Hay un argumento dentro de mi oficina sobre cuán inteligente / eficiente es realmente la red que hemos establecido.
Tenemos una línea de fibra y una línea de cable que se ejecuta en un enrutador de equilibrio de carga, que tiene un firewall de hardware, que finalmente tiene un conmutador de 64 puertos conectado.
Cada una de nuestras estaciones de trabajo está conectada al conmutador (alrededor de 30 máquinas) más un NAS y un par de servidores de prueba internos (todas las direcciones asignadas 192.168.0.x).
Si la estación de trabajo A quiere comunicarse con la estación de trabajo B , ¿es nuestra red lo suficientemente inteligente como para funcionar?
A → Cambiar → B y solo viajar a través de la primera conexión más común,
¿o la ruta sería A → Switch → Firewall → Router → Firewall → Switch → B y tendría que ir esa ruta completa cada vez?
fuente
Respuestas:
Los enrutadores no son necesarios a menos que su tráfico deba moverse a una subred diferente. Cuando una computadora desea enviar algo de tráfico IP a una máquina diferente en su subred, necesita la dirección MAC del destinatario, ya que las direcciones IP no son una cosa en la capa de un conmutador (Capa 2 del modelo OSI). Si no conoce la dirección MAC, transmite una solicitud ARP , diciendo "oye, quien tenga esta dirección IP, ¿podría decirme su dirección MAC por favor?" Cuando la máquina recibe una respuesta, esa dirección se adjunta al paquete y el conmutador la utiliza para enviar el paquete al puerto físico correcto.
Cuando el destino no está en la misma subred, los enrutadores deben involucrarse. El remitente entrega el paquete al enrutador apropiado (generalmente la puerta de enlace predeterminada, a menos que tenga necesidades especiales de enrutamiento), que lo envía a través de la red al destinatario previsto. A diferencia de los conmutadores, los enrutadores conocen y tienen direcciones IP, pero también tienen direcciones MAC, y esa es la dirección MAC que inicialmente se coloca en los paquetes que necesitan enrutamiento. (Las direcciones MAC nunca salen de la subred).
Puede ver las direcciones IP del enrutador en la columna Puerta de enlace de la salida de
route print
en Windows. Los destinos que no requieren enrutamiento tienenOn-link
allí.fuente
Si 2 computadoras están conectadas al mismo vlan en un conmutador y comparten la misma máscara de subred, el conmutador debe entregar el paquete sin golpear su firewall o enrutador.
Puede verificar esto ejecutando
tracert 192.168.0.X
(suponiendo Windows) y debería ver una ruta directa a ese sistema.fuente
traceroute
en Debian onc
en varios Unicies.Es casi seguro que la ruta de comunicación sería A ↔︎ interruptor ↔︎ B , sin pasar por el firewall y el enrutador. Suponiendo que las estaciones de trabajo A y B tienen direcciones IP con la misma red y máscara de red, deberían poder interactuar sin enrutador, porque el conmutador sabe cómo reenviar paquetes. Usted debe ser capaz de verificar que no hay saltos intermedios entre A y B mediante la ejecución de un símbolo del sistema en una . (En Windows, el comando sería en lugar de ).
traceroute ip_address_of_B
tracert
traceroute
Dicho esto, los escenarios alternativos son posibles , pero menos probables.
En los viejos tiempos, antes de que los conmutadores Ethernet fueran frecuentes, existían concentradores Ethernet. Los concentradores funcionan de la misma manera, excepto que duplicarían y reenviarían sin inteligencia los paquetes de Ethernet entrantes a través de cada puerto del concentrador, en lugar de salir del puerto apropiado como lo haría un conmutador. Si usted tenía un cubo en lugar de un interruptor, entonces el router vería (e ignorar) todo el tráfico entre A y B . Por supuesto, este reenvío de paquetes indiscriminado crea mucho tráfico innecesario, y los concentradores Ethernet son poco comunes en estos días.
Otro escenario posible (pero poco probable) es que el conmutador podría configurarse para hacer el aislamiento del puerto . Eso obligaría al tráfico de cada estación de trabajo a pasar por el enrutador. Es posible que desee hacer eso si considera que las estaciones de trabajo son hostiles entre sí, por ejemplo, puertos en una biblioteca pública o en habitaciones de hotel separadas, y no desea que puedan comunicarse directamente. Sin embargo, en un entorno de oficina, es muy poco probable que su administrador de red lo haya configurado de esa manera.
Para responder a su pregunta en términos simples: la red, naturalmente, debe hacer lo "correcto" en su caso. Sin embargo, podría reconfigurarse deliberadamente para hacer una "cosa correcta" diferente. Como corolario de eso, también podría estar accidentalmente mal configurado para hacer algo tonto.
fuente
Las otras respuestas son correctas. Entonces, en aras de la confirmación, le sugiero que lo pruebe y lo descubra.
tracert o traceroute o tracepath o mtr de un host a otro.
Tome una computadora de repuesto (es decir, que no sea de producción) y dele una IP de 192.168.166.x / 24 o 255.255.255.0 y una puerta de enlace de 192.168.166.1
Deberá configurar su dispositivo de firewall para que tenga una IP secundaria de 192.168.166.1 / 24 en la misma interfaz que su LAN. Tenga cuidado de no interrumpir el tráfico de producción de LAN en este momento. Exactamente cómo lo hace depende de su sistema operativo firewall.
Existe la posibilidad de que necesite ajustar o extender las reglas de firewall para la interfaz LAN también.
La ruta debe ser 166machine-switch-firewall-switch-0machine (pero no verá el conmutador en el traceroute porque los conmutadores de ethernet están en la capa 2 y traceroute es ICMP en la capa3.
Tenga en cuenta que esto se denomina red de "superposición" y no proporciona seguridad adicional. No es una DMZ, no hay aislamiento y no oculta la red 166 de la red 0.
fuente