+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Конфликт с статическим IP...

Конфликт с статическим IP..., RouterOS

beithanina Guest	#1 0 11.04.2011 16:06:00 Я использую маршрутизатор версии 4.9 и выдаю клиентам статические IP. Как мне защитить себя от того, чтобы клиенты не меняли свои IP, потому что если какой-то клиент изменит свой IP, это приведет к конфликту?

otgooneo

Guest

04.07.2011 14:43:00

Привет, Fewi! Я использую RB1000 V5.5 для своей системы мониторинга. Он обрабатывает более 1000 статических маршрутов и около 250 интерфейсов VLAN. Все работает хорошо. Но иногда мои клиенты дублируют мой мониторинговый IP на их оборудовании. Я хочу знать, какой MAC-адрес дублирует мой IP. Иногда они дублируют свои собственные IP и начинают жаловаться на нас. Я хочу знать, какие MAC-адреса отправляют ARP для одинаковых IP-адресов. Это возможно? Когда я пытаюсь подслушивать, все подслушанные ARP-пакеты без IP-адреса. ROS показывает мне только MAC-адреса. Пакеты других протоколов (ICMP, HTTP) включают src и dst IP-адреса.

fewi

Guest

04.07.2011 17:04:00

Вы можете посмотреть на любой пакет, исходящий от клиента. Заголовок третьего уровня будет содержать IP-адреса, которые клиент поместил в пакет, а заголовок второго уровня будет содержать MAC-адреса, которые клиент вставил в кадр, инкапсулирующий пакет.

otgooneo

Guest

05.07.2011 01:56:00

Привет, Fewi. Как я могу решить свои существующие две проблемы? У тебя есть какие-нибудь идеи? RouterOS — это очень хороший продвинутый роутер, но у него по-прежнему нет самых базовых функций «Обнаружение дублирования IP» и «Защита от петель».

fewi

Guest

05.07.2011 02:22:00

Вы можете увидеть адреса уровня 2 и 3 или хост в любом пакете, который он отправляет. Это позволяет вам видеть, кто использует какие адреса. Если вам нужно жестко закодировать значения на маршрутизаторе, создайте статические записи ARP и установите режим ARP интерфейса в режим только для ответов. Альтернативный подход — потребовать DHCP: настройте DHCP-сервер на добавление записей ARP и используйте режим только для ответов на маршрутизаторе. Теперь клиенты со статическими IP больше не работают, и ваш маршрутизатор всегда имеет соответствие от DHCP-сервера. Вы не можете защитить клиентов друг от друга на маршрутизаторе — это нужно делать прямо на границе, либо на радио, либо на коммутаторе, или DSLAM, или любом другом оборудовании, которое завершает работу CPE. Это не недостаток RouterOS. Чтобы предотвратить дублирование IP адресов мониторингового оборудования клиентами, разместите мониторинговое оборудование в другой сети — это вообще-то лучшее решение, инфраструктура и клиенты всегда должны быть разделены. Я не совсем уверен, как тут связана loopguard. Это связано с деревом покрытий, что не является традиционной функцией маршрутизатора.

otgooneo

Guest

07.07.2011 14:44:00

Привет. Попробовал добавить немного скрипта в свою конфигурацию. У меня работает. #Необходимо добавить правило mangle на все интерфейсы
/ip firewall mangle
add action=passthrough chain=input comment=Protectionether1 disabled=no \
dst-address-type=broadcast in-interface=ether1
add action=passthrough chain=input comment=Protectionether2 disabled=no \
dst-address-type=broadcast in-interface=ether2
add action=passthrough chain=input comment=Protectionether3 disabled=no \
dst-address-type=broadcast in-interface=ether3
add action=passthrough chain=input comment=Protectionether4 disabled=no \
dst-address-type=broadcast in-interface=ether4 ::::Скрипт для обнаружения и отключения интерфейса:::: #Запускать каждые 1 минуту. Начало в 00:00:00
/ip firewall mangle;
:foreach EachMangle in=[find where comment~"Protectionether"] do={
:local PacketStatus1 [get $EachMangle packets];
:delay 1s;
:local PacketStatus2 [get $EachMangle packets];
:local PacketThreshold [($PacketStatus2-$PacketStatus1)];
:if ($PacketThreshold>=4000) do={:local InterfaceName [get $EachMangle in-interface];
/interface ethernet;
:local OldComments [get [find where name=$InterfaceName] comment];
/interface ethernet set [find where name=$InterfaceName] disabled=yes comment="LOOPGUARDED:: $OldComments";
:log error "Обнаружен цикл (возможно, broadcast-шторм) на интерфейсе, отключен $InterfaceName"}} ::::Скрипт для восстановления интерфейса:::: #Запускать каждые 5 минут. Начало в 00:00:10
/interface ethernet;
:foreach EachEthernet in=[find where comment~"LOOPGUARDED"] do={
:local InterfaceName1 [get $EachEthernet name];
:local OldComments1 [:pick [get $EachEthernet comment] 14 100];
/interface ethernet set $EachEthernet disabled=no comment=$OldComments1;
:log warning "Восстановление интернета с защитой от петель $InterfaceName1"} Я знаю, что цикл может быть не только из-за широковещательной рассылки. Но я несколько раз проверял и всегда фиксировал широковещательные пакеты.

ihsan

Guest

05.11.2016 05:28:00

перейдите к интерфейсам… выберите LAN-интерфейс, дважды щелкните, затем на вкладке "Основные" выберите "только ответ" из выпадающего меню в ARP… теперь создайте статические записи ARP для каждого клиента через IP>arp… как только вы назначите статический IP через статический ARP, никто не сможет изменить IP-адрес любой клиентской машины…

otgooneo Guest	#8 0 13.12.2016 03:52:00 Мой пост был в 2011 году. Но до сих пор нет хорошей системы обнаружения конфликтов IP в RouterOS. Ваш метод ARP — это всего лишь обходное решение. Спасибо. Но в реальной сети лучше изучать ARP динамически. Также статические записи ARP помогут только маршрутизатору узнать, какой хост правильный при конфликте IP, а что насчет остальных? Каждый хост в сети должен знать правильный хост, когда происходит конфликт IP. Так что лучший способ — это обнаружение. Устранение неполадок, поиск и исправление — это следующие шаги в зависимости от сети. Маршрутизатор не может решить эту проблему для всей сети. Он может защитить только себя.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры