พยายามทำความเข้าใจการโต้ตอบระหว่างสองเครือข่ายย่อยต่าง ๆ ในเครือข่ายเดียวกัน

9

ฉันมี10.0.0.0/8เครือข่ายแบ่งออกเป็นสองส่วน เซิร์ฟเวอร์ DHCP แจกที่อยู่10.0.0.10ให้10.0.0.150กับมาสก์คลาส A ( 255.0.0.0) นี่คือส่วน "แขก" ของฉันของเครือข่าย

ผู้ใช้เครือข่ายที่ได้รับอนุญาตมีการจองบนเซิร์ฟเวอร์ DHCP ที่มีที่อยู่ในช่วง10.100.0.10ถึง10.100.0.250กับหน้ากากคลาส A
ไฟล์เซิร์ฟเวอร์บนเครือข่ายมีที่อยู่ IP 10.100.0.1และคลาส B ( 255.255.0.0)

  • อุปกรณ์ทั้งในเครือข่าย "แขก" และเครือข่าย "ผู้มีอำนาจ" สามารถมองเห็นซึ่งกันและกัน
  • เครือข่าย“ ผู้มีอำนาจ” สามารถดูไฟล์เซิร์ฟเวอร์ได้
  • เครือข่าย "ผู้เยี่ยมชม" ไม่สามารถมองเห็นไฟล์เซิร์ฟเวอร์

สิ่งนี้ได้ผลค่อนข้างดี แต่ผู้สอนในชั้นเรียนของฉันสาบานว่าไม่ควรทำ ฉันอ่านในหลาย ๆ ที่ที่พีซีที่มี subnet mask ต่างกันไม่ควรสื่อสารกันได้

บางคนได้โปรดช่วยฉันเข้าใจว่าทำไมเครือข่ายพีซีที่ได้รับอนุญาตสามารถเข้าถึงไฟล์เซิร์ฟเวอร์ได้แม้จะมีมาสก์เครือข่ายย่อยต่างกันหรือไม่

networking  subnet  mask 
Jared
แหล่งที่มา
1
ขอบคุณสำหรับการแก้ไข JakeGould ดูดีขึ้นมาก
Jared

คำตอบ:

13

ทฤษฎีของซับเน็ตมาสก์คือการกำหนดว่าส่วนใดของที่อยู่ IP คือที่อยู่เครือข่ายและส่วนใดของที่อยู่ IP คือที่อยู่โฮสต์:

10.100.0.1 - ที่อยู่ IP;

255.0.0.0 - หน้ากากซับเน็ต

10- ที่อยู่เครือข่าย - ที่อยู่100.0.1โฮสต์

โฮสต์ภายในซับเน็ตเดียวกันสามารถพูดคุยกันได้โดยตรง นั่นหมายความว่าถ้าโฮสต์ A และ B อยู่ในซับเน็ตเดียวกันและ A ต้องการพูดคุยกับ B ดังนั้น A จะส่งทราฟฟิกไปยัง B โดยตรงหากโฮสต์ A ต้องการพูดคุยกับโฮสต์ C ซึ่งอยู่ในเครือข่ายย่อยอื่น A จะมี เพื่อกำหนดเส้นทางทราฟฟิกนี้ไปยังเกตเวย์ที่รู้ (หวังว่า) จะเข้าถึงเครือข่ายต่างๆได้อย่างไร ดังนั้นขึ้นอยู่กับโฮสต์เพื่อกำหนดว่าจะส่งทราฟฟิกที่ไหน:

  1. ตรงไปยังโฮสต์ (โฮสต์ที่สองอยู่ในเครือข่ายย่อยเดียวกัน)
  2. ถึงเกตเวย์ (โฮสต์ที่สองอยู่ในเครือข่ายย่อยอื่น)

สิ่งที่เกิดขึ้นในกรณีของคุณคือลูกค้า "ผู้มีอำนาจ" ของคุณมีที่อยู่ IP 10.100.0.10 - 10.100.0.250(ฉันถือว่าซับเน็ตมาสก์เป็น255.0.0.0) 10.100.0.1เซิร์ฟเวอร์มีที่อยู่ IP ถึงโฮสต์จากช่วง "ผู้มีอำนาจ" เซิร์ฟเวอร์นี้ตั้งอยู่ในเครือข่ายย่อยเดียวกัน

หากโฮสต์10.100.0.10จากช่วง "ผู้มีอำนาจ" ต้องการพูดคุยกับเซิร์ฟเวอร์ - ก่อนอื่นตรวจสอบว่าเซิร์ฟเวอร์นี้อยู่ในเครือข่ายย่อยเดียวกันหรือไม่ สำหรับโฮสต์10.100.0.10กับเครือข่ายย่อยหน้ากากเครือข่ายย่อยเดียวกันจะเป็นเจ้าภาพในช่วง255.0.0.0 10.0.0.1 - 10.255.255.254ที่อยู่ IP ของเซิร์ฟเวอร์เกิดขึ้นในช่วงนี้ ด้วยเหตุนี้โฮสต์จากช่วง "ผู้มีอำนาจ" จึงพยายามเข้าถึงเซิร์ฟเวอร์โดยตรงและ (สมมติว่าพวกเขาอยู่ในเครือข่ายเลเยอร์ 2 เดียวกัน) ความพยายามนี้จึงสำเร็จ

ในกรณีนี้แม้ว่าเซิร์ฟเวอร์จะมี subnet mask ที่แตกต่างกัน แต่มันก็เกิดขึ้นที่ subnet ที่ใหญ่กว่า (ซึ่งก็เป็น subnet สำหรับไคลเอนต์ "Authorized") หากเซิร์ฟเวอร์ของคุณมีไบต์ที่สองที่แตกต่างกันในที่อยู่ IP ( 10.150.0.1ตัวอย่าง) เซิร์ฟเวอร์จะไม่สามารถตอบกลับโฮสต์จากช่วง "ผู้มีอำนาจ" เนื่องจากจากมุมมองของเซิร์ฟเวอร์ช่วง "ผู้มีอำนาจ" จะมีลักษณะเหมือน subnet และเซิร์ฟเวอร์อื่น จะต้องส่งทราฟฟิกไปยังเราเตอร์ หากไม่มีเราเตอร์ - ก็จะไม่มีการสื่อสาร

หากคุณต้องการแยกเครือข่ายของคุณไปยังส่วน "แขก" และ "ผู้มีอำนาจ" คุณต้องทำให้พวกเขาอยู่ในเครือข่ายย่อยต่าง ๆ ที่ไม่ทับซ้อนกัน

ตัวอย่างเช่น:

  1. "แขก" - 10.10.0.1หน้ากาก subnet255.255.0.0
  2. "ผู้มีอำนาจ" - 10.20.0.1, subnet mask255.255.0.0

เซิร์ฟเวอร์จะตั้งอยู่ภายใน "ผู้มีอำนาจ" เป็นส่วนหนึ่งของเครือข่ายที่มีอยู่ IP 10.20.0.100, 255.255.0.0มาสก์

ด้วยการตั้งค่านี้เครือข่ายย่อยเหล่านี้จะถูกแยกออกจากกันได้อย่างมีประสิทธิภาพเนื่องจากส่วนของที่อยู่ IP ที่เป็นตัวแทนเครือข่ายย่อยของพวกเขาจะแตกต่างกัน:

  1. 10.10 สำหรับแขก
  2. 10.20 สำหรับผู้มีอำนาจ

ณ จุดนี้การสื่อสารระหว่างเครือข่ายย่อยเหล่านี้จะทำได้ผ่านเราเตอร์ที่มีส่วนต่อประสานในเครือข่ายย่อยทั้งสองเท่านั้น

ในขณะที่คอมพิวเตอร์ทุกเครื่องของคุณใช้เครือข่ายเลเยอร์ 2 เดียวกันไม่มีสิ่งใดที่จะป้องกันไม่ให้ผู้เยี่ยมชมกำหนดที่อยู่ IP ของตนเองจากช่วง "ผู้มีอำนาจ" ด้วยตนเอง สิ่งนี้จะทำให้พวกเขาเป็นส่วนหนึ่งของเครือข่ายที่ได้รับอนุญาตอย่างมีประสิทธิภาพ

VL-80
แหล่งที่มา
5

เครื่อง "ที่ได้รับอนุญาต" และ "แขก" ทั้งหมดอยู่ในเครือข่ายย่อยเดียวกันดังนั้นจึงไม่น่าแปลกใจเลยที่พวกเขาจะสามารถติดต่อกันได้

ซับเน็ตมาสก์ที่ถูก จำกัด ของเซิร์ฟเวอร์ทำให้คิดว่ามีเฉพาะคอมพิวเตอร์ "ที่ได้รับอนุญาต" อยู่ในซับเน็ตเดียวกันดังนั้นจึงเป็น ARP สำหรับพวกเขาโดยตรงและสามารถเข้าถึงพวกเขาได้

เซิร์ฟเวอร์คิดว่าคอมพิวเตอร์ "บุคคลทั่วไป" อยู่บนเครือข่ายย่อยอื่นดังนั้นจึงพยายามส่งแพ็กเก็ตไปยังเกตเวย์เริ่มต้น (นั่นคือที่ชั้นอีเธอร์เน็ตจะระบุคอมพิวเตอร์เหล่านั้นไปยังที่อยู่ MAC ของเกตเวย์เริ่มต้น คอมพิวเตอร์ "แขก" ที่ชั้น IP) หากเซิร์ฟเวอร์ไม่ได้กำหนดเกตเวย์เริ่มต้นหรือหากเกตเวย์เริ่มต้นไม่สามารถเข้าถึงหรือกำหนดค่าไม่ถูกต้องแพ็กเก็ตเหล่านี้จะไม่สามารถเข้าถึงคอมพิวเตอร์ "แขก"

Spiff
แหล่งที่มา
3

เนื่องจากแพ็กเก็ตอยู่นอกช่วง LAN ของพวกเขาพวกเขาส่งแพ็กเก็ตไปยังเราเตอร์เริ่มต้นของพวกเขา เราเตอร์เริ่มต้นจะส่งต่อไปยังปลายทางและส่งการเปลี่ยนเส้นทาง ICMP ไปยังแหล่งที่มา การเปลี่ยนเส้นทาง ICMP นั้นทำงานได้หรือไม่

คุณไม่ควรทำสิ่งนี้อย่างแน่นอน

เดวิดชวาร์ตษ์
แหล่งที่มา
หากฉันเข้าใจคำตอบของคุณ ping จากเครือข่ายบุคคลทั่วไปจะไปถึงเซิร์ฟเวอร์ไฟล์ แต่การตอบกลับของเซิร์ฟเวอร์ไฟล์จะไปที่เกตเวย์เริ่มต้นแทนที่จะตอบกลับกลับไปยังโฮสต์บุคคลทั่วไปโดยตรง เราเตอร์จะไม่ทราบว่าจะส่งทราฟฟิกและล้างทราฟฟิกลงที่ใด ฉันไม่ต้องการให้เซิร์ฟเวอร์ไฟล์พูดคุยกับโฮสต์เครือข่ายบุคคลทั่วไปดังนั้นจึงเป็นข้อดี ทำไมนี่เป็นความคิดที่ไม่ดี
Jared
1
@jared อ่านประโยคนี้“ เราเตอร์เริ่มต้นของพวกเขาส่งต่อพวกเขาไปยังปลายทางและส่งการเปลี่ยนเส้นทาง ICMP ไปยังแหล่งที่มา” ซึ่งหมายความว่าการตั้งค่าปัจจุบันทั้งหมดของคุณนั้นเป็นโฆษณา "กระโดด" พิเศษในการจราจร แพ็คเก็ตที่ได้รับ "หายไป" ไปที่เราเตอร์เพื่อขอความช่วยเหลือจากนั้นเพิ่งได้รับการเปลี่ยนเส้นทางต่อไป ดังนั้นไม่มีอะไรถูกล้างลงหลุม มันเพิ่งจะอ้อม
JakeGould
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.