Jeśli istnieje duplikat adresu IP, który „wygrywa”? Po pierwsze, ostatnie, klapy, ani?
Jeśli istnieje duplikat adresu IP, który „wygrywa”? Po pierwsze, ostatnie, klapy, ani?
Odpowiedzi:
IPv4:
Będzie „trzepotać”. Na hoście wysyłającym (innym hoście lub bramie / routerze) pojawi się wpis ARP dla adresu IP wskazujący na adres MAC jednego z hostów. Pakiety trafią do jednego z hostów, gdziekolwiek obecnie wskazuje pozycja ARP. To skutecznie zakłóci łączność dla obu hostów.
IPv6:
Protokół wykrywania sąsiadów wykona wykrywanie duplikatu adresu (DAD) przed skonfigurowaniem / aktywacją nowego adresu. Kiedy wykryje, że nowy adres tymczasowy jest już w użyciu, nie aktywuje adresu, więc „pierwszy” host będzie nadal miał łączność.
Jeśli istnieje duplikat adresu IP, który „wygrywa”? Po pierwsze, ostatnie, klapy, ani?
Myślałem o tym pytaniu przez ostatnie sześć godzin ... Myślę, że najbardziej odpowiednią odpowiedzią jest „Nikt nie wygrywa” .
Innymi słowy, co najmniej dwa komputery nie mogą być używane niezawodnie. Co więcej, spędzasz czas na rozwiązywaniu problemu i ten czas mógł zostać wykorzystany na coś o wiele bardziej produktywnego. Każdy, kto był inżynierem sieci od dawna, wie, że czas to jedna rzecz, której często nam brakuje.
Konflikty adresów IP wskazują na podstawową awarię lub brak dobrych procesów alokacji adresów IP. Jeśli proces jest zawiniony, tego rodzaju problemy należy szybko rozwiązać; w przeciwnym razie możesz spędzić zbyt wiele cykli na taktycznych problemach.
Proaktywne planowanie może polegać na:
W Cisco IOS konfiguracja IP Source Guard i DHCP snooping wyglądałaby mniej więcej tak:
!! NOTE: Source guard requires DHCP Snooping global config
!! NOTE: Source guard requires DHCP Snooping on vlan
!! NOTE: Source guard *static* bindings REQUIRE DHCP snooping on the switch
!! (even if you aren't using DHCP anywhere else)
ip dhcp snooping
ip dhcp snooping vlan 100,200
!
! static Source Guard binding for a non-DHCP device
ip source binding 0011.2233.4455 vlan 100 10.71.2.85 interface GigabitEthernet 5/48
!
interface GigabitEthernet 4/1
description For DHCP_SERVER port
switchport access vlan 200
! Trust DHCP server ports
ip dhcp snooping trust
!
interface GigabitEthernet 5/20
description For DHCP_PC port
switchport access vlan 200
no ip dhcp snooping trust
ip verify source
!
Takie rozwiązanie zapobiegnie konfliktom adresów IP przed ich uruchomieniem. Jeśli masz już problem, zacznę budować plan jego rozwiązania. To tylko jedno możliwe rozwiązanie.
W przypadku protokołu IPv4 pakiety IP wysłane na zduplikowany adres zostaną wysłane na adres MAC znajdujący się obecnie w pamięci podręcznej ARP. Trzepotanie nastąpi tylko wtedy, gdy oba hosty wyślą odpowiedzi ARP do nadawcy, trzepocząc wpis ARP. Jeśli nie otrzymamy odpowiedzi ARP, połączenie będzie w porządku z jednym z właścicieli duplikatu adresu IP.
Zatem ostatni gospodarz, który odpowie (lub odpowiedział) na żądanie ARP, „wygra”. Konkurs odbędzie się dla każdego nowego hosta, który chce komunikować się ze zduplikowanym adresem IP.
Możesz sfałszować konkurencję, regularnie wysyłając bezpłatne ARP.
Jeśli nie ma wpisu ARP (inny host chce porozmawiać z duplem), to kto kiedykolwiek odpowie jako pierwszy, wygrywa; a hosty (i wiele routerów) buforują wpisy ARP czasami przez wiele godzin.
Zasadniczo tego rodzaju incydentom zapobiega się, zanim stworzą konflikt.
Bezpłatne ARP pomaga hostowi ustalić, czy inny host już korzysta z określonego adresu IP. Host wysyłający nie oczekuje odpowiedzi, co oznacza, że podany adres nie jest używany przez inny host. W przypadku otrzymania odpowiedzi wyświetlany jest komunikat o błędzie „Duplikat adresu IP ...”. Jest to sygnał ostrzegawczy dotyczący błędnej konfiguracji. Nie zapewnia to żadnego schematu reakcji w celu rozwiązania problemu.
Serwery DHCP zazwyczaj wykonują wykrywanie konfliktów adresów (ACD) [RFC5227], aby uniknąć takich konfliktów. Składa się z sondy ARP i pakietów ogłoszeniowych ARP. Sonda ARP to specjalny rodzaj pakietu ARP, w którym pole Adres protokołu nadawcy jest ustawione na 0. Ma to na celu uniknięcie zanieczyszczenia pamięci podręcznej. Z drugiej stronyOgłoszenie ARP jest podobne do sondy ARP, ale ma wypełnione pola Adres protokołu nadawcy i Adres protokołu docelowego. Służy do ogłaszania zamiaru nadawcy użycia odpowiedniego adresu IP.
Po ustanowieniu nowego łącza interfejsu trzy pakiety sond ARP są wysyłane przed oczekiwaniem na losowy czas (zakres 0-1). Podczas wysyłania tych sond węzeł może odbierać żądania ARP LUB odpowiedzi . Odpowiedź wskazuje na obecność innego węzła przy użyciu danego adresu IP. Wniosek zawierający ten sam adres IP w polu adresu jest to protokół cel zakłada, że inny węzeł próbuje zdobyć ten sam adres IP. W obu przypadkach wyświetlany jest komunikat o błędzie i realizowany jest alternatywny adres IP.Jest to zalecane zachowanie, gdy adresy są przydzielane przez DHCP . Jeśli węzeł wysyłający nie wykryje żadnego konfliktu, może zażądać adresu IP, który wypełnił adres protokołu nadawcy.