Наскільки розумна моя мережа?

У моєму кабінеті є аргумент щодо того, наскільки насправді розумна / ефективна мережа, яку ми створили.

У нас є волоконна лінія та кабельна лінія, що потрапляє в маршрутизатор балансування навантаження, який має апаратний брандмауер, який нарешті має підключений до нього комутатор 64 портів.

Кожна наша робоча станція підключена до комутатора (близько 30 машин) плюс NAS і пара внутрішніх тестових серверів (усім призначено адреси 192.168.0.x).

Якщо робоча станція A хоче спілкуватися з робочою станцією B , чи достатньо розумна наша мережа для роботи:

A → Перемикач → B і їдьте лише через перше найпоширеніше з'єднання,

або шлях буде A → Перемикач → Брандмауер → Маршрутизатор → Брандмауер → Перемикач → B, і вам доведеться кожного разу пройти повний маршрут?

Маршрутизатори не потрібні, якщо ваш трафік не повинен перейти до іншої підмережі. Коли комп'ютер хоче відправити деякий IP-трафік на іншу машину своєї підмережі, йому потрібна MAC-адреса одержувача, оскільки IP-адреси не є річчю на рівні комутатора (рівень 2, модель OSI). Якщо він не знає MAC-адресу, він транслює запит ARP , кажучи: "Ей, хто має цю IP-адресу, чи не могли б ви сказати мені свою MAC-адресу?" Коли машина отримує відповідь, ця адреса приєднується до пакету, і комутатор використовує його для відправлення пакета з потрібного фізичного порту.

Якщо пункт призначення не в одній підмережі, маршрутизатори повинні залучатися. Відправник надає пакет відповідному маршрутизатору (як правило, шлюз за замовчуванням, якщо у вас немає спеціальних потреб маршрутизації), який надсилає його через мережу до призначеного одержувача. На відміну від комутаторів, маршрутизатори знають про них та мають IP-адреси, але вони також мають MAC-адреси, і це MAC-адреса, яка спочатку ставиться на пакети, які потребують маршрутизації. (MAC-адреси ніколи не залишають підмережу.)

Ви можете бачити IP-адреси маршрутизатора в стовпці Шлюз на виході route printв Windows. Напрямки, які не потребують маршрутизації, є On-linkтам.

Якщо на комутаторі підключено 2 комп’ютери до однієї і тієї ж влан і поділяють ту саму маску підмережі - комутатор повинен доставити пакет, не потрапляючи на ваш брандмауер або маршрутизатор.

Ви можете перевірити це, запустивши tracert 192.168.0.X(припускаючи Windows), і вам слід побачити прямий шлях до цієї системи.

Майже напевно, шлях зв’язку буде A ↔︎ перемикачем ↔︎ B , не проходячи через брандмауер та маршрутизатор. Якщо припустити, що на робочих станціях A і B є IP адреси з однаковою мережею та мережевою маскою, вони повинні мати можливість взаємодіяти без участі маршрутизатора, оскільки комутатор знає, як пересилати пакети. Ви повинні бути в змозі перевірити , що не існує ніяких проміжних переходів між A і B , запустивши з командного рядка на A . (У Windows команда буде замість .)traceroute ip_address_of_Btracerttraceroute

Однак, альтернативні сценарії можливі , але менш вірогідні.

За старих часів, перш ніж переважали комутатори Ethernet, існували концентратори Ethernet. Хаби працюють аналогічно, за винятком того, що вони неминуче копіюють та передають вхідні Ethernet-пакети через кожен порт концентратора, а не через відповідний порт, як комутатор. Якщо у вас концентратор замість комутатора, то маршрутизатор буде побачити (і ігнорувати) весь трафік між A і B . Звичайно, таке нерозбірливе переадресація пакетів створює багато непотрібного трафіку, і концентратори Ethernet є рідкістю в наші дні.

Інший можливий (але малоймовірний) сценарій полягає в тому, що комутатор може бути налаштований так, щоб робити ізоляцію портів . Це змусить трафік кожної робочої станції пройти через маршрутизатор. Ви можете зробити це, якщо вважаєте, що робочі станції є ворожими один одному - наприклад, порти в публічній бібліотеці або в окремих готельних номерах - і ви не хочете, щоб вони взагалі могли безпосередньо спілкуватися. У офісних умовах, однак, малоймовірно, що ваш адміністратор мережі встановив це таким чином.

Щоб відповісти на ваше запитання простою людиною: мережа повинна, природно, робити "правильну справу" у вашому випадку. Однак це можна було б свідомо налаштувати, щоб зробити іншу "правильну справу". Як наслідок цього, це також може бути випадково неправильно налаштовано робити тупу справу.

Інші відповіді правильні. Тож в інтересах підтвердження - пропоную спробувати і дізнатися.

tracert або traceroute або tracepath або mtr від одного хоста до іншого.

Візьміть запасний (тобто невиробничий) комп’ютер та надайте йому IP 192.168.166.x / 24 або 255.255.255.0 та шлюз 192.168.166.1

Вам потрібно буде налаштувати пристрій брандмауера для вторинного IP-адреси 192.168.166.1 / 24 в тому ж інтерфейсі, що і ваша локальна мережа. Будьте обережні, щоб у цей час не порушити ваш виробничий трафік. Як саме ви це зробите, залежить від вашої брандмауера.

Є ймовірність, що вам може знадобитися налаштувати або розширити правила брандмауера для інтерфейсу LAN.

Шлях повинен бути 166 machine-switch-firewall-switch-0machine (але ви не побачите комутатор у traceroute, тому що комутатори Ethernet знаходяться на рівні2, а traceroute - ICMP на рівні 3.

Зверніть увагу, це називається мережею "накладання" і не забезпечує додаткової безпеки. Це не DMZ, немає ізоляції та не приховує мережу 166 від мережі 0.