web-dev-qa-db-ja.com

私のネットワークはどれほどスマートですか?

私のオフィスには、私たちが設定したネットワークが実際にどれほどスマートで効率的であるかについての議論があります。

ハードウェアファイアウォールがあり、最後に64ポートスイッチが接続されているロードバランシングルーターに接続されているファイバーラインとケーブルラインがあります。

各ワークステーションは、スイッチ(約30台のマシン)にNASおよびいくつかの内部テストサーバー(すべて192.168.0.xアドレスが割り当てられています))に接続されています。

ワークステーション[〜#〜] a [〜#〜]がワークステーション[〜#〜] b [〜#〜]と通信したい場合、ネットワークは十分にスマートです行く:

A→スイッチ→Bそして、最初の最も一般的な接続を介してのみ移動し、

またはパスはA→スイッチ→ファイアウォール→ルーター→ファイアウォール→スイッチ→Bであり、毎回その完全なルートに移動する必要がありますか?

networkingroutingswitching
36
bizzehdee

トラフィックが別のサブネットに移動する必要がない限り、ルーターは必要ありません。コンピューターがIPトラフィックをそのサブネット上の別のマシンに送信する場合、IPアドレスはスイッチのレイヤー(OSIモデルのレイヤー2)のものではないため、受信者のMACアドレスが必要です。 MACアドレスがわからない場合は、 [〜#〜] arp [〜#〜] リクエストをブロードキャストし、「このIPアドレスを持っている人は誰でも、MACアドレスを教えてもらえますか?お願いします?"マシンが応答を受信すると、そのアドレスがパケットに添付され、スイッチはそれを使用してパケットを正しい物理ポートに送信します。

宛先が同じサブネット上にない場合、ルーターが関与する必要があります。送信者はパケットを適切なルーター(通常は、特別なルーティングが必要な場合を除き、デフォルトゲートウェイ)に渡します。ルーターは、ネットワークを介して目的の受信者に送信します。スイッチとは異なり、ルーターはIPアドレスを知っており、IPアドレスを持っていますが、MACアドレスも持っています。これは、ルーティングを必要とするパケットに最初に置かれるMACアドレスです。 (MACアドレスはサブネットを離れることはありません。)

Windowsのroute printの出力の[ゲートウェイ]列にルーターのIPアドレスが表示されます。ルーティングを必要としない宛先にはOn-linkがあります。

73
Ben N

2台のコンピューターがスイッチ上の同じVLANに接続され、同じサブネットマスクを共有する場合、スイッチはファイアウォールやルーターにぶつかることなくパケットを配信する必要があります。

これを確認するには、tracert 192.168.0.X(Windowsを想定)を実行すると、そのシステムへの直接ルートが表示されます。

29
Natalie Adams

ほぼ間違いなく、通信パスは[〜#〜] a [〜#〜]↔︎switch↔︎[〜#〜] b [〜#〜 ]、ファイアウォールとルーターを経由していません。ワークステーション[〜#〜] a [〜#〜][〜#〜] b [〜#〜]が同じネットワークとネットマスクのIPアドレスを持っていると仮定すると、スイッチはパケットの転送方法を認識しているため、ルーターは関与していません。 [〜#〜] a [〜#〜][〜#〜] b [〜#〜]の間に中間ホップがないことを確認できるはずです。 [〜#〜] a [〜#〜]のコマンドプロンプトからtraceroute ip_address_of_Bを実行します。 (Windowsでは、コマンドはtracertではなくtracerouteになります。)

そうは言っても、代替シナリオは可能ですが、可能性は低くなります。

昔は、イーサネットスイッチが普及する前はイーサネットハブがありました。ハブは同じように機能しますが、スイッチのように適切なポートからではなく、ハブのすべての単一のポートを介して着信イーサネットパケットをインテリジェントに複製および転送します。スイッチの代わりにハブがある場合、ルーターは[〜#〜] a [〜#〜][〜#〜]の間のすべてのトラフィックを確認(および無視)します。 b [〜#〜]。もちろん、このような無差別なパケット転送は不要なトラフィックを大量に発生させ、最近ではイーサネットハブは一般的ではありません。

別の可能性のある(可能性は低い)シナリオは、スイッチが ポート分離 を実行するように構成されている場合があります。これにより、各ワークステーションのトラフィックが強制的にルーターを通過します。ワークステーションが互いに敵対的であると考えた場合(たとえば、公共図書館や別のホテルの部屋のポートなど)、それらが直接通信できないようにしたい場合は、そうする必要があります。ただし、オフィス環境では、ネットワーク管理者がそのように設定していることはほとんどありません。

素人の言葉であなたの質問に答えるために:ネットワークはあなたのケースで自然に「正しいこと」をするべきです。ただし、別の「正しいこと」を行うように意図的に再構成することもできます。その当然の結果として、ばかげたことをするように誤って設定されている可能性もあります。

19
200_success

他の答えは正しいです。確認のために、試してみることをお勧めします。

あるホストから別のホストへのtracertまたはtracerouteまたはtracepathまたはmtr。

予備の(つまり、非生産)コンピューターを取得し、それに192.168.166.x/24または255.255.255.0のIPと192.168.166.1のゲートウェイを与えます。

ファイアウォールデバイスを設定して、LANと同じインターフェイスでsecondary IPが192.168.166.1/24になるようにする必要があります。この時点でLANの本番トラフィックを中断しないように注意してください。これを正確に行う方法は、ファイアウォールOSによって異なります。

LANインターフェースのファイアウォールルールも調整または拡張する必要がある場合があります。

パスは166machine-switch-firewall-switch-0machineである必要があります(ただし、イーサネットスイッチはレイヤー2にあり、トレースルートはレイヤー3のICMPであるため、トレースルートにスイッチは表示されません。

これは「オーバーレイ」ネットワークと呼ばれ、追加のセキュリティを提供しないことに注意してください。これはDMZではなく、分離はなく、166ネットワークを0ネットワークから隠しません。

0
Criggie