Prevenire conflitti di indirizzi IP su una rete eterogenea composta da PC e sistemi integrati in un ambiente di vendita al dettaglio

2

Nel nostro ambiente LAN (cablato e wireless), il conflitto di indirizzi IP quasi sempre mette in crisi i nostri sistemi.

Abbiamo molte apparecchiature collegate alla rete: PC, Access Point, RF, bilance, macchine POS. Ogni apparecchiatura ha la propria gamma di indirizzi IP definiti. Tuttavia, gli IP sono assegnati staticamente. I fornitori esterni configurano le rispettive apparecchiature offline. Questo è quasi sempre il caso di un conflitto quando le macchine sono connesse alla rete.

Sappiamo già come risolvere e risolvere il conflitto. Quello che voglio chiedere ora è COME BLOCCARE O PREVENIRE L'INTRODUZIONE O IL COLLEGAMENTO di qualsiasi macchina / apparecchiatura alla nostra rete con indirizzo IP in conflitto con gli IP esistenti e utilizzati?

Sto programmando di eseguire LookAtLan su un'attività pianificata, ad esempio le 2 del mattino, in modo da poter ottenere un nuovo elenco di tutti gli indirizzi IP e Mac utilizzati, quindi creare un programma che eseguirà automaticamente la convalida (dell'IP) al rilevamento di qualsiasi nuova voce al rete tramite le porte dello switch (solo via cavo - non ho nulla per il wireless).

Una volta che la nuova voce è stata convalidata in conflitto con quella esistente, COSA E COME PREVENIRE L'INGRESSO è il mio PROBLEMA PRINCIPALE.

Non so se i miei piani siano fattibili e possibili. Per favore aiuto.

networking  ip-address  embedded 
Katt
fonte
3
Esaminare le prenotazioni di indirizzi DHCP e forse MAC per la rete di dati critici. Avere una sottorete guest separata per le connessioni ad hoc per garantire che ci siano conflitti solo con i dispositivi guest e magari configurarla anche con DHCP.
Pimp Juice IT
1
Sfortunatamente, le domande hardware o software aziendali sono fuori tema qui. Prova invece Server Fault . Consulta il centro assistenza per i dettagli. (Per favore, non fare il cross-post - se
pubblichi la
Qualsiasi host con un indirizzo assegnato staticamente utilizzerà quell'indirizzo e, se è in conflitto con un indirizzo assegnato esistente, si ottiene un conflitto. Questo è davvero tutto ciò che c'è da fare. È necessario utilizzare DHCP, anziché indirizzi assegnati staticamente, per evitare tali problemi.
Ron Maupin,
@ 1Fish_2Fish_RedFish_BlueFish: Grazie per la risposta immediata. Tuttavia, non utilizziamo DHCP a causa di problemi di sincronizzazione della larghezza di banda con l'ufficio centrale. la sottorete guest non è possibile poiché le nuove voci faranno parte permanentemente della rete.
Katt,
1
IP Address conflict almost always gets our systems down- cosa significa esattamente? Voglio dire, dovrebbe esserci un modo per mantenere il resto della funzionalità del sistema anche con qualche conflitto di indirizzo IP occasionale. Quale hardware di rete (switch) usi?
Vojtěch Dohnal,

Risposte:

0

Poiché sembra che tu stia utilizzando IPv4, i conflitti di rete dell'indirizzo IP statico possono essere trovati da ARP gratuito . Il problema è che questo rilevamento funziona solo dopo che si è verificato il conflitto .

Puoi tuttavia minimizzare l'impatto del conflitto di indirizzi IP utilizzando le funzionalità di sicurezza di alcuni switch, come il Dynamic ARP Inspection di Cisco, come suggerito in questa risposta .

DAI è una funzione di sicurezza che convalida i pacchetti ARP in una rete. DAI intercetta, registra e scarta i pacchetti ARP con associazioni di indirizzi IP-MAC non valide. Questa capacità protegge la rete da alcuni attacchi man-in-the-middle.

Quindi sostanzialmente in IPv4 non puoi prevenire conflitti di indirizzi IP statici (non assegnati da DHCP) e devi concentrarti sulla minimizzazione dell'impatto di eventuali conflitti sul tuo sistema , che può essere ottenuto usando l'hardware e la configurazione di rete adeguati.

Se si utilizza IPv6, si trarrà vantaggio da Optimistic Duplicate Address Detection (DAD) per IPv6 .

Con IPP4 gratuito ARP, i campi Indirizzo protocollo di origine e Indirizzo protocollo di destinazione nell'intestazione del messaggio Richiesta ARP sono impostati sull'indirizzo IPv4 per il quale viene rilevata la duplicazione. In IPv6 DAD, il campo Indirizzo target nel messaggio Neighbor Solicitation (NS) è impostato sull'indirizzo IPv6 per il quale viene rilevata la duplicazione. DAD differisce dalla risoluzione dell'indirizzo nei seguenti modi:

  • Nel messaggio DAD NS, il campo Indirizzo sorgente nell'intestazione IPv6 è impostato sull'indirizzo non specificato (: :). L ' indirizzo richiesto per la duplicazione non può essere utilizzato fino a quando non viene stabilito che non vi sono duplicati.
  • Nella risposta Neighbor Advertisement (NA) a un messaggio DAD NS, l'indirizzo di destinazione nell'intestazione IPv6 è impostato sull'indirizzo multicast di tutti i nodi collegamento locale (FF02 :: 1). Il flag richiesto nel messaggio NA è impostato su 0. Poiché il mittente del messaggio DAD NS non utilizza l'indirizzo IP desiderato, non può ricevere messaggi NA unicast. Pertanto, il messaggio NA è multicast.
  • Alla ricezione del messaggio NA multicast con il campo Indirizzo di destinazione impostato sull'indirizzo IP per il quale viene rilevata la duplicazione, il nodo disabilita l'uso dell'indirizzo IP duplicato sull'interfaccia . Se il nodo non riceve un messaggio NA che difende l'uso dell'indirizzo, inizializza l'indirizzo sull'interfaccia.

Quindi in IPv6 il conflitto viene rilevato prima che si verifichi e l'indirizzo IP duplicato non può essere utilizzato fino a quando non viene determinato che non ci sono duplicati.

Vojtěch Dohnal
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.