Jak inteligentna jest moja sieć?

W moim biurze jest spór o to, jak naprawdę inteligentna / wydajna jest sieć, którą stworzyliśmy.

Mamy linię światłowodową i linię kablową biegnącą do routera równoważącego obciążenie, który ma sprzętową zaporę ogniową, która wreszcie ma podłączony do niego przełącznik 64-portowy.

Każda z naszych stacji roboczych jest podłączona do przełącznika (około 30 komputerów) oraz NAS i kilka wewnętrznych serwerów testowych (wszystkie z przypisanymi adresami 192.168.0.x).

Jeśli stacja robocza A chce komunikować się ze stacją roboczą B , czy nasza sieć jest wystarczająco inteligentna, aby przejść:

A → Przełącznik → B i podróżuj tylko przez pierwsze najczęściej używane połączenie,

a może ścieżką będzie A → Przełącznik → Zapora sieciowa → Router → Zapora sieciowa → Przełącznik → B i będziesz musiał iść tą samą trasą za każdym razem?

Routery nie są konieczne, chyba że ruch musi zostać przeniesiony do innej podsieci. Gdy komputer chce wysłać część ruchu IP do innego komputera w swojej podsieci, potrzebuje adresu MAC odbiorcy, ponieważ adresy IP nie są czymś w warstwie przełącznika (Warstwa 2 modelu OSI). Jeśli nie zna adresu MAC, wysyła żądanie ARP , mówiąc „hej, ktokolwiek ma ten adres IP, czy mógłbyś mi podać swój adres MAC?” Gdy maszyna otrzyma odpowiedź, adres ten jest następnie dołączany do pakietu, a przełącznik używa go do wysłania pakietu z właściwego portu fizycznego.

Gdy miejsce docelowe nie znajduje się w tej samej podsieci, routery muszą się zaangażować. Nadawca przekazuje pakiet do odpowiedniego routera (zwykle domyślnej bramy, chyba że masz specjalne potrzeby routingu), która przesyła go przez sieć do docelowego odbiorcy. W przeciwieństwie do przełączników, routery znają adresy IP i mają je, ale mają także adresy MAC, a to adres MAC, który początkowo jest umieszczany na pakietach wymagających routingu. (Adresy MAC nigdy nie opuszczają podsieci).

Możesz zobaczyć adresy IP routera w kolumnie Brama danych wyjściowych route printsystemu Windows. On-linkTam są miejsca docelowe, które nie wymagają routingu .

Jeśli 2 komputery są podłączone do tego samego VLAN na przełączniku i współużytkują tę samą maskę podsieci - przełącznik powinien dostarczyć pakiet bez uderzania w firewall lub router.

Możesz to sprawdzić, uruchamiając tracert 192.168.0.X(zakładając Windows) i powinieneś zobaczyć bezpośrednią trasę do tego systemu.

Niemal na pewno ścieżką komunikacji byłby przełącznik A ↔︎ ↔︎ B , nie przechodzący przez zaporę ogniową i router. Zakładając, że stacje robocze A i B mają adresy IP z tą samą siecią i maską sieci, powinny mieć możliwość interakcji bez routera, ponieważ przełącznik wie, jak przekazywać pakiety. Powinieneś być w stanie sprawdzić, czy nie ma żadnych pośrednich przeskoków między A i B , uruchamiając z wiersza poleceń na A . (W systemie Windows polecenie byłoby zamiast .)traceroute ip_address_of_Btracerttraceroute

To powiedziawszy, alternatywne scenariusze są możliwe , ale mniej prawdopodobne.

W dawnych czasach, zanim rozpowszechniły się przełączniki Ethernet, istniały koncentratory Ethernet. Koncentratory działają w ten sam sposób, z tym wyjątkiem, że w sposób niezamierzony kopiują i przekazują przychodzące pakiety Ethernet przez każdy pojedynczy port koncentratora, zamiast wychodzić z odpowiedniego portu, tak jak w przypadku przełącznika. Jeśli miał piastę zamiast przełącznika, wtedy router nie zobaczy (i zignorować) cały ruch między A i B . Oczywiście takie masowe przekazywanie pakietów powoduje dużo niepotrzebnego ruchu, a huby Ethernetowe są dziś rzadkością.

Innym możliwym (ale mało prawdopodobnym) scenariuszem jest skonfigurowanie przełącznika do izolacji portu . To zmusiłoby ruch każdej stacji roboczej do przejścia przez router. Możesz to zrobić, jeśli uważasz, że stacje robocze są wobec siebie wrogie - na przykład porty w bibliotece publicznej lub w oddzielnych pokojach hotelowych - i nie chcesz, aby w ogóle mogły się bezpośrednio komunikować. Jednak w środowisku biurowym jest mało prawdopodobne, aby administrator sieci skonfigurował to w ten sposób.

Aby odpowiedzieć na twoje pytanie w kategoriach laika: sieć powinna oczywiście zrobić „właściwą rzecz” w twoim przypadku. Można jednak celowo zmienić konfigurację, aby zrobić inną „właściwą rzecz”. W związku z tym może być również przypadkowo źle skonfigurowany, aby zrobić głupią rzecz.

Pozostałe odpowiedzi są poprawne. W trosce o potwierdzenie - proponuję spróbować i się przekonać.

tracert lub traceroute lub tracepath lub mtr z jednego hosta na drugi.

Złap zapasowy (tj. Nieprodukcyjny) komputer i nadaj mu adres IP 192.168.166.x / 24 lub 255.255.255.0 oraz bramę 192.168.166.1

Musisz skonfigurować urządzenie zapory, aby miało dodatkowy adres IP 192.168.166.1 / 24 na tym samym interfejsie co sieć LAN. Uważaj, aby w tej chwili nie przerwać ruchu produkcyjnego LAN. Dokładnie to, jak to zrobisz, zależy od systemu operacyjnego zapory.

Istnieje szansa, że ​​konieczne może być również dostosowanie lub rozszerzenie reguł zapory dla interfejsu LAN.

Ścieżka powinna mieć 166machine-switch-firewall-switch-0machine (ale nie zobaczysz przełącznika w traceroute, ponieważ przełączniki ethernetowe znajdują się w warstwie 2, a traceroute to ICMP w warstwie 3.

Pamiętaj, że nazywa się to siecią „nakładkową” i nie zapewnia żadnych dodatkowych zabezpieczeń. To nie jest strefa DMZ, nie ma izolacji i nie ukrywa sieci 166 przed siecią 0.