Kaj storiti, če Windows dodeli IP naslov APIPA (169.xxx): pravi vzroki in dokončna rešitev

Ko se vaša naprava prikaže z naslovom 169.254.xx in omrežje prikaže opozorilo o omejeni povezljivosti, je zelo verjetno, da deluje samodejno naslavljanje APIPA. Ta mehanizem dodeli lokalni IP-naslov v sili, ko DHCP Falla, kar omogoča nekaj komunikacije v istem fizičnem omrežju, vendar brez dostopa do drugih omrežij.

V domačem in poslovnem okolju je to ponavljajoča se tema: kartice v DHCP-ju, ki ne prejmejo odgovora in padejo v APIPA, prenosniki, ki se povezujejo prek Wi-Fi-ja brez interneta, ali strežniki, ki zaradi določene težave prenehajo obnavljati svoj najem. Razumevanje, kaj je APIPA, kako deluje in kako ga onemogočiti ali diagnosticirati To vam bo prihranilo čas in glavobole.

Kaj je APIPA in čemu služi?

APIPA (Samodejno zasebno naslavljanje IP-jev) je funkcija IPv4, ki samodejno konfigurira vmesnik z naslovom iz bloka 169.254.0.0/16, če strežnik DHCP ni na voljo. Dodeli samo IP naslov in masko 255.255.0.0, brez prehoda ali DNS-a., zato omogoča lokalno komunikacijo med napravami na istem segmentu in ničemer drugim.

Ta prostor je IANA rezervirala za naslove lokalne povezave v skladu z RFC 3927 in spada v tako imenovane obsege lokalne povezave. V praksi APIPA ohranja mrežo »pri življenju« na lokalni ravni. kadar ni veljavne konfiguracije, vendar ni usmerljiva ali primerna za dostop do interneta.

Pomembno je določiti pravila: RFC 3330 (kasneje nadomeščen z RFC 5735) in RFC 3927 opredeljujeta uporabo teh naslovov. Uporabno območje v računalnikih je običajno od 169.254.1.0 do 169.254.254.255, pri čemer oba konca ostaneta rezervirana (169.254.0.x in 169.254.255.x) in se za oddajanje uporabi 169.254.255.255.

Podrobno delovanje APIPA

Ko je vmesnik v DHCP-ju in ne prejme odgovora, sistem aktivira APIPA. Odjemalec ob zagonu pošlje več DHCPDISCOVER-jev; pogost opis je, da v nekaj sekundah opravi 3 ali 4 zahteve in če ni odgovora, sproži samodejno konfiguracijo lokalne povezave.

Med samodejno konfiguracijo naprava izbere psevdonaključni IP-naslov znotraj dovoljenega območja in pred nastavitvijo z uporabo sond (ARP ali broadcast) preveri, ali ni v uporabi. Če zazna konflikt, poskusi z drugim naslovom do največjega dovoljenega števila poskusov.; nekatera besedila opisujejo do 10 poskusov, preden se vdajo, če se spopadi nadaljujejo.

Ko je dodeljen, odjemalec še naprej periodično išče strežnik DHCP. V sistemu Windows se na primer zahteve DHCP ponovno poskušajo poslati približno vsakih 5 minut.Če se prikaže strežnik, sklad TCP/IP nadomesti IP APIPA z veljavnim najemom.

APIPA velja samo za IPv4; V IPv6 se uporablja samodejna konfiguracija brez stanja (SLAAC)., opisan v RFC 2462 (zdaj posodobljenem z RFC 4862), z drugačnim mehanizmom in lokalnimi naslovi povezave s predpono fe80::/10.

APIPA v sistemu Windows: vedenje in posebnosti

V sodobnih sistemih Windows je APIPA privzeto omogočen. Ko ne prejema DHCP-ja, se sklad samodejno dodeli in občasno poskuša ponovno pridobiti zakup.Poleg tega funkcija Media Sense pospeši ponovne poskuse, ko se povezava znova vzpostavi.

V starejših različicah, kot je Windows 98, Media Sense ni obstajal, kar je lahko povzročilo zamudo pri ponovni povezavi po fizični sesutju. Windows 2000, XP, 7, 10 in novejši sistemi vključujejo Media Sense in druge dopolnilne funkcije, kot sta odkrivanje usmerjevalnika ICMP ali poslušanje RIP za izboljšanje omrežnega konteksta.

Nekatere implementacije sistema Windows ustvarijo IP naslov APIPA z zgoščevanjem MAC naslova vmesnika, iskanje stabilnosti po ponovnih zagonih in zmanjšanje verjetnosti podvajanja (vedno s predhodnim preverjanjem konfliktov).

Kako veste, ali ste v APIPA

V sistemih Windows 2000/XP/Server 2003 in novejših odprite ukazni poziv in zaženite: ipconfig /all za pregled bloka samodejne konfiguracijeČe je samodejna konfiguracija omogočena in je IP 169.254.xy z masko 255.255.0.0, ste v APIPA.

V starejših izdajah sistema Windows (Windows 98, Windows Me) vam pripomoček winipcfg omogoča, da preverite, ali znotraj 169.254.xx pod oznako za samodejno konfiguracijo obstaja naslov. Če vidite ta IP, to pomeni, da ni na voljo nobenega zakupa DHCP..

Onemogočanje ali omogočanje APIPA v sistemu Windows

APIPA je mogoče onemogočiti, pri čemer se ohrani ali ne uporaba DHCP-ja, odvisno od primera. To se naredi z urejanjem registra sistema Windows, pri čemer se pot spreminja glede na različico sistema.

• V sistemu Windows 98/Me: dodajte vnos DWORD 'IPAutoconfigurationEnabled' z vrednostjo 0x0 v: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\DHCP.
• V sistemih Windows 2000/XP/Server 2003: pod specifični vmesnik dodajte »IPAutoconfigurationEnabled« (DWORD 0x0): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\<GUID_del_adaptador>.
• V novejših različicah (Windows 7/8/10/11) boste videli tudi sklice na ovoj globalnega parametra TCP/IP: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersNe pozabite, da vrednost 1 omogoči APIPA, vrednost 0 pa ga onemogoči.

Po spremembi registra je priporočljivo znova zagnati računalnik, da nastavitve začnejo veljati. Preden se česar koli dotaknete, naredite varnostno kopijo registra., zlasti na kritični opremi.

Tipični scenariji, v katerih se pojavi APIPA

Zagon brez predhodnega zakupa in brez DHCP: odjemalec se zažene, izda več sporočil o odkrivanju (3 ali več) in, Če ni odgovora, si dodeli IP razreda B znotraj 169.254/16Nadaljujte s ponovnimi poskusi v določenih intervalih.

S predhodnim zakupom in brez DHCP: naprava vpraša privzeti prehod; Če se odzove, obdrži stari IPČe ni odgovora ali prehod ni konfiguriran, se aktivira APIPA in uporabniku se sporočijo napake.

Najem je potekel in ni DHCP-ja: odjemalec poskuša obnoviti; Če ne najde strežnika, se vrne na APIPA., pošlje več zaznav in cikel ponovi vsakih nekaj minut, dokler strežnik ni spet na spletu.

Hitra diagnoza, ko vidite 169.254.xx

Začnite z osnovami: preverite kable, povezave, stanje usmerjevalnika ali stikala in storitev DHCP naprave, ki jo ponuja (doma je to običajno usmerjevalnik). Nadzorovan ponovni zagon usmerjevalnika in omrežnega vmesnika prisili ponovno pogajanje.

V sistemu Windows za ponastavitev sklada zaženite te ukaze v ukaznem pozivu s povišanimi pravicami: So varni in običajno rešujejo pogoste incidente.

netsh int ip reset c:\resetlog.txt
netsh winsock reset
ipconfig /flushdns
ipconfig /registerdns
ipconfig /release
ipconfig /renew

Preverite tudi, ali je storitev »DHCP Client« aktivna (services.msc) in po potrebi Omogočite DHCP v sistemu Windows 10. Mora biti v stanju Zagnano in v načinu zagona Samodejno da vmesnik pravilno pridobi dovoljenja.

Če uporabljate Wi-Fi, preverite združljivost adapterja z varnostjo dostopne točke (WPA/WPA2 itd.) in kakovostjo signala. Slaba pogajanja lahko preprečijo pridobitev intelektualne lastnine kljub temu, da vidi SSID in se povezuje.

Preverjanja strežnika DHCP ali usmerjevalnika

V omrežjih z namenskim strežnikom DHCP je dobro preveriti dnevnike in stanje področij delovanja. Odstrani preostale vnose iz 169.254.xx, če so bili shranjeni pomotoma. in se prepričajte, da aktivni bazen ni izčrpan.

Dobre operativne prakse: onemogočite neuporabljene vmesnike, dodeli veljaven statični IP vmesnikom za upravljanje, uvedite DHCP v vsako podomrežje in preglejte napredne možnosti (kot je na primer odkrivanje oddajanja, če je primerno).

V domačem okolju se prijavite v vmesnik usmerjevalnika in preverite, ali je strežnik DHCP omogočen in ima zadosten doseg. Posodobitev vdelane programske opreme usmerjevalnika pomaga odpraviti znane napake. in izboljša delovanje in stabilnost.

Reševanje konfliktov in njihovega vpliva

Konflikti IP-naslovov so lahko posledica podvojenih ročnih dodelitev, napak DHCP ali slabo upravljanih rezervacij. Prepoznavanje vrste konflikta je ključnega pomena za odločitev o tem, ali naj se namestijo statične, podaljšajo dinamične ali prekličejo najemne pogodbe..

V podjetjih lahko dva računalnika z istim naslovom IP zaustavita kritične storitve, zlasti če konflikt vpliva na strežnike. Redno spremljanje in revidiranje omrežja vam omogoča, da predvidite težave. in zmanjšati čas izpada.

APIPA in varnost: možne zlorabe in protiukrepi

Nekateri viri navajajo, da se lahko vztrajno vsiljevanje APIPA v sistemu Windows uporablja zlonamerno, na primer s spreminjanjem vnosov v register, povezanih z avtomatsko konfiguracijo, DHCP ali metrikami vmesnika. Cilj napadalca bi bil prekiniti povezavo gostitelja. spreminjanje občutljivih parametrov.

Med nastavitvami, omenjenimi v tem kontekstu, so ključi, kot so »IPAutoconfigurationEnabled«, »EnableDHCP«, »DhcpConnForceBroadcastFlag« ali metrične vrednosti vmesnikov v ...\Tcpip\Parameters\Interfaces\<GUID>. Čeprav njihovo poznavanje pomaga pri obrambi, jih ni priporočljivo avtomatizirati brez nadzora. ker lahko omrežje blokirate sami.

Protiukrepi: Omejevanje skrbniških pravic, zaščita registra, utrjevanje pravilnikov končnih točk, Spremljajte nenavadne spremembe v omrežju in imejte na voljo skripte za obnovitev (ponastavitev TCP/IP)In seveda, posodabljanje gonilnikov in operacijskega sistema zmanjšuje površino za napad.

Linux: Zeroconf, Avahi in kako jih onemogočiti

V GNU/Linuxu je enakovredno vedenje povezano z Zeroconf in demonom avahi-autoipd. Če ne želite, da vmesnik uporablja 169.254/16, obstaja več načinov odvisno od distribucije.

V klasičnih družinah Red Hat/CentOS je Zeroconf običajno onemogočen tako, da se globalni konfiguraciji doda naslednje: nastavite 'NOZEROCONF=yes' in znova zaženite omrežje da se izognete samodejnim lokalnim povezavam.

# /etc/sysconfig/network
NETWORKING=yes
NOZEROCONF=yes
# Reinicio del servicio
service network restart

Če uporabljate Avahi, bo morda potreben ponovni zagon ali onemogočanje njegovega daemona, odvisno od pravilnika vašega omrežja. V starejših sistemih SysV boste videli poti, kot je '/etc/init.d/avahi-daemon restart'; prilagodite upravitelja storitev vaše različice.

Drug pristop je, da pot 169.254.0.0/16 izbrišete na hitro in nastavite veljavne poti za svojo podomrežo z ip/route. Kot trajen ukrep lahko zakomentirate vrstice, ki dodajajo pot lokalne povezave v skriptih avahi-autoipd. če jih vaša distribucija uporablja.

# Ejemplo orientativo (ajusta a tu entorno)
# Eliminar ruta link-local y forzar gateway de la LAN
ip route del 169.254.0.0/16 dev eth0
ip route add 192.168.1.0/24 via 192.168.1.1 dev eth0 metric 100

Drugi praktični koraki, ki pogosto pomagajo

Posodobitev gonilnika omrežne kartice (in vdelane programske opreme usmerjevalnika, če je primerno) odpravi nezdružljivosti in napake pri pogajanjih. Če ni nove različice, ponovna namestitev gonilnika včasih izbriše poškodovana stanja. po mesecih uporabe.

Če se težava nadaljuje in sumite na namestitev sistema, je obnovitev operacijskega sistema morda najhitrejša pot. Naredite varnostno kopijo in razmislite o čisti namestitvi, če ste že izključili strojno opremo in DHCP..

Na računalnikih z več vmesniki (fizičnimi in virtualnimi) preglejte prioritete in metrike. Navidezne kartice hipervizorja lahko motijo Če je metrika nad fizično omrežno kartico, bi morala iti v lokalno omrežje.

Za ogled tabele poti in povezanih metrik v sistemu Windows uporabite: Na ta način boste vedeli, kateri vmesnik "zmaga" pri odločitvah o usmerjanju..

netstat -rn

Če morate metriko ročno prilagoditi, pojdite v lastnosti TCP/IPv4 kartice, v napredne možnosti in počistite polje ob možnosti samodejne metrike, da v glavnem vmesniku nastavite nizko vrednost (npr. 1). Ostalo lahko pustite v samodejnem načinu. da bi se izognili presenečenjem.

Pogosto zastavljena vprašanja

• Zakaj moja ekipa komunicira z drugimi samo na 169.254.xx? Ker APIPA ne konfigurira prehodov ali DNS-a. Znotraj iste povezave je samo lokalna povezljivost 3. plasti in usmerjevalniki se ne prečkajo.
• Ali APIPA izgine sama od sebe? Da, ko se strežnik DHCP odzove in dostavi veljaven najem. Windows poskuša najti strežnik vsakih nekaj minut in brez ročnega posredovanja zamenja lokalni IP-naslov povezave.
• Ali lahko uporabljam 169.254.xx kot fiksni IP, »ker deluje«? To ni dobra ideja. Ni usmerljivo in krši namen območja povezave. Za statične zasebne IP-naslove uporablja območja RFC1918.
• Kako onemogočim APIPA brez odstranitve DHCP-ja? Uredite register tako, da na ustreznem vmesniku nastavite »IPAutoconfigurationEnabled« na 0. Starejše različice imajo drugačne poti ključev; glejte razdelek o onemogočanju.

Računalnik, ki prikazuje 169.254.xx, sam po sebi ni »težava«, temveč simptom, da najem DHCP ni bil pridobljen. Z zgornjimi preverjanji (storitev DHCP, kabli, gonilniki, požarni zid in metrike) Normalno je, da se vrnete na veljaven IP in ponovno vzpostavite polno povezljivost.