2

В нашей среде локальной сети (проводной и беспроводной) конфликт IP-адресов почти всегда приводит к сбоям в работе наших систем.

У нас есть много оборудования, подключенного к сети: ПК, точки доступа, RF, весы, POS-машины. Каждое оборудование имеет свой собственный диапазон определенных IP-адресов. Однако IP-адреса назначаются статически. Внешние поставщики настраивают свое соответствующее оборудование в автономном режиме. Это почти всегда конфликт, когда машины подключены к сети.

Мы уже знаем, как устранить неполадки и разрешить конфликт. Теперь я хочу спросить, КАК БЛОКИРОВАТЬ ИЛИ ПРЕДОТВРАТИТЬ ВВЕДЕНИЕ ИЛИ ПОДКЛЮЧЕНИЕ какого-либо устройства / оборудования к нашей сети с IP-адресом, который конфликтует с существующими и используемыми IP-адресами?

Я планирую запускать LookAtLan для запланированной задачи, скажем, в 2 часа ночи, чтобы мы могли получить новый список всех используемых IP- и Mac-адресов, а затем создать программу, которая будет автоматически выполнять проверку (IP) при обнаружении любой новой записи в сеть через порты коммутатора (только для проводной - у меня ничего нет для беспроводной).

Как только новая запись была подтверждена в конфликте с существующей, ЧТО И КАК ПРЕДОТВРАТИТЬ ЗАПИСЬ, МОЯ ОСНОВНАЯ ПРОБЛЕМА.

Я не знаю, если мои планы осуществимы и возможны. Пожалуйста помоги.

|источник

1 ответ1

0

Поскольку кажется, что вы используете IPv4, конфликты статического IP-адреса в сети могут быть обнаружены с помощью бесплатного ARP. Проблема в том, что это обнаружение работает только после возникновения конфликта.

Однако можно минимизировать влияние конфликта IP-адресов с помощью функций безопасности некоторых коммутаторов, таких как Cisco Dynamic ARP Inspection, как предлагается в этом ответе.

DAI - это функция безопасности, которая проверяет пакеты ARP в сети. DAI перехватывает, регистрирует и отбрасывает пакеты ARP с недопустимыми привязками IP-MAC-адресов. Эта возможность защищает сеть от некоторых атак «человек посередине».

Таким образом, в основном в IPv4 вы не можете предотвратить статический (не назначенный DHCP) конфликт IP-адресов, и вам нужно сконцентрироваться на минимизации влияния возможного конфликта на вашу систему, который может быть достигнут с помощью надлежащего сетевого оборудования и конфигурации.

Если бы вы использовали IPv6, вы бы выиграли от Оптимистического обнаружения повторяющихся адресов (DAD) для IPv6.

При использовании бесплатной ARP IPv4 поля «Адрес исходного протокола» и «Адрес целевого протокола» в заголовке сообщения «Запрос ARP» устанавливаются на адрес IPv4, для которого обнаруживается дублирование. В DAD IPv6 в поле «Целевой адрес» в сообщении запроса соседей (NS) указывается адрес IPv6, для которого обнаруживается дублирование. DAD отличается от разрешения адресов следующими способами:

  • В сообщении DAD NS в поле Source Address в заголовке IPv6 указывается неопределенный адрес (::). Адрес, запрашиваемый для дублирования, не может быть использован, пока не будет установлено, что дубликатов нет.
  • В ответе на объявление соседей (NA) на сообщение NS DAD адрес получателя в заголовке IPv6 задается как многоадресный адрес локального соединения для всех узлов (FF02::1). Флаг запроса в сообщении NA установлен в 0. Поскольку отправитель сообщения NS DAD не использует требуемый IP-адрес, он не может получать сообщения одноадресной рассылки. Следовательно, сообщение NA является многоадресным.
  • После получения многоадресного сообщения NA с полем Target Address, установленным в IP-адрес, для которого обнаруживается дублирование, узел отключает использование дублированного IP-адреса в интерфейсе. Если узел не получает сообщение NA, которое защищает использование адреса, он инициализирует адрес на интерфейсе.

Таким образом, в IPv6 конфликт обнаруживается до его возникновения, и дублированный IP-адрес не может использоваться, пока не будет определено, что дубликатов нет.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .