Protegendo a rede: conflitos de IP e suas soluções

Se você tivesse um servidor DHCP na sua rede, ele gerenciaria uma variedade de endereços IP e designaria novos clientes um deles, garantindo que nenhum cliente use o mesmo IP ao mesmo tempo.

Alguns roteadores de hardware já incluem um servidor DHCP (especialmente aqueles para uso doméstico) e vários As distribuições do Linux incluem uma função de servidor DHCP . É claro que os clientes teriam que ser configurados para usar o servidor DHCP em vez de ter endereços IP fixos ou se autocodificarem um (como o Windows faz quando não consegue um via DHCP).

Se você atribuir manualmente endereços IP a dispositivos que estão na mesma rede, é sua responsabilidade garantir que eles não entrem em conflito.

A rota usual é como @PersonalNexus diz - DHCP - que pode atribuí-los automaticamente de forma que você não receba conflitos. Este é o mais simples para uma grande rede, na verdade, para redes muito grandes, é a única solução prática.

Uma alternativa, que é muito complicada (e que eu não recomendaria não ), é ter cada dispositivo em uma rede separada (e realmente executar redes em cada ponto de correção) - isso, no entanto, exige que você configure o roteador / switch para lidar com várias LANs ou VLANs usando o mesmo espaço de rede, exigindo que cada um seja NAT. Se você ainda não tem experiência em gerenciar conflitos de rede, sugiro que configurar um switch para fazer isso seja excepcionalmente difícil.

Não há uma maneira real de impedir que os usuários atribuam IPs aleatórios (= arriscar um IP em colisão), mas restringir-lhes de atribuir os próprios IPs - também conhecidos pelo próprio administrador ou por DHCP.

Se a rede for um pouco maior, pode ser uma boa ideia separar-se em vlans de cliente e servidor com algum roteamento (L3-Switch) intermediário - pelo menos os servidores preciosos estão protegidos desses IPs colidindo. - mas não há necessidade de uma vlan para cada servidor - apenas uma vlan onde apenas o administrador pode mudar as coisas e nenhum usuário tem acesso físico e apenas conecta seus laptops ...

tsg

Uma maneira de fazer isso é atribuir a cada servidor sua própria vlan. Todos os intervalos de IP a que o servidor deve ter acesso são atribuídos a essa vlan. Eles não têm permissão para usar qualquer IP que esteja fora desses intervalos (o roteador simplesmente não o encaminhará para eles).

A outra opção é rotear estaticamente todo o tráfego de um determinado IP para um determinado endereço MAC. Isso não é ótimo, pois há um breve período em que, se o servidor for reinicializado, outro cliente poderá reivindicar o endereço MAC.

Com determinados switches, você pode restringir exatamente quais endereços IP são permitidos em cada porta. Por exemplo, em um Cisco você poderia fazer:

ip access-list standard fa001
permit 192.0.2.1
int Fa0/1
ip access-list fa001 in

O que isto significa é que o único endereço IP permitido estar no dispositivo em Fa0 / 1 é 192.0.2.1. Se o usuário tentar adicionar outro endereço IP, ele não terá onde.

Claro que isso só funcionará onde cada host tiver um ip estático. Pode funcionar também com DHCP!

Isso está na Cisco, mas tenho certeza de que outros switches têm recursos semelhantes.

Você tem algum servidor DHCP em execução na sua rede que forneceu este endereço. Pode ser um roteador / switch DHCP (provavelmente) ou apenas uma caixa com o dhcpd em execução. O que torna uma espécie de servidor de rede. É muito normal que você receba conflitos e outros problemas quando usa as duas técnicas em uma rede.