Mi a teendő, ha a Windows APIPA IP-címet (169.xxx) rendel hozzá: valódi okok és végleges megoldás

Amikor az eszköz címe 169.254.xx, és a hálózat korlátozott kapcsolatra figyelmeztet, akkor nagyon valószínű, hogy az APIPA automatikus címzés működik. Ez a mechanizmus vészhelyzeti helyi IP-címet rendel hozzá, amikor a DHCP szivárog, lehetővé téve bizonyos kommunikációt ugyanazon a fizikai hálózaton, de más hálózatokhoz való hozzáférés nélkül.

Otthoni és vállalati környezetben ez egy visszatérő téma: DHCP-ben lévő kártyák, amelyek nem kapnak választ és APIPA-ba esnek, laptopok, amelyek Wi-Fi-n keresztül csatlakoznak internet nélkül, vagy szerverek, amelyek egy adott probléma miatt leállítják a bérletük megújítását. Az APIPA megértése, működése, letiltása vagy diagnosztizálása Időt és fejfájást takarít meg.

Mi az APIPA és mire való?

APIPA (Automatikus privát IP-címzés) egy IPv4-funkció, amely automatikusan konfigurálja az interfészt a 169.254.0.0/16 blokk címével, ha nincs elérhető DHCP-kiszolgáló. Csak a 255.255.0.0 IP-címet és maszkot rendeli hozzá, átjáró vagy DNS nélkül., így lehetővé teszi a helyi kommunikációt az ugyanazon a szegmensen lévő eszközök között, és semmi máson.

Ezt a területet az IANA tartja fenn a link-local címek számára az RFC 3927 szerint, és az úgynevezett link-local tartományokba esik. A gyakorlatban az APIPA tartja életben a hálózatot helyi szinten. amikor nincs érvényes konfiguráció, de nem irányítható vagy nem alkalmas internet-hozzáférésre.

Fontos a szabályok felállítása: a RFC 3330 (amelyet később az RFC 5735 váltott fel) és az RFC 3927 határozza meg ezen címek használatát. A számítógépeken általában a 169.254.1.0 és 169.254.254.255 közötti tartomány használható., mindkét végét fenntartva (169.254.0.x és 169.254.255.x), és a 169.254.255.255 címet használva üzenetszórásként.

Hogyan működik az APIPA részletesen

Amikor egy interfész DHCP-ben van, és nem kap választ, a rendszer aktiválja az APIPA-t. A kliens indításkor több DHCPDISCOVER üzenetet küld.; egy gyakori leírás szerint néhány másodperc alatt 3 vagy 4 kérést küld, és ha nincs válasz, akkor link-local automatikus konfigurációt kezdeményez.

Az automatikus konfiguráció során az eszköz egy pszeudovéletlenszerű IP-címet választ a megengedett tartományon belül, és a beállítás előtt próbák (ARP vagy broadcast) segítségével ellenőrzi, hogy az nincs-e használatban. Ha ütközést észlel, akkor a maximális számú próbálkozásig próbálkozik egy másik címmel.egyes szövegek akár 10 próbálkozást is leírnak, mielőtt feladnák, ha az összecsapások továbbra is fennállnak.

A hozzárendelés után a kliens rendszeresen folytatja a DHCP-kiszolgáló keresését. Windows rendszeren például a DHCP-kéréseket körülbelül 5 percenként újrapróbálja a rendszer.Ha megjelenik egy szerver, a TCP/IP verem az APIPA IP-címet egy érvényes bérlettel helyettesíti.

Az APIPA csak IPv4-re vonatkozik; Az állapot nélküli automatikus konfigurációt (SLAAC) az IPv6-ban használják., amelyet az RFC 2462 ismertet (most frissítve az RFC 4862-vel), eltérő mechanizmussal és fe80::/10 előtaggal ellátott link-local címekkel.

APIPA Windows rendszeren: viselkedés és sajátosságok

A modern Windows rendszereken az APIPA alapértelmezés szerint engedélyezve van. Amikor nem kap DHCP-t, a verem önmagát rendeli hozzá, és rendszeresen megpróbálja visszanyerni a bérletet.Ezenkívül a médiaérzékelési funkció felgyorsítja az újrapróbálkozási kísérleteket, amikor a kapcsolat helyreáll.

A régebbi verziókban, mint például a Windows 98, a Media Sense nem létezett, ami késleltethette az újracsatlakozást egy fizikai összeomlás után. A Windows 2000, XP, 7, 10 és újabb verziók tartalmazzák a Media Sense alkalmazást. és egyéb kiegészítő funkciók, mint például az ICMP Router Discovery vagy a RIP listening a hálózati kontextus javítása érdekében.

Néhány Windows implementáció az APIPA IP-címet az interfész MAC-címének hashelésével generálja, stabilitás keresése az újraindítások után és a duplikációk valószínűségének csökkentése (mindig előzetes konfliktusellenőrzéssel).

Hogyan tudhatod, hogy APIPA-ban vagy-e

Windows 2000/XP/Server 2003 és újabb rendszereken nyisson meg egy parancssort, és futtassa a következő parancsot: ipconfig /all paranccsal tekintheti át az automatikus konfigurációs blokkotHa az automatikus konfiguráció engedélyezve van, és az IP-cím 169.254.xy, maszkja 255.255.0.0, akkor az APIPA-ban van.

Régebbi Windows kiadásokban (Windows 98, Windows Me) a winipcfg segédprogram lehetővé teszi annak ellenőrzését, hogy létezik-e cím a 169.254.xx fájlban az autoconfiguration címke alatt. Ennek az IP-címnek a megtekintése azt jelzi, hogy nincs elérhető DHCP-bérlet..

APIPA letiltása vagy engedélyezése Windows rendszerben

Az APIPA letiltható, így a DHCP használata az esettől függően megmarad vagy sem. Ez a Windows rendszerleíró adatbázis szerkesztésével történik, az útvonalat a rendszer verziójától függően változtatva.

• Windows 98/Me rendszerben: adja hozzá az „IPAutoconfigurationEnabled” duplaszó bejegyzést 0x0 értékkel a következőhöz: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\DHCP.
• Windows 2000/XP/Server 2003 rendszeren: adja hozzá az „IPAutoconfigurationEnabled” (DWORD 0x0) paramétert az adott csatolóhoz: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\<GUID_del_adaptador>.
• Az újabb verziókban (Windows 7/8/10/11) a TCP/IP globális paramétercsomagolóra való hivatkozásokat is láthat: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersNe feledd, hogy az 1-es érték engedélyezi, a 0 pedig letiltja az APIPA-t.

A beállításjegyzék módosítása után ajánlott újraindítani a számítógépet, hogy a beállítások érvénybe lépjenek. Mielőtt bármihez hozzányúlna, készítsen biztonsági másolatot a rendszerleíró adatbázisról., különösen a kritikus berendezéseken.

Tipikus forgatókönyvek, amelyekben az APIPA megjelenik

Indítás előzetes bérlet és DHCP nélkül: a kliens elindul, több felderítési üzenetet (3 vagy több) küld, és Ha nincs válasz, akkor egy B osztályú IP-címet rendel magának a 169.254/16 címen belül.Folytassa az újrapróbálkozást bizonyos időközönként.

Korábbi bérlettel és DHCP nélkül: az eszköz lekérdezi az alapértelmezett átjárót; Ha válaszol, tartsd meg a régi IP címetHa nincs válasz, vagy nincs konfigurálva átjáró, az APIPA aktiválódik, és a felhasználónak hibákat jelentenek.

Lejárt a bérlet és nincs DHCP: az ügyfél megpróbálja megújítani; Ha nem talál szervert, akkor visszatér az APIPA-hoz., több észlelést küld, és a ciklust néhány percenként megismétli, amíg a szerver újra online nem lesz.

Gyors diagnózis, ha a 169.254.xx fájlt látja

Kezdjük az alapokkal: ellenőrizzük a kábeleket, a kapcsolatokat, a router vagy switch állapotát, és az azt kínáló eszköz DHCP-szolgáltatását (otthon ez általában a router). Az útválasztó és a hálózati interfész ellenőrzött újraindítása újraegyeztetést kényszerít ki.

Windows rendszeren futtassa ezeket a parancsokat egy emelt jogosultságú parancssorban a verem visszaállításához: Biztonságosak és általában megoldják a gyakori incidenseket.

netsh int ip reset c:\resetlog.txt
netsh winsock reset
ipconfig /flushdns
ipconfig /registerdns
ipconfig /release
ipconfig /renew

Azt is ellenőrizd, hogy a „DHCP kliens” szolgáltatás aktív-e (services.msc), és ha szükséges, DHCP engedélyezése Windows 10 rendszeren. Elindított állapotban és Automatikus indítási típussal kell lennie. hogy a felület helyesen kapja meg a jogosultságokat.

Ha Wi-Fi-t használ, ellenőrizze az adapter kompatibilitását a hozzáférési pont biztonsági beállításaival (WPA/WPA2 stb.) és a jel minőségével. A rossz tárgyalás megakadályozhatja az IP megszerzését annak ellenére, hogy látja az SSID-t és társítja magát.

DHCP-kiszolgáló vagy útválasztó ellenőrzése

Dedikált DHCP-kiszolgálóval rendelkező hálózatokon érdemes megnézni a naplókat és a hatókörök állapotát. Eltávolítja a 169.254.xx fájlból a véletlenül mentett maradék bejegyzéseket és győződjön meg róla, hogy az aktív medence nincs kimerülve.

Jó üzemeltetési gyakorlat: tiltsa le a nem használt interfészeket, érvényes statikus IP-címet rendel a felügyeleti interfészekhez, telepítsen DHCP-t minden alhálózaton, és tekintse át a speciális beállításokat (például a szórásos felderítést, ha alkalmazható).

Otthoni környezetben jelentkezzen be a router felületére, és ellenőrizze, hogy a DHCP-kiszolgáló engedélyezve van-e, és elegendő hatótávolsággal rendelkezik-e. A router firmware-ének frissítése segít az ismert hibák kijavításában. és javítja a teljesítményt és a stabilitást.

Konfliktusok és azok hatásának kezelése

Az IP-ütközéseket duplikált manuális hozzárendelések, DHCP-hibák vagy rosszul kezelt foglalások okozhatják. A konfliktus típusának azonosítása kulcsfontosságú annak eldöntéséhez, hogy statikus, dinamikus vagy visszavonható bérleteket állítsunk be..

Vállalatoknál két, azonos IP-címmel rendelkező számítógép kritikus szolgáltatások leállását okozhatja, különösen, ha a konfliktus szervereket érint. A hálózat rendszeres monitorozása és auditálása lehetővé teszi a problémák előrejelzését. és csökkentse az állásidőt.

APIPA és biztonság: lehetséges visszaélések és ellenintézkedések

Egyes források szerint az APIPA folyamatos kényszerítése Windows rendszeren rosszindulatúan is felhasználható, például az automatikus konfigurációhoz, a DHCP-hez vagy az interfészmetrikákhoz kapcsolódó beállításjegyzékbeli bejegyzések módosításával. A támadó célja az lenne, hogy offline állapotba hozza a gazdagépet. érzékeny paraméterek megváltoztatása.

Az ebben a kontextusban említett beállítások között szerepelnek olyan kulcsok, mint az „IPAutoconfigurationEnabled”, az „EnableDHCP”, a „DhcpConnForceBroadcastFlag”, vagy a csatolók metrikus értékei a következőben: ...\Tcpip\Parameters\Interfaces\<GUID>. Bár az ismeretek segítenek a védekezésben, nem tanácsos kontroll nélkül automatizálni őket. mert te magad is blokkolhatod a hálózatot.

Ellenintézkedések: Korlátozzák a rendszergazdai jogosultságokat, védjék a rendszerleíró adatbázist, szigorítsák a végponti irányelveket. Figyelje a szokatlan hálózati változásokat, és rendelkezzen helyreállítási szkriptekkel (TCP/IP visszaállítás)És természetesen az illesztőprogramok és az operációs rendszer naprakészen tartása csökkenti a támadási felületet.

Linux: Zeroconf, Avahi és hogyan lehet letiltani

GNU/Linux rendszeren az ezzel egyenértékű viselkedés a Zeroconfhoz és az avahi-autoipd démonhoz kapcsolódik. Ha nem szeretné, hogy az interfész a 169.254/16-ot használja, több módja is van a disztrótól függően.

A klasszikus Red Hat/CentOS családokban a Zeroconf általában letiltható a következő globális konfigurációhoz való hozzáadásával: állítsd be a 'NOZEROCONF=yes'-t és indítsd újra a hálózatot az automatikus link-local útvonalak elkerülése érdekében.

# /etc/sysconfig/network
NETWORKING=yes
NOZEROCONF=yes
# Reinicio del servicio
service network restart

Ha Avahit használsz, a hálózati szabályzattól függően szükségessé válhat a démon újraindítása vagy letiltása. Régebbi SysV rendszereken olyan elérési utakat láthat, mint az '/etc/init.d/avahi-daemon restart'.; módosítsa a verziójának szolgáltatáskezelőjét.

Egy másik megközelítés a 169.254.0.0/16 útvonal hot delete-je, és érvényes útvonalakat állít be az alhálózathoz az ip/route paraméterrel. Állandó megoldásként kikommentelheted azokat a sorokat, amelyek hozzáadják a link-local elérési utat az avahi-autoipd szkriptekben. ha a disztribúciód használja őket.

# Ejemplo orientativo (ajusta a tu entorno)
# Eliminar ruta link-local y forzar gateway de la LAN
ip route del 169.254.0.0/16 dev eth0
ip route add 192.168.1.0/24 via 192.168.1.1 dev eth0 metric 100

Egyéb gyakorlati lépések, amelyek gyakran segítenek

A hálózati adapter illesztőprogramjának (és adott esetben az útválasztó firmware-jének) frissítése megoldja az inkompatibilitási és egyeztetési hibákat. Ha nincs új verzió, az illesztőprogram újratelepítése néha törli a sérült állapotokat. hónapokig tartó használat után.

Ha a helyzet továbbra is fennáll, és gyanítja, hogy a rendszer telepítése hibás, az operációs rendszer visszaállítása lehet a leggyorsabb megoldás. Készíts biztonsági mentést, és fontold meg a tiszta telepítést, ha már kizártad a hardvert és a DHCP-t..

Több interfésszel (fizikai és virtuális) rendelkező gépeken tekintse át a prioritásokat és a mérőszámokat. A hipervizor virtuális kártyák zavarhatják a működést Ha a metrika a fizikai hálózati kártya felett van, akkor annak a LAN-ra kell mennie.

Az útvonaltábla és a kapcsolódó metrikák megtekintéséhez Windows rendszeren használja a következőt: Így tudni fogod, melyik interfész „nyerő” az útvonalválasztási döntésekben..

netstat -rn

Ha manuálisan kell beállítania a metrikát, lépjen a kártya TCP/IPv4 tulajdonságaihoz, a Speciális beállításokhoz, és vegye ki a pipát az automatikus metrika elől, hogy alacsony értéket (pl. 1) állítson be a fő felületen. A többit hagyhatjuk automatikus üzemmódban. hogy elkerüljük a meglepetéseket.

Preguntas frecuentes

• Miért csak a 169.254.xx címen kommunikál a csapatom másokkal? Mivel az APIPA nem konfigurál átjárókat vagy DNS-t, csak helyi 3. rétegbeli kapcsolat van ugyanazon a linken belül, és nem halad át útválasztókon.
• Elmúlik magától az APIPA? Igen, amikor a DHCP-kiszolgáló válaszol és érvényes bérletet küld. A Windows néhány percenként újrapróbálja megtalálni a kiszolgálót, és manuális beavatkozás nélkül lecseréli a link-local IP-címet.
• Használhatom a 169.254.xx címet fix IP-címként, „mert működik”? Ez nem jó ötlet. Nem irányítható, és sérti a link-local tartomány célját. RFC1918 tartományokat használ a statikus privát IP-címekhez.
• Hogyan tilthatom le az APIPA-t a DHCP eltávolítása nélkül? Szerkessze a beállításjegyzéket úgy, hogy az „IPAutoconfigurationEnabled” értéke 0 legyen a megfelelő csatolón. A régebbi verziók eltérő kulcsútvonalakkal rendelkeznek; lásd a letiltással foglalkozó részt.

A 169.254.xx számot megjelenítő gép önmagában nem „a probléma”, hanem inkább annak a tünete, hogy nem sikerült DHCP-bérletet szerezni. A fenti ellenőrzésekkel (DHCP szolgáltatás, kábelek, illesztőprogramok, tűzfal és metrikák) A szokásos dolog az, hogy vissza kell térni egy érvényes IP-címhez, és helyre kell állítani a teljes kapcsolatot.