Насколько умна моя сеть?


36

В моем офисе есть спор о том, насколько умной / эффективной является сеть, которую мы настроили.

У нас есть волоконная линия и кабельная линия, идущие к маршрутизатору с балансировкой нагрузки, который имеет аппаратный брандмауэр, к которому, наконец, подключен 64-портовый коммутатор.

Каждая из наших рабочих станций подключена к коммутатору (около 30 компьютеров), а также к NAS и нескольким внутренним тестовым серверам (всем назначены адреса 192.168.0.x).

Если рабочая станция A хочет связаться с рабочей станцией B , достаточно ли умна наша сеть для работы:

A → Переключатель → B и перемещаться только через первое наиболее распространенное соединение,

или путь будет A → Коммутатор → Брандмауэр → Маршрутизатор → Брандмауэр → Коммутатор → B и придется каждый раз проходить этот полный маршрут?


86
Не умнее человека, который его создал.
Моав

5
хаб - бесполезный; роутер - тупое железо; switch - интеллектуальное оборудование
Raystafarian

Ответы:


73

Маршрутизаторы не нужны, если ваш трафик не должен перемещаться в другую подсеть. Когда компьютер хочет отправить некоторый IP-трафик на другой компьютер в своей подсети, ему нужен MAC-адрес получателя, так как IP-адреса не являются чем-то на уровне коммутатора (уровень 2 модели OSI). Если он не знает MAC-адрес, он передает запрос ARP , говоря: «Эй, кто бы ни имел этот IP-адрес, не могли бы вы сказать мне свой MAC-адрес, пожалуйста?» Когда машина получает ответ, этот адрес затем присоединяется к пакету, и коммутатор использует его для отправки пакета через правильный физический порт.

Когда пункт назначения не находится в той же подсети, маршрутизаторы должны участвовать. Отправитель передает пакет соответствующему маршрутизатору (обычно это шлюз по умолчанию, если у вас нет особых потребностей в маршрутизации), который отправляет его по сети предполагаемому получателю. В отличие от коммутаторов, маршрутизаторы знают и имеют IP-адреса, но у них также есть MAC-адреса, и это MAC-адрес, который изначально помещается в пакеты, требующие маршрутизации. (MAC-адреса никогда не покидают подсеть.)

Вы можете увидеть IP-адреса маршрутизатора в столбце Шлюз вывода route printWindows. Направления, которые не требуют маршрутизации, есть On-linkтам.


12
+1 за правоту. Я добавляю это для еще большей / большей ясности: если пакет должен быть направлен в другую подсеть (поэтому он должен идти к маршрутизатору), то система все равно отправляет кадр по адресу MAC-48. Он просто отправляет его на адрес MAC-48 маршрутизатора вместо конечного получателя. Так или иначе, кадр будет доставлен с использованием адреса MAC-48. Коммутатор в основном игнорирует IP-адрес и просто смотрит, какой MAC-адрес необходим.
TOOGAM

1
Принимается не только за ответ на вопрос, но и за объяснение почему и как. Спасибо
bizzehdee

29

Если 2 компьютера подключены к одному и тому же vlan на коммутаторе и используют одну и ту же маску подсети - коммутатор должен доставить пакет, не затрагивая брандмауэр или маршрутизатор.

Вы можете проверить это, запустив tracert 192.168.0.X(при условии Windows), и вы должны увидеть прямой маршрут к этой системе.


15
Или tracerouteна Debian или ncна разных политиках.
кошка

19

Почти наверняка, путь связи будет A ↔︎ switch ↔︎ B , не проходящий через брандмауэр и маршрутизатор. Предполагая, что рабочие станции A и B имеют IP-адреса с одинаковой сетью и маской сети, они должны иметь возможность взаимодействовать без участия маршрутизатора, поскольку коммутатор знает, как пересылать пакеты. Вы должны быть в состоянии проверить , что не существует никаких промежуточных переходов между A и B , запустив из командной строки на A . (В Windows команда будет вместо .)traceroute ip_address_of_Btracerttraceroute

Тем не менее, альтернативные сценарии возможны , но менее вероятны.

В прежние времена, до появления Ethernet-коммутаторов, существовали концентраторы Ethernet. Концентраторы работают таким же образом, за исключением того, что они будут интеллектуально дублировать и пересылать входящие пакеты Ethernet через каждый отдельный порт концентратора, а не из соответствующего порта, как это сделал бы коммутатор. Если у вас концентратор вместо коммутатора, то маршрутизатор будет увидеть (и игнорировать) весь трафик между A и B . Конечно, такая беспорядочная пересылка пакетов создает много ненужного трафика, и концентраторы Ethernet в наши дни встречаются редко.

Другой возможный (но маловероятный) сценарий состоит в том, что коммутатор может быть настроен для изоляции портов . Это заставит трафик каждой рабочей станции проходить через маршрутизатор. Возможно, вы захотите сделать это, если считаете, что рабочие станции враждебны друг другу - например, порты в публичной библиотеке или в отдельных гостиничных номерах - и вы не хотите, чтобы они вообще могли напрямую общаться. Однако в офисной среде очень маловероятно, что ваш сетевой администратор настроил это таким образом.

Чтобы ответить на ваш вопрос с точки зрения непрофессионала: сеть, естественно, должна делать «правильные вещи» в вашем случае. Тем не менее, он может быть намеренно перенастроен на другую «правильную вещь». Как следствие этого, это может быть случайно неверно настроено на глупость.


0

Другие ответы верны. Так что в интересах подтверждения - предлагаю попробовать и выяснить.

tracert или traceroute или tracepath или mtr от одного хоста к другому.

Возьмите запасной (т.е. непроизводственный) компьютер и присвойте ему IP-адрес 192.168.166.x / 24 или 255.255.255.0 и шлюз 192.168.166.1.

Вам нужно будет настроить устройство брандмауэра, чтобы иметь дополнительный IP-адрес 192.168.166.1 / 24 на том же интерфейсе, что и ваша локальная сеть. Будьте осторожны, чтобы не прервать производственный трафик локальной сети в это время. Как именно вы это сделаете, зависит от вашей операционной системы брандмауэра.

Существует вероятность того, что вам может понадобиться настроить или расширить правила брандмауэра для интерфейса локальной сети.

Путь должен быть 166machine-switch-firewall-switch-0machine (но вы не увидите коммутатора в traceroute, потому что коммутаторы Ethernet находятся на уровне 2, а traceroute - ICMP на уровне 3.

Обратите внимание, это называется «оверлейной» сетью и не обеспечивает дополнительной безопасности. Это не DMZ, нет изоляции и не скрывает сеть 166 от сети 0.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.