Jak inteligentna jest moja sieć?

36

W moim biurze jest spór o to, jak naprawdę inteligentna / wydajna jest sieć, którą stworzyliśmy.

Mamy linię światłowodową i linię kablową biegnącą do routera równoważącego obciążenie, który ma sprzętową zaporę ogniową, która wreszcie ma podłączony do niego przełącznik 64-portowy.

Każda z naszych stacji roboczych jest podłączona do przełącznika (około 30 komputerów) oraz NAS i kilka wewnętrznych serwerów testowych (wszystkie z przypisanymi adresami 192.168.0.x).

Jeśli stacja robocza A chce komunikować się ze stacją roboczą B , czy nasza sieć jest wystarczająco inteligentna, aby przejść:

A → Przełącznik → B i podróżuj tylko przez pierwsze najczęściej używane połączenie,

a może ścieżką będzie A → Przełącznik → Zapora sieciowa → Router → Zapora sieciowa → Przełącznik → B i będziesz musiał iść tą samą trasą za każdym razem?

bizzehdee
źródło
86
Nie sprytniejszy niż osoba, która go skonfigurowała.
Moab
5
piasta - bezużyteczna; router - głupi sprzęt; przełącznik - inteligentny sprzęt
Raystafarian 25.04.16

Odpowiedzi:

73

Routery nie są konieczne, chyba że ruch musi zostać przeniesiony do innej podsieci. Gdy komputer chce wysłać część ruchu IP do innego komputera w swojej podsieci, potrzebuje adresu MAC odbiorcy, ponieważ adresy IP nie są czymś w warstwie przełącznika (Warstwa 2 modelu OSI). Jeśli nie zna adresu MAC, wysyła żądanie ARP , mówiąc „hej, ktokolwiek ma ten adres IP, czy mógłbyś mi podać swój adres MAC?” Gdy maszyna otrzyma odpowiedź, adres ten jest następnie dołączany do pakietu, a przełącznik używa go do wysłania pakietu z właściwego portu fizycznego.

Gdy miejsce docelowe nie znajduje się w tej samej podsieci, routery muszą się zaangażować. Nadawca przekazuje pakiet do odpowiedniego routera (zwykle domyślnej bramy, chyba że masz specjalne potrzeby routingu), która przesyła go przez sieć do docelowego odbiorcy. W przeciwieństwie do przełączników, routery znają adresy IP i mają je, ale mają także adresy MAC, a to adres MAC, który początkowo jest umieszczany na pakietach wymagających routingu. (Adresy MAC nigdy nie opuszczają podsieci).

Możesz zobaczyć adresy IP routera w kolumnie Brama danych wyjściowych route printsystemu Windows. On-linkTam są miejsca docelowe, które nie wymagają routingu .

Ben N.
źródło
12
+1 za rację. Dodam to dla jeszcze większej / większej przejrzystości: jeśli pakiet musi zostać przekierowany do innej podsieci (więc musi przejść do routera), wówczas system nadal wysyła ramkę na adres MAC-48. Po prostu wysyła go na adres MAC-48 routera zamiast do końcowego odbiorcy. Tak czy inaczej, ramka zostanie dostarczona przy użyciu adresu MAC-48. Przełącznik w zasadzie zignoruje adres IP i po prostu sprawdzi, jaki adres MAC jest potrzebny.
TOOGAM,
1
Zaakceptowano nie tylko odpowiedź na pytanie, ale także wyjaśnienie, dlaczego i jak. Dziękuję
bizzehdee
29

Jeśli 2 komputery są podłączone do tego samego VLAN na przełączniku i współużytkują tę samą maskę podsieci - przełącznik powinien dostarczyć pakiet bez uderzania w firewall lub router.

Możesz to sprawdzić, uruchamiając tracert 192.168.0.X(zakładając Windows) i powinieneś zobaczyć bezpośrednią trasę do tego systemu.

Natalie Adams
źródło
15
Lub traceroutena Debianie lub ncna różnych Unicies.
kot
19

Niemal na pewno ścieżką komunikacji byłby przełącznik A ↔︎ ↔︎ B , nie przechodzący przez zaporę ogniową i router. Zakładając, że stacje robocze A i B mają adresy IP z tą samą siecią i maską sieci, powinny mieć możliwość interakcji bez routera, ponieważ przełącznik wie, jak przekazywać pakiety. Powinieneś być w stanie sprawdzić, czy nie ma żadnych pośrednich przeskoków między A i B , uruchamiając z wiersza poleceń na A . (W systemie Windows polecenie byłoby zamiast .)traceroute ip_address_of_Btracerttraceroute

To powiedziawszy, alternatywne scenariusze są możliwe , ale mniej prawdopodobne.

W dawnych czasach, zanim rozpowszechniły się przełączniki Ethernet, istniały koncentratory Ethernet. Koncentratory działają w ten sam sposób, z tym wyjątkiem, że w sposób niezamierzony kopiują i przekazują przychodzące pakiety Ethernet przez każdy pojedynczy port koncentratora, zamiast wychodzić z odpowiedniego portu, tak jak w przypadku przełącznika. Jeśli miał piastę zamiast przełącznika, wtedy router nie zobaczy (i zignorować) cały ruch między A i B . Oczywiście takie masowe przekazywanie pakietów powoduje dużo niepotrzebnego ruchu, a huby Ethernetowe są dziś rzadkością.

Innym możliwym (ale mało prawdopodobnym) scenariuszem jest skonfigurowanie przełącznika do izolacji portu . To zmusiłoby ruch każdej stacji roboczej do przejścia przez router. Możesz to zrobić, jeśli uważasz, że stacje robocze są wobec siebie wrogie - na przykład porty w bibliotece publicznej lub w oddzielnych pokojach hotelowych - i nie chcesz, aby w ogóle mogły się bezpośrednio komunikować. Jednak w środowisku biurowym jest mało prawdopodobne, aby administrator sieci skonfigurował to w ten sposób.

Aby odpowiedzieć na twoje pytanie w kategoriach laika: sieć powinna oczywiście zrobić „właściwą rzecz” w twoim przypadku. Można jednak celowo zmienić konfigurację, aby zrobić inną „właściwą rzecz”. W związku z tym może być również przypadkowo źle skonfigurowany, aby zrobić głupią rzecz.

200_sukces
źródło
0

Pozostałe odpowiedzi są poprawne. W trosce o potwierdzenie - proponuję spróbować i się przekonać.

tracert lub traceroute lub tracepath lub mtr z jednego hosta na drugi.

Złap zapasowy (tj. Nieprodukcyjny) komputer i nadaj mu adres IP 192.168.166.x / 24 lub 255.255.255.0 oraz bramę 192.168.166.1

Musisz skonfigurować urządzenie zapory, aby miało dodatkowy adres IP 192.168.166.1 / 24 na tym samym interfejsie co sieć LAN. Uważaj, aby w tej chwili nie przerwać ruchu produkcyjnego LAN. Dokładnie to, jak to zrobisz, zależy od systemu operacyjnego zapory.

Istnieje szansa, że ​​konieczne może być również dostosowanie lub rozszerzenie reguł zapory dla interfejsu LAN.

Ścieżka powinna mieć 166machine-switch-firewall-switch-0machine (ale nie zobaczysz przełącznika w traceroute, ponieważ przełączniki ethernetowe znajdują się w warstwie 2, a traceroute to ICMP w warstwie 3.

Pamiętaj, że nazywa się to siecią „nakładkową” i nie zapewnia żadnych dodatkowych zabezpieczeń. To nie jest strefa DMZ, nie ma izolacji i nie ukrywa sieci 166 przed siecią 0.

Criggie
źródło