Duplikat adresu IP - który wygrywa?


14

Jeśli istnieje duplikat adresu IP, który „wygrywa”? Po pierwsze, ostatnie, klapy, ani?


Patrz RFC 4862, sekcja „Wykrywanie duplikatów adresów”.
BatchyX,

RFC5227 może być również użyteczny zasób
ytti

Czy jakaś odpowiedź ci pomogła? jeśli tak, powinieneś zaakceptować odpowiedź, aby pytanie nie wyskakiwało wiecznie, szukając odpowiedzi. Alternatywnie możesz podać i zaakceptować własną odpowiedź.
Ron Maupin

Odpowiedzi:


17

IPv4:

Będzie „trzepotać”. Na hoście wysyłającym (innym hoście lub bramie / routerze) pojawi się wpis ARP dla adresu IP wskazujący na adres MAC jednego z hostów. Pakiety trafią do jednego z hostów, gdziekolwiek obecnie wskazuje pozycja ARP. To skutecznie zakłóci łączność dla obu hostów.

IPv6:

Protokół wykrywania sąsiadów wykona wykrywanie duplikatu adresu (DAD) przed skonfigurowaniem / aktywacją nowego adresu. Kiedy wykryje, że nowy adres tymczasowy jest już w użyciu, nie aktywuje adresu, więc „pierwszy” host będzie nadal miał łączność.


1
Uwaga: (jak w przypadku wszystkich IPv6) wciąż jest dziura. TAD nie będzie działać, jeśli dwa hosty nie będą się widzieć, gdy przydzielą adres. Więc nadal możesz skończyć w tej samej dziurze.
Ricky Beam

1
Tak, gdy hosty się nie widzą, DAD nie będzie działał, ale nie jest to taki problem z IPv6. Jeśli nie masz łączności, żaden protokół nie może temu zapobiec.
Sebastian Wiesinger

3
IPv4 może również wykonywać DAD, klienci DHCP często to robią. Ale średnio zgadzam się, że host v6 jest bardziej skłonny to zrobić. Tryb awarii jest prawie taki sam w obu przypadkach.
ytti

8

Jeśli istnieje duplikat adresu IP, który „wygrywa”? Po pierwsze, ostatnie, klapy, ani?

Myślałem o tym pytaniu przez ostatnie sześć godzin ... Myślę, że najbardziej odpowiednią odpowiedzią jest „Nikt nie wygrywa” .

Innymi słowy, co najmniej dwa komputery nie mogą być używane niezawodnie. Co więcej, spędzasz czas na rozwiązywaniu problemu i ten czas mógł zostać wykorzystany na coś o wiele bardziej produktywnego. Każdy, kto był inżynierem sieci od dawna, wie, że czas to jedna rzecz, której często nam brakuje.

Podstawowe rozwiązanie zapobiegające konfliktom adresów IP

Konflikty adresów IP wskazują na podstawową awarię lub brak dobrych procesów alokacji adresów IP. Jeśli proces jest zawiniony, tego rodzaju problemy należy szybko rozwiązać; w przeciwnym razie możesz spędzić zbyt wiele cykli na taktycznych problemach.

Proaktywne planowanie może polegać na:

  • DHCP dla komputerów PC
  • Statyczne rezerwacje DHCP dla serwerów
  • Szpiegowanie DHCP na portach przełączania
  • Ochrona źródła IP na portach przełączania
  • Dynamiczna kontrola ARP na portach przełączania

W Cisco IOS konfiguracja IP Source Guard i DHCP snooping wyglądałaby mniej więcej tak:

!! NOTE: Source guard requires DHCP Snooping global config
!! NOTE: Source guard requires DHCP Snooping on vlan
!! NOTE: Source guard *static* bindings REQUIRE DHCP snooping on the switch
!!     (even if you aren't using DHCP anywhere else)
ip dhcp snooping
ip dhcp snooping vlan 100,200
!
! static Source Guard binding for a non-DHCP device
ip source binding 0011.2233.4455 vlan 100 10.71.2.85 interface GigabitEthernet 5/48
!
interface GigabitEthernet 4/1
 description For DHCP_SERVER port
 switchport access vlan 200
 ! Trust DHCP server ports
 ip dhcp snooping trust
!
interface GigabitEthernet 5/20
 description For DHCP_PC port
 switchport access vlan 200
 no ip dhcp snooping trust
 ip verify source
!

Takie rozwiązanie zapobiegnie konfliktom adresów IP przed ich uruchomieniem. Jeśli masz już problem, zacznę budować plan jego rozwiązania. To tylko jedno możliwe rozwiązanie.


5

W przypadku protokołu IPv4 pakiety IP wysłane na zduplikowany adres zostaną wysłane na adres MAC znajdujący się obecnie w pamięci podręcznej ARP. Trzepotanie nastąpi tylko wtedy, gdy oba hosty wyślą odpowiedzi ARP do nadawcy, trzepocząc wpis ARP. Jeśli nie otrzymamy odpowiedzi ARP, połączenie będzie w porządku z jednym z właścicieli duplikatu adresu IP.

Zatem ostatni gospodarz, który odpowie (lub odpowiedział) na żądanie ARP, „wygra”. Konkurs odbędzie się dla każdego nowego hosta, który chce komunikować się ze zduplikowanym adresem IP.

Możesz sfałszować konkurencję, regularnie wysyłając bezpłatne ARP.


4

Jeśli nie ma wpisu ARP (inny host chce porozmawiać z duplem), to kto kiedykolwiek odpowie jako pierwszy, wygrywa; a hosty (i wiele routerów) buforują wpisy ARP czasami przez wiele godzin.


1
Czy ostatnia odpowiedź nie wygrywa? ARP mogą być buforowane przez długi czas, ale myślę, że wpis zostanie nadpisany, gdy nadejdzie nowa odpowiedź ARP. Druga odpowiedź nadpisze pierwszą. Pierwsze pakiety mogą skończyć się na hoście, który odpowiedział jako pierwszy, ale po otrzymaniu drugiej odpowiedzi przeszedłbyś na wysyłanie pakietów do tego hosta.
Gerben

1

Zasadniczo tego rodzaju incydentom zapobiega się, zanim stworzą konflikt.
Bezpłatne ARP pomaga hostowi ustalić, czy inny host już korzysta z określonego adresu IP. Host wysyłający nie oczekuje odpowiedzi, co oznacza, że ​​podany adres nie jest używany przez inny host. W przypadku otrzymania odpowiedzi wyświetlany jest komunikat o błędzie „Duplikat adresu IP ...”. Jest to sygnał ostrzegawczy dotyczący błędnej konfiguracji. Nie zapewnia to żadnego schematu reakcji w celu rozwiązania problemu.

Serwery DHCP zazwyczaj wykonują wykrywanie konfliktów adresów (ACD) [RFC5227], aby uniknąć takich konfliktów. Składa się z sondy ARP i pakietów ogłoszeniowych ARP. Sonda ARP to specjalny rodzaj pakietu ARP, w którym pole Adres protokołu nadawcy jest ustawione na 0. Ma to na celu uniknięcie zanieczyszczenia pamięci podręcznej. Z drugiej stronyOgłoszenie ARP jest podobne do sondy ARP, ale ma wypełnione pola Adres protokołu nadawcy i Adres protokołu docelowego. Służy do ogłaszania zamiaru nadawcy użycia odpowiedniego adresu IP.
Po ustanowieniu nowego łącza interfejsu trzy pakiety sond ARP są wysyłane przed oczekiwaniem na losowy czas (zakres 0-1). Podczas wysyłania tych sond węzeł może odbierać żądania ARP LUB odpowiedzi . Odpowiedź wskazuje na obecność innego węzła przy użyciu danego adresu IP. Wniosek zawierający ten sam adres IP w polu adresu jest to protokół cel zakłada, że inny węzeł próbuje zdobyć ten sam adres IP. W obu przypadkach wyświetlany jest komunikat o błędzie i realizowany jest alternatywny adres IP.Jest to zalecane zachowanie, gdy adresy są przydzielane przez DHCP . Jeśli węzeł wysyłający nie wykryje żadnego konfliktu, może zażądać adresu IP, który wypełnił adres protokołu nadawcy.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.