В нашей локальной сети (проводной и беспроводной) конфликт IP-адресов почти всегда приводит к сбою наших систем.
У нас много оборудования, подключенного к сети: ПК, точки доступа, радиочастоты, весы, POS-терминалы. Каждое оборудование имеет свой собственный диапазон определенных IP-адресов. Однако IP-адреса назначаются статически. Внешние поставщики настраивают свое соответствующее оборудование в автономном режиме. Это почти всегда является причиной конфликта, когда машины подключены к сети.
Мы уже знаем, как устранить неполадки и разрешить конфликт. Теперь я хочу спросить, КАК ЗАБЛОКИРОВАТЬ ИЛИ ПРЕДОТВРАТИТЬ ВНЕДРЕНИЕ ИЛИ ПОДКЛЮЧЕНИЕ к нашей сети любой машины/оборудования с IP-адресом, который конфликтует с существующими и используемыми IP-адресами?
Я планирую запускать LookAtLan по расписанию, скажем, в 2 часа ночи ежедневно, чтобы мы могли получать свежий список всех используемых IP- и MAC-адресов, а затем создать программу, которая будет автоматически выполнять проверку (IP-адреса) при обнаружении любого нового входа в сеть через порты коммутатора (только для проводных сетей — для беспроводных у меня ничего нет).
Как только новая запись была проверена и вступила в конфликт с существующей, моей ГЛАВНОЙ ПРОБЛЕМОЙ является вопрос: ЧТО И КАК ПРЕДОТВРАТИТЬ ВХОД?
Я не знаю, осуществимы ли мои планы и возможны ли они. Помогите, пожалуйста.
решение1
Поскольку, судя по всему, вы используете IPv4, сетевые конфликты статического IP-адреса можно найти с помощьюБезвозмездный ARPПроблема в том, что это обнаружение работает толькопосле того, как конфликт произошел.
Однако вы можете минимизировать влияние конфликта IP-адресов, используя функции безопасности некоторых коммутаторов, например:Динамическая проверка ARP от Ciscoкак и предполагалосьв этом ответе.
DAI — это функция безопасности, которая проверяет пакеты ARP в сети. DAI перехватывает, регистрирует и отбрасывает пакеты ARP с недействительными привязками IP-адресов к MAC-адресам. Эта возможность защищает сеть от некоторых атак типа «человек посередине».
Так что в основномВ IPv4 невозможно предотвратить конфликт статических (не назначенных DHCP) IP-адресов, и вам придется сосредоточиться на минимизации влияния возможного конфликта на вашу систему., чего можно достичь с помощью правильного сетевого оборудования и конфигурации.
Если вы используете IPv6, вы получите выгоду отОптимистичное обнаружение дубликатов адресов (DAD) для IPv6.
При использовании IPv4 gratuitous ARP поля Source Protocol Address и Target Protocol Address в заголовке сообщения ARP Request устанавливаются на адрес IPv4, для которого обнаруживается дублирование. В IPv6 DAD поле Target Address в сообщении Neighbor Solicitation (NS) устанавливается на адрес IPv6, для которого обнаруживается дублирование. DAD отличается от разрешения адресов следующим:
- В сообщении DAD NS поле «Адрес источника» в заголовке IPv6 установлено на неуказанный адрес (::). TАдрес, запрашиваемый на предмет дублирования, не может быть использован до тех пор, пока не будет установлено, что дубликатов нет.
- В ответе Neighbor Advertisement (NA) на сообщение DAD NS адрес назначения в заголовке IPv6 устанавливается на адрес многоадресной рассылки всех узлов локальной связи (FF02::1). Флаг Solicited в сообщении NA устанавливается на 0. Поскольку отправитель сообщения DAD NS не использует желаемый IP-адрес, он не может получать одноадресные сообщения NA. Поэтому сообщение NA является многоадресным.
- При получении многоадресного сообщения NA с полем Target Address, в котором указан IP-адрес, для которого обнаружено дублирование, узел отключает использование дублирующего IP-адреса на интерфейсе. Если узел не получает сообщение NA, защищающее использование адреса, он инициализирует адрес на интерфейсе.
Таким образом, в IPv6 конфликт обнаруживается до того, как он произойдет, и дублированный IP-адрес не может использоваться, пока не будет установлено, что дубликатов нет.