunden und drahtlos) führt ein IP-Adresskonflikt fast immer zum Ausfall unserer Systeme.
Wir haben viele Geräte an das Netzwerk angeschlossen: PCs, Access Points, RF, Waagen, POS-Geräte. Jedes Gerät hat seinen eigenen Bereich definierter IP-Adressen. IPs werden jedoch statisch zugewiesen. Externe Anbieter konfigurieren ihre jeweiligen Geräte offline. Dies ist fast immer der Fall, wenn Konflikte auftreten, wenn die Geräte an das Netzwerk angeschlossen sind.
Wir wissen bereits, wie wir den Konflikt beheben und lösen können. Meine Frage ist nun: WIE KANN ICH DIE EINFÜHRUNG ODER VERBINDUNG von Maschinen/Geräten in unser Netzwerk blockieren oder verhindern, deren IP-Adresse mit den vorhandenen und verwendeten IPs in Konflikt steht?
Ich habe vor, LookAtLan täglich um beispielsweise 2 Uhr morgens als geplanten Task auszuführen, damit wir eine aktuelle Liste aller verwendeten IP- und Mac-Adressen erhalten. Anschließend erstelle ich ein Programm, das automatisch eine Validierung (der IP) ausführt, wenn über die Switch-Ports ein neuer Zugang zum Netzwerk erkannt wird (nur für kabelgebundene Verbindungen – für kabellose Verbindungen habe ich nichts).
Sobald ein neuer Eintrag im Konflikt mit einem bestehenden Eintrag validiert wurde, ist mein HAUPTPROBLEM, WAS UND WIE EIN EINTRAG VERHINDERT WERDEN KANN.
Ich weiß nicht, ob meine Pläne umsetzbar und möglich sind. Bitte helfen Sie.
Antwort1
Da Sie anscheinend IPv4 verwenden, können die Netzwerkkonflikte der statischen IP-Adresse wie folgt gefunden werden:Unentgeltliches ARPDas Problem ist, dass diese Erkennung nur funktioniert,nachdem der Konflikt passiert ist.
Sie können die Auswirkungen des IP-Adresskonflikts jedoch minimieren, indem Sie Sicherheitsfunktionen einiger Switches verwenden, wieDynamische ARP-Inspektion von Ciscowie vorgeschlagenin dieser Antwort.
DAI ist eine Sicherheitsfunktion, die ARP-Pakete in einem Netzwerk validiert. DAI fängt ARP-Pakete mit ungültigen IP-zu-MAC-Adressbindungen ab, protokolliert und verwirft sie. Diese Funktion schützt das Netzwerk vor einigen Man-in-the-Middle-Angriffen.
Also im Grunde genommenBei IPv4 können Sie statische (nicht per DHCP zugewiesene) IP-Adresskonflikte nicht verhindern und müssen sich darauf konzentrieren, die Auswirkungen eventueller Konflikte auf Ihr System zu minimieren., was durch die Verwendung geeigneter Netzwerkhardware und -konfiguration erreicht werden kann.
Wenn Sie IPv6 verwenden, profitieren Sie vonOptimistische Duplicate Address Detection (DAD) für IPv6.
Bei IPv4 Gratuitous ARP werden die Felder „Source Protocol Address“ und „Target Protocol Address“ im Header der ARP-Anforderungsnachricht auf die IPv4-Adresse gesetzt, für die eine Duplizierung erkannt wird. Bei IPv6 DAD wird das Feld „Target Address“ in der Neighbor Solicitation (NS)-Nachricht auf die IPv6-Adresse gesetzt, für die eine Duplizierung erkannt wird. DAD unterscheidet sich in folgenden Punkten von der Adressauflösung:
- In der DAD NS-Nachricht wird das Feld „Quelladresse“ im IPv6-Header auf die nicht angegebene Adresse (::) gesetzt. TDie auf Duplikate abgefragte Adresse kann erst verwendet werden, wenn festgestellt wurde, dass keine Duplikate vorhanden sind.
- In der Neighbor Advertisement-Antwort (NA) auf eine DAD NS-Nachricht wird die Zieladresse im IPv6-Header auf die linklokale Multicast-Adresse aller Knoten (FF02::1) gesetzt. Das „Solicited“-Flag in der NA-Nachricht wird auf 0 gesetzt. Da der Absender der DAD NS-Nachricht nicht die gewünschte IP-Adresse verwendet, kann er keine Unicast-NA-Nachrichten empfangen. Daher ist die NA-Nachricht Multicast.
- Nach dem Empfang der Multicast-NA-Nachricht, bei der das Zieladressfeld auf die IP-Adresse eingestellt ist, für die eine Duplizierung erkannt wird, Der Knoten deaktiviert die Verwendung der doppelten IP-Adresse auf der SchnittstelleWenn der Knoten keine NA-Nachricht empfängt, die die Verwendung der Adresse verteidigt, initialisiert er die Adresse auf der Schnittstelle.
Daher wird bei IPv6 der Konflikt erkannt, bevor er auftritt, und die doppelte IP-Adresse kann nicht verwendet werden, bis festgestellt wird, dass keine Duplikate vorhanden sind.