Mạng của tôi thông minh đến mức nào?

Có một cuộc tranh luận trong văn phòng của tôi về mức độ thông minh / hiệu quả của mạng mà chúng tôi đã thiết lập thực sự là như thế nào.

Chúng tôi có một đường cáp quang và một đường cáp chạy vào bộ định tuyến cân bằng tải, có tường lửa phần cứng, cuối cùng có một cổng 64 được kết nối với nó.

Mỗi máy trạm của chúng tôi được kết nối với bộ chuyển mạch (khoảng 30 máy) cộng với một NAS và một vài máy chủ thử nghiệm nội bộ (tất cả các địa chỉ 192.168.0.x được gán).

Nếu máy trạm A muốn liên lạc với máy trạm B , mạng của chúng tôi có đủ thông minh không:

A → Chuyển → B và chỉ đi qua kết nối phổ biến đầu tiên,

hoặc đường dẫn sẽ là A → Chuyển đổi → Tường lửa → Bộ định tuyến → Tường lửa → Chuyển đổi → B và phải đi tuyến đường đầy đủ đó mỗi lần?

Bộ định tuyến không cần thiết trừ khi lưu lượng của bạn cần chuyển sang mạng con khác. Khi một máy tính muốn gửi một số lưu lượng IP đến một máy khác trên mạng con của nó, nó cần địa chỉ MAC của người nhận, vì địa chỉ IP không phải là thứ ở lớp chuyển đổi (Lớp 2 của mô hình OSI). Nếu nó không biết địa chỉ MAC, nó sẽ phát một yêu cầu ARP , nói rằng "này, bất cứ ai có địa chỉ IP này, bạn có thể cho tôi biết địa chỉ MAC của bạn được không?" Khi máy nhận được phản hồi, địa chỉ đó sẽ được gắn vào gói và công tắc sử dụng nó để gửi gói ra khỏi cổng vật lý bên phải.

Khi đích không nằm trên cùng một mạng con, các bộ định tuyến cần tham gia. Người gửi cung cấp gói cho bộ định tuyến thích hợp (thường là cổng mặc định, trừ khi bạn có nhu cầu định tuyến đặc biệt), sẽ gửi nó qua mạng đến người nhận dự định. Không giống như các thiết bị chuyển mạch, bộ định tuyến biết và có địa chỉ IP, nhưng chúng cũng có địa chỉ MAC và đó là địa chỉ MAC ban đầu được đặt trên các gói cần định tuyến. (Địa chỉ MAC không bao giờ rời khỏi mạng con.)

Bạn có thể thấy địa chỉ IP của bộ định tuyến trong cột Cổng đầu ra của route printWindows. Các điểm đến không yêu cầu định tuyến có On-linkở đó.

Nếu 2 máy tính được kết nối với cùng một vlan trên một công tắc và chia sẻ cùng một mặt nạ mạng con - thì công tắc sẽ phân phối gói mà không cần nhấn vào tường lửa hoặc bộ định tuyến của bạn.

Bạn có thể xác minh điều này bằng cách chạy tracert 192.168.0.X(giả sử Windows) và bạn sẽ thấy một tuyến đường trực tiếp đến hệ thống đó.

Gần như chắc chắn, đường truyền sẽ là Một ↔︎ switch ↔︎ B , không phải trải qua các bức tường lửa và router. Giả sử rằng các máy trạm A và B có địa chỉ IP với cùng một mạng và netmask, chúng sẽ có thể tương tác với không có bộ định tuyến liên quan, bởi vì bộ chuyển mạch biết cách chuyển tiếp các gói. Bạn sẽ có thể xác minh rằng không có bước nhảy trung gian giữa A và B bằng cách chạy từ một dấu nhắc lệnh trên Một . (Trên Windows, lệnh sẽ thay thế .)traceroute ip_address_of_Btracerttraceroute

Điều đó nói rằng, kịch bản thay thế là có thể , nhưng ít khả năng hơn.

Ngày xưa, trước khi các thiết bị chuyển mạch Ethernet thịnh hành, đã có các trung tâm Ethernet. Các trung tâm hoạt động theo cùng một cách, ngoại trừ việc chúng sẽ nhân đôi và chuyển tiếp các gói Ethernet đến một cách thông minh qua mọi cổng duy nhất của trung tâm, thay vì ra khỏi cổng thích hợp như một công tắc. Nếu bạn đã có một trung tâm thay vì một chuyển đổi, sau đó router sẽ nhìn thấy (và bỏ qua) tất cả lưu lượng giữa A và B . Tất nhiên, việc chuyển tiếp gói bừa bãi như vậy tạo ra rất nhiều lưu lượng không cần thiết và các trung tâm Ethernet không phổ biến trong những ngày này.

Một kịch bản có thể (nhưng không thể) khác là công tắc có thể được cấu hình để thực hiện cách ly cổng . Điều đó sẽ buộc lưu lượng của mỗi máy trạm đi qua bộ định tuyến. Bạn có thể muốn làm điều đó nếu bạn coi các máy trạm là thù địch với nhau - ví dụ: các cổng tại thư viện công cộng hoặc trong các phòng khách sạn riêng biệt - và bạn không muốn chúng có thể liên lạc trực tiếp với nhau. Tuy nhiên, trong môi trường văn phòng, rất có thể quản trị viên mạng của bạn đã thiết lập nó theo cách đó.

Để trả lời câu hỏi của bạn theo thuật ngữ của giáo dân: mạng phải tự nhiên làm "điều đúng" trong trường hợp của bạn. Tuy nhiên, nó có thể được cấu hình lại một cách có chủ ý để làm một "điều đúng" khác. Như một hệ quả tất yếu, nó cũng có thể vô tình bị cấu hình sai để làm một việc ngu ngốc.

Các câu trả lời khác là chính xác. Vì vậy, vì lợi ích của việc xác nhận - tôi khuyên bạn nên thử và tìm hiểu.

tracert hoặc traceroute hoặc tracepath hoặc mtr từ máy chủ này sang máy chủ khác.

Lấy một máy tính dự phòng (tức là không sản xuất) và cung cấp cho nó IP 192.168.166.x / 24 hoặc 255.255.255.0 và cổng 192.168.166.1

Bạn sẽ cần định cấu hình thiết bị tường lửa của mình để có IP thứ cấp 192.168.166.1 / 24 trên cùng giao diện với mạng LAN của bạn. Hãy cẩn thận để không phá vỡ lưu lượng sản xuất mạng LAN của bạn tại thời điểm này. Chính xác cách bạn làm điều này phụ thuộc vào hệ điều hành tường lửa của bạn.

Có một cơ hội bạn có thể cần phải điều chỉnh hoặc mở rộng các quy tắc tường lửa cho giao diện LAN.

Đường dẫn phải là 166machine-switch-tường lửa-switch-0machine (nhưng bạn sẽ không thấy công tắc trong traceroute vì các công tắc ethernet ở layer2 và traceroute là ICMP ở layer3.

Xin lưu ý, đây được gọi là mạng "lớp phủ" và không cung cấp bảo mật bổ sung. Nó không phải là DMZ, không có sự cô lập và không ẩn mạng 166 khỏi mạng 0.