Wie intelligent ist mein Netzwerk?

In meinem Büro gibt es einen Streit darüber, wie intelligent / effizient das Netzwerk ist, das wir eingerichtet haben.

Wir haben eine Glasfaserleitung und eine Kabelleitung, die in einen Load Balancing-Router führen, an den eine Hardware-Firewall und zuletzt ein 64-Port-Switch angeschlossen sind.

Jede unserer Workstations ist mit dem Switch (ca. 30 Computer) sowie einem NAS und mehreren internen Testservern (allen wurden 192.168.0.x-Adressen zugewiesen) verbunden.

Wenn Workstation A mit Workstation B kommunizieren möchte , ist unser Netzwerk dafür geeignet:

A → Switch → B und fahren nur über die erste häufigste Verbindung,

oder wäre der Pfad A → Switch → Firewall → Router → Firewall → Switch → B und müsste jedes Mal diese vollständige Route gehen?

Router sind nur erforderlich, wenn der Datenverkehr in ein anderes Subnetz verschoben werden muss. Wenn ein Computer IP-Datenverkehr an einen anderen Computer in seinem Subnetz senden möchte, benötigt er die MAC-Adresse des Empfängers, da IP-Adressen auf der Ebene eines Switch (Schicht 2 des OSI-Modells) keine Rolle spielen. Wenn er die MAC-Adresse nicht kennt, sendet er eine ARP- Anfrage mit der Meldung "Hey, wer auch immer diese IP-Adresse hat, können Sie mir bitte Ihre MAC-Adresse mitteilen?" Wenn das Gerät eine Antwort erhält, wird diese Adresse an das Paket angehängt und der Switch verwendet sie, um das Paket über den richtigen physischen Port zu senden.

Wenn sich das Ziel nicht im selben Subnetz befindet, müssen sich Router beteiligen. Der Absender gibt das Paket an den entsprechenden Router weiter (normalerweise das Standard-Gateway, sofern Sie keine speziellen Routing-Anforderungen haben), der es über das Netzwerk an den vorgesehenen Empfänger sendet. Im Gegensatz zu Switches kennen und haben Router IP-Adressen, aber sie haben auch MAC-Adressen. Dies ist die MAC-Adresse, die anfänglich für Pakete verwendet wird, die geroutet werden müssen. (MAC-Adressen verlassen niemals das Subnetz.)

Sie können die Router-IP-Adressen in der Spalte Gateway der Ausgabe von route printunter Windows sehen. Ziele, die kein Routing erfordern, haben On-linkdort.

Wenn zwei Computer an einem Switch mit demselben VLAN verbunden sind und dieselbe Subnetzmaske verwenden, sollte der Switch das Paket zustellen, ohne Ihre Firewall oder Ihren Router zu treffen.

Sie können dies überprüfen, indem Sie tracert 192.168.0.X(unter der Annahme von Windows) ausführen, und Sie sollten eine direkte Route zu diesem System sehen.

Mit ziemlicher Sicherheit wäre der Kommunikationspfad A ↔ Switch ↔ B und würde nicht durch die Firewall und den Router verlaufen. Angenommen, die Arbeitsstationen A und B haben IP-Adressen mit demselben Netzwerk und derselben Netzmaske, sollten sie mit keinem beteiligten Router interagieren können, da der Switch weiß, wie Pakete weitergeleitet werden. Sie sollten in der Lage sein, zu überprüfen, dass es keine Zwischensprünge zwischen A und B gibt, indem Sie an einer Eingabeaufforderung auf A ausführen . (Unter Windows lautet der Befehl statt .)traceroute ip_address_of_Btracerttraceroute

Alternative Szenarien sind zwar möglich , aber weniger wahrscheinlich.

Früher gab es vor der Verbreitung von Ethernet-Switches Ethernet-Hubs. Hubs funktionieren auf die gleiche Weise, mit der Ausnahme, dass sie eingehende Ethernet-Pakete unbemerkt über jeden einzelnen Port des Hubs duplizieren und weiterleiten, anstatt wie ein Switch über den entsprechenden Port. Wenn Sie einen Hub anstelle eines Switches hätten, würde der Router den gesamten Verkehr zwischen A und B sehen (und ignorieren) . Natürlich verursacht eine solche wahllose Paketweiterleitung eine Menge unnötigen Datenverkehrs, und Ethernet-Hubs sind heutzutage selten.

Ein weiteres mögliches (aber unwahrscheinlich) Szenario ist , dass der Schalter konfiguriert werden könnte , zu tun Port - Trennung . Dies würde den Datenverkehr jeder Workstation zwingen, den Router zu passieren. Möglicherweise möchten Sie dies tun, wenn Sie die Workstations als feindlich empfunden haben - beispielsweise Ports in einer öffentlichen Bibliothek oder in separaten Hotelzimmern - und wenn Sie nicht möchten, dass sie überhaupt direkt kommunizieren können. In einer Büroumgebung ist es jedoch sehr unwahrscheinlich, dass Ihr Netzwerkadministrator dies so eingerichtet hat.

Um Ihre Frage als Laie zu beantworten: Das Netzwerk sollte in Ihrem Fall natürlich das "Richtige" tun. Es könnte jedoch absichtlich neu konfiguriert werden, um ein anderes "Richtiges" zu tun. Infolgedessen könnte es auch versehentlich falsch konfiguriert sein, etwas Dummes zu tun.

Die anderen Antworten sind richtig. Also im Interesse der Bestätigung - ich schlage vor, Sie probieren es aus und finden es heraus.

tracert oder traceroute oder tracepath oder mtr von einem Host zum anderen.

Besorgen Sie sich einen Ersatzcomputer (dh einen Computer, der nicht in Produktion ist) und geben Sie ihm die IP-Adresse 192.168.166.x / 24 oder 255.255.255.0 und das Gateway 192.168.166.1

Sie müssen Ihr Firewall-Gerät so konfigurieren, dass es eine sekundäre IP-Adresse von 192.168.166.1 / 24 auf derselben Schnittstelle wie Ihr LAN hat. Achten Sie darauf, den LAN-Produktionsdatenverkehr zu diesem Zeitpunkt nicht zu unterbrechen. Wie Sie dies genau tun, hängt von Ihrem Firewall-Betriebssystem ab.

Möglicherweise müssen Sie auch die Firewall-Regeln für die LAN-Schnittstelle anpassen oder erweitern.

Der Pfad sollte 166machine-switch-firewall-switch-0machine lauten (der Switch wird jedoch nicht in der Traceroute angezeigt, da sich die Ethernet-Switches auf Layer2 und die Traceroute auf Layer3 auf ICMP befinden.

Beachten Sie, dass dies als "Overlay" -Netzwerk bezeichnet wird und keine zusätzliche Sicherheit bietet. Es ist keine DMZ, es gibt keine Isolierung und das Netzwerk 166 wird nicht vor dem Netzwerk 0 verborgen.