在我們的 LAN 環境(有線和無線)中,IP 位址衝突幾乎總是會導致我們的系統癱瘓。
我們有許多設備連接到網路:PC、接入點、RF、體重計、POS 機。每個設備都有自己定義的 IP 位址範圍。然而,IP 是靜態分配的。外部供應商離線配置各自的設備。當機器連接到網路時,這幾乎是衝突的常見情況。
我們已經知道如何排除和解決衝突。我現在想問的是如何阻止或防止任何IP位址與現有和使用的IP位址衝突的機器/裝置引入或連接到我們的網路?
我計劃在每天凌晨 2 點的計劃任務上運行 LookAtLan,這樣我們就可以獲得所有使用的 IP 和 Mac 位址的最新列表,然後創建一個程序,在檢測到任何新條目時自動執行(IP 的)驗證。透過交換器連接埠進行網路(僅適用於有線- 我沒有無線)。
一旦新條目被驗證與現有條目衝突,我的主要問題是什麼以及如何阻止條目。
我不知道我的計劃是否可行和可能。請幫忙。
答案1
由於您似乎使用的是 IPv4,因此可以透過以下方式找到靜態 IP 位址的網路衝突免費ARP。問題是,這種檢測僅有效衝突發生後。
不過,您可以使用某些交換器的安全功能將 IP 位址衝突的影響降至最低,例如思科的動態 ARP 檢查按照建議在這個答案中。
DAI 是一種驗證網路中 ARP 封包的安全功能。 DAI 攔截、記錄並丟棄具有無效 IP 到 MAC 位址綁定的 ARP 封包。此功能可保護網路免受某些中間人攻擊。
所以基本上在 IPv4 中,您無法防止靜態(非 DHCP 分配的)IP 位址衝突,您必須專注於盡量減少最終衝突對系統的影響,這可以透過使用適當的網路硬體和配置來實現。
如果您使用 IPv6,您將受益於IPv6 的樂觀重複位址偵測 (DAD)。
使用 IPv4 免費 ARP,ARP 請求訊息標頭中的來源協定位址和目標協定位址欄位將設定為正在偵測重複的 IPv4 位址。在 IPv6 DAD 中,鄰居請求 (NS) 訊息中的目標位址欄位設定為正在偵測重複的 IPv6 位址。 DAD 與位址解析有以下不同:
- 在 DAD NS 訊息中,IPv6 標頭中的來源位址欄位設定為未指定位址 (::)。時間在確定不存在重複項之前,不能使用正在查詢重複的位址。
- 在對 DAD NS 訊息的鄰居通告 (NA) 回覆中,IPv6 標頭中的目標位址設定為連結本地所有節點多播位址 (FF02::1)。 NA訊息中的Solicited標誌設定為0。因此,NA訊息是多播的。
- 收到目標位址欄位設定為正在偵測重複的 IP 位址的多播 NA 訊息後, 節點禁止在介面上使用重複的 IP 位址。如果節點沒有收到保護該位址使用的 NA 訊息,它將在介面上初始化該位址。
因此,在 IPv6 中,衝突會在衝突發生之前被偵測到,並且在確定不存在重複之前不能使用重複的 IP 位址。