เครือข่ายของฉันช่างฉลาดเหลือเกิน


36

มีข้อโต้แย้งภายในสำนักงานของฉันเกี่ยวกับความฉลาดของเครือข่ายที่เราตั้งขึ้นจริง ๆ

เรามีสายไฟเบอร์และสายเคเบิลที่ใช้เป็นเราเตอร์ปรับสมดุลภาระซึ่งมีไฟร์วอลล์ฮาร์ดแวร์ซึ่งในที่สุดจะมีสวิตช์ 64 พอร์ตที่เชื่อมต่ออยู่

เวิร์กสเตชันของเราแต่ละเครื่องเชื่อมต่อกับสวิตช์ (ประมาณ 30 เครื่อง) รวมถึง NAS และเซิร์ฟเวอร์ทดสอบภายในสองเครื่อง (ที่อยู่ 192.168.0.x ที่กำหนดทั้งหมด)

หากเวิร์กสเตชันAต้องการสื่อสารกับเวิร์กสเตชันBเครือข่ายของเราฉลาดพอที่จะไปได้หรือไม่:

A → Switch → Bและเดินทางผ่านการเชื่อมต่อที่พบบ่อยครั้งแรกเท่านั้น

หรือพา ธ นั้นจะเป็น→สวิตช์→ไฟร์วอลล์→เราเตอร์→ไฟร์วอลล์→สวิตช์→ Bและต้องไปตามเส้นทางนั้นทุกครั้งหรือไม่


86
ไม่ฉลาดกว่าคนที่ตั้งค่าไว้
Moab

5
ฮับ ​​- ไร้ประโยชน์ ฮาร์ดแวร์เราเตอร์ - ใบ้ สวิตช์ - ฮาร์ดแวร์อัจฉริยะ
Raystafarian

คำตอบ:


73

เราเตอร์ไม่จำเป็นยกเว้นกรณีที่ทราฟฟิกของคุณต้องย้ายไปที่ซับเน็ตอื่น เมื่อคอมพิวเตอร์ต้องการส่งทราฟฟิก IP ไปยังเครื่องอื่นบนซับเน็ตมันต้องการที่อยู่ MAC ของผู้รับเนื่องจากที่อยู่ IP ไม่ใช่สิ่งที่เลเยอร์ของสวิตช์ (เลเยอร์ 2 ของรุ่น OSI) หากไม่ทราบที่อยู่ MAC มันจะส่ง คำขอARPโดยบอกว่า "เฮ้ใครก็ตามที่มีที่อยู่ IP นี้คุณช่วยบอกที่อยู่ MAC ของคุณหน่อยได้ไหม" เมื่อเครื่องได้รับการตอบกลับแอดเดรสนั้นจะถูกแนบกับแพ็คเก็ตและสวิตช์จะใช้เพื่อส่งแพ็กเก็ตออกจากพอร์ตฟิสิคัลที่ถูกต้อง

เมื่อปลายทางไม่ได้อยู่ในซับเน็ตเดียวกันเราเตอร์จำเป็นต้องมีส่วนร่วม ผู้ส่งมอบแพ็กเก็ตให้กับเราเตอร์ที่เหมาะสม (โดยปกติจะเป็นเกตเวย์เริ่มต้นเว้นแต่คุณมีความต้องการการกำหนดเส้นทางพิเศษ) ซึ่งส่งผ่านเครือข่ายไปยังผู้รับที่ต้องการ เราเตอร์รู้และมีที่อยู่ IP แต่พวกเขายังมีที่อยู่ MAC และนั่นคือที่อยู่ MAC ที่เริ่มวางบนแพ็กเก็ตที่ต้องการการกำหนดเส้นทาง (ที่อยู่ MAC จะไม่ออกจากซับเน็ต)

คุณสามารถดูที่อยู่ IP ของเราเตอร์ได้ในคอลัมน์เกตเวย์ของผลลัพธ์ของroute printบน Windows จุดหมายปลายทางที่ไม่ต้องการการกำหนดเส้นทางOn-linkอยู่ที่นั่น


12
+1 เมื่อพูดถูก ฉันเพิ่มสิ่งนี้เพื่อความชัดเจนมากขึ้น / เพิ่มเติม: หากแพ็กเก็ตต้องถูกส่งไปยังเครือข่ายย่อยอื่น (ดังนั้นจะต้องไปที่เราเตอร์) จากนั้นระบบยังคงส่งเฟรมไปยังที่อยู่ MAC-48 มันเพิ่งส่งไปยังที่อยู่ MAC-48 ของเราเตอร์แทนผู้รับสุดท้าย ดังนั้นทั้งสองวิธีเฟรมจะถูกส่งโดยใช้ที่อยู่ MAC-48 สวิตช์นั้นจะไม่สนใจที่อยู่ IP และเพียงแค่ดูว่าจำเป็นต้องใช้ที่อยู่ MAC ใด
TOOGAM

1
ยอมรับไม่เพียง แต่ตอบคำถามเท่านั้น แต่ยังอธิบายถึงสาเหตุและวิธีการ ขอบคุณ
bizzehdee

29

หากคอมพิวเตอร์ 2 เครื่องเชื่อมต่อกับ vlan เดียวกันบนสวิตช์และแชร์ subnet mask ตัวเดียวกัน - สวิตช์ควรส่งแพ็กเก็ตโดยไม่ต้องกดไฟร์วอลล์หรือเราเตอร์ของคุณ

คุณสามารถตรวจสอบสิ่งนี้ได้ด้วยการรันtracert 192.168.0.X(สมมติว่า Windows) และคุณควรเห็นเส้นทางตรงไปยังระบบนั้น


15
หรือtracerouteบนเดเบียนหรือncบน Unicies สารพัน
แมว

19

เกือบจะแน่นอนเส้นทางการสื่อสารจะเป็นA ↔︎ switch ↔︎ Bไม่ผ่านไฟร์วอลล์และเราเตอร์ สมมติว่าเวิร์กสเตชันAและBมีที่อยู่ IP กับเครือข่ายเดียวกันและ netmask พวกเขาควรจะสามารถโต้ตอบกับเราเตอร์ที่ไม่มีส่วนเกี่ยวข้องเนื่องจากสวิตช์รู้วิธีส่งต่อแพ็กเก็ต คุณควรจะสามารถที่จะตรวจสอบว่าไม่มีการกระโดดกลางระหว่างและBโดยการทำงานจากคำสั่งพร้อมท์บน (บน Windows คำสั่งจะเป็นคำสั่งแทน)traceroute ip_address_of_Btracerttraceroute

ที่กล่าวว่าสถานการณ์ทางเลือกเป็นไปได้แต่มีโอกาสน้อยกว่า

ในสมัยก่อนก่อนที่สวิตช์อีเธอร์เน็ตจะแพร่หลายมีฮับอีเทอร์เน็ตอยู่ ฮับทำงานในลักษณะเดียวกันยกเว้นว่าพวกเขาจะทำสำเนาแพ็กเก็ตอีเทอร์เน็ตขาเข้าและส่งต่อผ่านพอร์ตทุกพอร์ตของฮับแทนการออกจากพอร์ตที่เหมาะสมตามสวิตช์ หากคุณมีความเป็นศูนย์กลางแทนสวิทช์แล้วเราเตอร์จะเห็น (และไม่สนใจ) เข้าชมทั้งหมดระหว่างและB แน่นอนว่าการส่งต่อแพ็คเก็ตโดยไม่พิจารณาดังกล่าวจะสร้างทราฟฟิกที่ไม่จำเป็นจำนวนมากและฮับอีเธอร์เน็ตไม่ธรรมดาในปัจจุบัน

อีกสถานการณ์ที่เป็นไปได้ (แต่ไม่น่าเป็นไปได้) คือสวิตช์นั้นสามารถกำหนดค่าให้ทำการแยกพอร์ตได้ นั่นจะเป็นการบังคับให้ทราฟฟิกของแต่ละเวิร์กสเตชันผ่านเราเตอร์ คุณอาจต้องการทำเช่นนั้นถ้าคุณคิดว่าเวิร์กสเตชั่นเป็นศัตรูกัน - ตัวอย่างเช่นพอร์ตที่ห้องสมุดสาธารณะหรือในห้องพักที่แยกต่างหาก - และคุณไม่ต้องการให้พวกเขาสามารถสื่อสารโดยตรงได้เลย ในสภาพแวดล้อมสำนักงานแม้ว่าจะไม่น่าเป็นไปได้มากที่ผู้ดูแลระบบเครือข่ายของคุณจะตั้งค่าวิธีนั้น

ในการตอบคำถามของคุณในเงื่อนไขของคนธรรมดา: เครือข่ายควรทำสิ่งที่ถูกต้องในกรณีของคุณ อย่างไรก็ตามอาจมีการกำหนดค่าใหม่โดยจงใจที่จะทำสิ่งที่ "แตกต่าง" ในฐานะที่เป็นข้อพิสูจน์ว่าอาจมีการกำหนดค่าผิดพลาดโดยไม่ตั้งใจให้ทำสิ่งที่โง่


0

คำตอบอื่น ๆ นั้นถูกต้อง ดังนั้นในความสนใจของการยืนยัน - ฉันขอแนะนำให้คุณลองและค้นหา

tracert หรือ traceroute หรือ tracepath หรือ mtr จากโฮสต์หนึ่งไปอีกโฮสต์หนึ่ง

หยิบคอมพิวเตอร์สำรอง (เช่นที่ไม่ได้ใช้งาน) และมอบ IP เป็น 192.168.166.x / 24 หรือ 255.255.255.0 และเกตเวย์ของ 192.168.166.1

คุณจะต้องกำหนดค่าอุปกรณ์ไฟร์วอลล์ของคุณให้มีIP สำรองเป็น192.168.166.1 / 24 บนอินเทอร์เฟซเดียวกับ LAN ของคุณ ระวังอย่าให้ปริมาณการผลิต LAN ของคุณพังในเวลานี้ วิธีที่คุณทำเช่นนี้ขึ้นอยู่กับระบบปฏิบัติการไฟร์วอลล์ของคุณ

มีโอกาสที่คุณอาจจำเป็นต้องปรับแต่งหรือขยายกฎไฟร์วอลล์สำหรับอินเทอร์เฟซ LAN ด้วยเช่นกัน

พา ธ ควรเป็น 166machine-switch-firewall-switch-0machine (แต่คุณจะไม่เห็นสวิตช์ใน traceroute เนื่องจากสวิตช์อีเธอร์เน็ตอยู่ที่ layer2 และ traceroute คือ ICMP ที่ layer3

โปรดทราบว่านี่เรียกว่าเครือข่าย "โอเวอร์เลย์" และไม่มีการรักษาความปลอดภัยเพิ่มเติม ไม่ใช่ DMZ ไม่มีการแยกและไม่ซ่อนเครือข่าย 166 จาก 0 เครือข่าย

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.