Cố gắng hiểu các tương tác giữa hai mạng con khác nhau trên cùng một mạng

Tôi có một 10.0.0.0/8mạng chia thành hai phần. Một máy chủ DHCP cung cấp địa chỉ 10.0.0.10cho 10.0.0.150với mặt nạ lớp A ( 255.0.0.0). Đây là phần khách của tôi trên mạng.

Người sử dụng mạng có thẩm quyền có đặt trên máy chủ DHCP với địa chỉ trong 10.100.0.10để 10.100.0.250tầm hoạt động với một lớp mặt nạ.
Một máy chủ tệp trên mạng có địa chỉ IP 10.100.0.1và mặt nạ lớp B ( 255.255.0.0).

• Các thiết bị trên cả mạng của Guest Guest và mạng được ủy quyền của ED có thể nhìn thấy nhau.
• Mạng ủy quyền có thể nhìn thấy các máy chủ tập tin.
• Mạng khách Guest có thể nhìn thấy máy chủ tập tin.

Điều này đã làm việc khá tốt cho đến nay, nhưng người hướng dẫn lớp học của tôi thề là không nên. Tôi đã đọc ở một số nơi rằng các PC có mặt nạ mạng con khác nhau được chỉ định sẽ không thể giao tiếp với nhau.

Ai đó có thể vui lòng giúp tôi hiểu lý do tại sao các PC mạng được ủy quyền của ED có thể truy cập vào máy chủ tập tin tốt mặc dù các mặt nạ mạng con khác nhau không?

Lý thuyết của mặt nạ mạng con là nó xác định phần nào của địa chỉ IP là địa chỉ mạng và phần nào của địa chỉ IP là địa chỉ máy chủ:

10.100.0.1 - Địa chỉ IP;

255.0.0.0 - Mặt nạ mạng con;

10- địa chỉ mạng, 100.0.1- địa chỉ máy chủ.

Các máy chủ trong cùng một mạng con có thể nói chuyện trực tiếp với nhau. Điều đó có nghĩa là nếu máy chủ A và B nằm trong cùng một mạng con và A muốn nói chuyện với B thì A sẽ gửi lưu lượng truy cập trực tiếp đến B. Nếu máy chủ A muốn nói chuyện với máy chủ C nằm trong một mạng con khác thì A sẽ có để định tuyến lưu lượng truy cập này đến cổng mà biết (hy vọng) làm thế nào để tiếp cận mạng khác nhau. Vì vậy, tùy thuộc vào máy chủ để xác định nơi gửi lưu lượng:

1. Trực tiếp đến máy chủ (máy chủ thứ hai nằm trong cùng mạng con)
2. Đến cổng (máy chủ thứ hai thuộc về một mạng con khác)

Điều xảy ra trong trường hợp của bạn là các máy khách "Được ủy quyền" của bạn có địa chỉ IP 10.100.0.10 - 10.100.0.250(tôi giả sử mặt nạ mạng con là 255.0.0.0). Máy chủ có địa chỉ IP 10.100.0.1. Đối với một máy chủ trong phạm vi "Được ủy quyền", máy chủ này được đặt trong cùng một mạng con.

Nếu máy chủ 10.100.0.10trong phạm vi "Được ủy quyền" muốn nói chuyện với máy chủ - trước tiên, nó sẽ kiểm tra xem máy chủ này có nằm trong cùng mạng con hay không. Đối với máy chủ 10.100.0.10có mặt nạ mạng con, 255.0.0.0cùng một mạng con sẽ là tất cả các máy chủ trong phạm vi 10.0.0.1 - 10.255.255.254. Địa chỉ IP của máy chủ xảy ra trong phạm vi này. Vì lý do này, một máy chủ trong phạm vi "Được ủy quyền" thực hiện một nỗ lực tiếp cận trực tiếp với máy chủ và (giả sử chúng nằm trên cùng một mạng lớp 2), nỗ lực này đã thành công.

Trong trường hợp này, mặc dù máy chủ có mặt nạ mạng con khác nhau - nó nằm trong mạng con lớn hơn (cũng là mạng con cho các máy khách "Được ủy quyền"). Nếu máy chủ của bạn sẽ có byte thứ hai khác nhau trong địa chỉ IP ( 10.150.0.1ví dụ) thì nó sẽ không thể trả lời máy chủ từ phạm vi "Được ủy quyền", vì theo quan điểm của máy chủ, phạm vi "Được ủy quyền" sẽ trông giống như một mạng con và máy chủ khác. sẽ cần gửi lưu lượng đến một bộ định tuyến. Nếu không có bộ định tuyến - thì sẽ không có giao tiếp.

Nếu bạn muốn tách mạng của mình thành các phần "Khách" và "Được ủy quyền" thì bạn cần đặt chúng ở các mạng con khác nhau không trùng nhau.

Ví dụ:

1. "Khách" - 10.10.0.1, mặt nạ mạng con255.255.0.0
2. "Được ủy quyền" - 10.20.0.1, mặt nạ mạng con255.255.0.0

Máy chủ sẽ được đặt trong phần "Được ủy quyền" của mạng có địa chỉ IP 10.20.0.100, mặt nạ mạng con 255.255.0.0.

Với thiết lập này, các mạng con này sẽ được phân tách hiệu quả với nhau, vì các phần của địa chỉ IP đại diện cho mạng con của chúng sẽ khác nhau:

1. 10.10 cho khách
2. 10.20 cho phép

Tại thời điểm này, giao tiếp giữa các mạng con này sẽ chỉ có thể thông qua bộ định tuyến có giao diện trong cả hai mạng con.

Ngoài ra, điều đáng nói là, trong khi tất cả các máy tính của bạn chia sẻ cùng một mạng Lớp 2, sẽ không có gì ngăn Khách tự tự gán địa chỉ IP từ phạm vi "Được ủy quyền". Điều này sẽ có hiệu quả làm cho họ trở thành một phần của Mạng được ủy quyền.

Tất cả các máy "Được ủy quyền" và "Khách" đều nằm trên cùng một mạng con, vì vậy không có gì ngạc nhiên khi tất cả chúng có thể tiếp cận với nhau.

Mặt nạ mạng con bị hạn chế của máy chủ làm cho nó nghĩ rằng chỉ có các máy tính "Được ủy quyền" ở trên cùng một mạng con, do đó, ARP cho chúng trực tiếp và có thể tiếp cận chúng.

Máy chủ cho rằng các máy tính "Khách" nằm trên một mạng con khác, vì vậy nó cố gắng gửi các gói của chúng đến cổng mặc định của nó (nghĩa là, ở lớp Ethernet, nó gửi chúng đến địa chỉ MAC của cổng mặc định; chúng vẫn được gửi đến các máy tính "Khách" ở lớp IP). Nếu máy chủ không có cổng mặc định được xác định hoặc nếu cổng mặc định của nó không thể truy cập được hoặc bị định cấu hình sai, các gói này sẽ không thể truy cập vào máy tính "Khách".

Vì các gói nằm ngoài phạm vi LAN của chúng, chúng gửi các gói đến bộ định tuyến mặc định của chúng. Bộ định tuyến mặc định của họ chuyển tiếp chúng đến đích và gửi chuyển hướng ICMP đến nguồn. Cho dù chuyển hướng ICMP có hoạt động hay không, lưu lượng vẫn đến đó.

Bạn chắc chắn không nên làm mọi thứ theo cách này.