Ağım ne kadar akıllı?

Ofisimde kurduğumuz ağın gerçekte ne kadar akıllı / verimli olduğu konusunda bir tartışma var.

Sonunda kendisine bağlı bir 64 portlu anahtara sahip bir donanım güvenlik duvarına sahip olan bir yük dengeleyici yönlendiriciye giren bir fiber ve kablo hattımız var.

İş istasyonlarımızın her biri, anahtara (yaklaşık 30 makine) artı bir NAS ve birkaç dahili test sunucusuna (tümü 192.168.0.x adresleri atanmış) bağlanır.

İş istasyonu A , iş istasyonu B ile iletişim kurmak istiyorsa , ağımızın gitmesi yeterince akıllıca olur:

A → Şalter → B ve sadece ilk ortak bağlantı üzerinden seyahat,

ya da yol A → Anahtar → Güvenlik Duvarı → Yönlendirici → Güvenlik Duvarı → Anahtar → B şeklinde olacak ve her seferinde o tam rotaya mı gitmek zorunda kalacaksınız?

Trafiğinizin farklı bir alt ağa geçmesi gerekmediği sürece yönlendiriciler gerekli değildir. Bir bilgisayar, IP ağını alt ağındaki farklı bir makineye göndermek istediğinde, alıcının MAC adresine ihtiyaç duyar, çünkü IP adresleri bir anahtarın katmanında bir şey değildir (OSI modelinin Katmanı 2). MAC adresini bilmiyorsa, bir ARP isteğini yayınlar , "hey, bu IP adresi kimdeyse bana MAC adresinizi söyleyebilir misiniz?" Makine bir yanıt aldığında, bu adres pakete eklenir ve anahtar paketi doğru fiziksel porttan göndermek için kullanır.

Hedef aynı alt ağda değilse, yönlendiricilerin dahil olması gerekir. Gönderici, paketi ağ üzerinden istenen alıcıya gönderen uygun yönlendiriciye (özel yönlendirme gereksinimleriniz olmadıkça genellikle varsayılan ağ geçidi) verir. Anahtarların aksine, yönlendiriciler IP adreslerini bilirler ve sahiptirler, ancak aynı zamanda MAC adresleri de vardır ve bu, başlangıçta yönlendirilmesi gereken paketlere konan MAC adresidir. (MAC adresleri asla alt ağdan ayrılmaz.)

Yönlendirici IP adreslerini route print, Windows'taki çıkışın Ağ Geçidi sütununda görebilirsiniz . Yönlendirme gerektirmeyen hedefler On-linkvar.

Bir anahtardaki aynı bilgisayara 2 bilgisayar bağlıysa ve aynı alt ağ maskesini paylaşıyorsa, anahtar güvenlik duvarınıza veya yönlendiricinize çarpmadan paketi teslim etmelidir.

Bunu çalıştırarak tracert 192.168.0.X(Windows varsayarak) doğrulayabilirsiniz ve o sisteme doğrudan bir rota görmelisiniz.

Neredeyse kesinlikle, iletişim yolu güvenlik duvarı ve yönlendirici geçmeden, A ↔︎ anahtarı ↔︎ B olacaktır . A ve B iş istasyonlarının aynı ağ ve ağ maskesine sahip IP adresleri olduğunu varsayarsak, yönlendirici ile etkileşime girmemelidir, çünkü anahtar paketlerin nasıl iletileceğini bilir. Sen arasında hiçbir ara şerbetçiotu bulunmadığını doğrulamak mümkün olmalıdır A ve B çalıştırarak üzerinde istemi bir komutundan A . (Windows'ta, komut yerine olacaktır .)traceroute ip_address_of_Btracerttraceroute

Bununla birlikte, alternatif senaryolar mümkün , ancak daha az olası.

Eski günlerde, Ethernet anahtarları yaygın olmadan önce Ethernet hub'ları vardı. Hublar aynı şekilde çalışır, ancak gelen Ethernet paketlerini yanlışlıkla bir portun yerine uygun porttan çıkarmak yerine hub'ın her bir portundan dışarı çıkarıp çoğaltmaları ve iletmeleri dışında. Anahtar yerine bir göbeğiniz varsa, yönlendirici A ve B arasındaki tüm trafiği görür ve yok sayar . Tabii ki, bu tür ayrım gözetmeyen paket iletme çok fazla gereksiz trafik yaratıyor ve Ethernet hub'ları bugünlerde nadir görülüyor.

Diğer bir olası (ancak muhtemel olmayan) senaryo, anahtarın bağlantı noktası yalıtımı yapacak şekilde yapılandırılmış olmasıdır . Bu, her iş istasyonunun trafiğini yönlendiriciden geçmeye zorlar. İş istasyonlarını birbirine düşman olarak kabul ettiyseniz - örneğin, halk kütüphanesinde veya ayrı otel odalarında bulunan limanlarda - ve doğrudan iletişim kurmalarını istemiyorsanız, bunu yapmak isteyebilirsiniz. Bir ofis ortamında, ağ yöneticinizin bu şekilde ayarlamış olması pek olası değildir.

Sorunuzu meslekten olmayanların terimlerine yanıtlamak için: Şebeke doğal olarak sizin durumunuzdaki "doğru şeyi" yapmalı Ancak, farklı bir "doğru şey" yapacak şekilde kasıtlı olarak yeniden yapılandırılabilir. Bunun bir sonucu olarak, aptalca bir şey yapmak için yanlışlıkla yanlış yapılandırılmış olabilir.

Diğer cevaplar doğru. Bu nedenle, onayın çıkarları doğrultusunda - denemenizi ve öğrenmenizi öneriyorum.

tracert veya traceroute veya tracepath veya mtr bir ana bilgisayardan diğerine.

Yedek (üretim dışı) bir bilgisayarı alın ve 192.168.166.x / 24 veya 255.255.255.0 IP'sini ve 192.168.166.1 ağ geçidini verin

Güvenlik duvarı cihazınızı , LAN ile aynı arabirimde, ikincil bir 192.168.166.1 / 24 IP'ye sahip olacak şekilde yapılandırmanız gerekir . LAN üretim trafiğinizi şu anda kesmemeye dikkat edin. Tam olarak bunu nasıl yaptığınız güvenlik duvarı işletim sisteminize bağlıdır.

LAN arayüzü için güvenlik duvarı kurallarında ince ayar yapmanız veya genişletmeniz gerekebilir.

Yol 166machine-switch-firewall-switch-0machine olmalıdır (ancak anahtarı traceroute'ta görmeyeceksiniz, çünkü ethernet anahtarları layer2'de ve traceroute katman3'te ICMP'dir.

Not: Buna "kaplama" ağı denir ve ek güvenlik sağlamaz. Bu bir DMZ değil, izolasyon yok ve 166 ağı 0 ağdan gizlemiyor.