En nuestro entorno LAN (cableado e inalámbrico), el conflicto de direcciones IP casi siempre hace que nuestros sistemas caigan.
Disponemos de una gran cantidad de equipos conectados a la red: PC's, Puntos de Acceso, RF, básculas, máquinas POS. Cada equipo tiene su propio rango de Direcciones IP definidas. Sin embargo, las IP se asignan estáticamente. Los proveedores externos configuran sus respectivos equipos fuera de línea. Este suele ser el caso de conflicto cuando las máquinas están conectadas a la red.
Ya sabemos cómo solucionar y resolver el conflicto. Lo que quiero preguntar ahora es ¿CÓMO BLOQUEAR O EVITAR LA INTRODUCCIÓN O CONEXIÓN de cualquier máquina/equipo a nuestra red con una dirección IP que esté en conflicto con las IP existentes y utilizadas?
Estoy planeando ejecutar LookAtLan en una tarea programada, digamos a las 2 a. m. todos los días, para que podamos obtener una lista nueva de todas las direcciones IP y Mac utilizadas, luego crear un programa que ejecutará automáticamente la validación (de IP) al detectar cualquier nueva entrada al red a través de los puertos del conmutador (solo para cableado; no tengo nada para inalámbrico).
Una vez que se ha validado una nueva entrada en conflicto con la existente, QUÉ Y CÓMO PREVENIR LA ENTRADA es mi PRINCIPAL PROBLEMA.
No sé si mis planes son factibles y posibles. Por favor ayuda.
Respuesta1
Como parece que está utilizando IPv4, los conflictos de red de direcciones IP estáticas se pueden encontrar alARP gratuito. El problema es que esta detección sólo funcionadespués de que ocurra el conflicto.
Sin embargo, puedes minimizar el impacto del conflicto de direcciones IP utilizando funciones de seguridad de algunos conmutadores, comoInspección ARP dinámica de Ciscocomo se sugiereen esta respuesta.
DAI es una característica de seguridad que valida los paquetes ARP en una red. DAI intercepta, registra y descarta paquetes ARP con enlaces de direcciones IP a MAC no válidos. Esta capacidad protege la red de algunos ataques de intermediario.
Así que básicamenteen IPv4 no puede evitar conflictos de direcciones IP estáticas (no asignadas por DHCP) y debe concentrarse en minimizar el impacto de un eventual conflicto en su sistema., lo que se puede lograr utilizando el hardware y la configuración de red adecuados.
Si usara IPv6, se beneficiaría deDetección optimista de direcciones duplicadas (DAD) para IPv6.
Con ARP gratuito IPv4, los campos Dirección de protocolo de origen y Dirección de protocolo de destino en el encabezado del mensaje de solicitud de ARP se configuran en la dirección IPv4 para la cual se detecta duplicación. En IPv6 DAD, el campo Dirección de destino en el mensaje de Solicitud de vecino (NS) se establece en la dirección IPv6 para la cual se detecta duplicación. DAD se diferencia de la resolución de direcciones en los siguientes aspectos:
- En el mensaje DAD NS, el campo Dirección de origen en el encabezado IPv6 se establece en la dirección no especificada (::). tLa dirección cuya duplicación se está consultando no se puede utilizar hasta que se determine que no hay duplicados.
- En la respuesta de anuncio de vecino (NA) a un mensaje DAD NS, la dirección de destino en el encabezado IPv6 se establece en la dirección de multidifusión de todos los nodos del enlace local (FF02::1). El indicador Solicitado en el mensaje NA se establece en 0. Debido a que el remitente del mensaje DAD NS no utiliza la dirección IP deseada, no puede recibir mensajes NA de unidifusión. Por tanto, el mensaje NA es de multidifusión.
- Al recibir el mensaje NA de multidifusión con el campo Dirección de destino configurado en la dirección IP para la cual se está detectando duplicación, el nodo desactiva el uso de la dirección IP duplicada en la interfaz. Si el nodo no recibe un mensaje NA que defienda el uso de la dirección, inicializa la dirección en la interfaz.
Entonces, en IPv6 el conflicto se detecta antes de que ocurra y la dirección IP duplicada no se puede usar hasta que se determine que no hay duplicados.