Der Versuch, die Interaktionen zwischen zwei verschiedenen Subnetzen im selben Netzwerk zu verstehen

9

Ich habe ein 10.0.0.0/8Netzwerk, das in zwei Teile geteilt ist. Ein DHCP - Server austeilt Adressen 10.0.0.10zu 10.0.0.150einer Klasse A - Maske ( 255.0.0.0). Dies ist mein "Gast" -Teil des Netzwerks.

Autorisierte Netzwerkbenutzer haben Vorbehalte auf dem DHCP - Server mit Adressen in denen 10.100.0.10zu 10.100.0.250Bereich mit einer Klasse - A - Maske.
Ein Dateiserver im Netzwerk hat eine IP-Adresse 10.100.0.1und eine Klasse-B-Maske ( 255.255.0.0).

  • Die Geräte sowohl im "Gast" -Netzwerk als auch im "Autorisierten" Netzwerk können sich alle sehen.
  • Das "autorisierte" Netzwerk kann den Dateiserver sehen.
  • Das "Gast" -Netzwerk kann den Dateiserver nicht sehen.

Das hat bisher ziemlich gut geklappt, aber mein Klassenlehrer schwört, dass es nicht so sein sollte. Ich habe an mehreren Stellen gelesen, dass PCs mit unterschiedlichen zugewiesenen Subnetzmasken nicht miteinander kommunizieren können sollten.

Kann mir bitte jemand helfen zu verstehen, warum die "autorisierten" Netzwerk-PCs trotz der unterschiedlichen Subnetzmasken problemlos auf den Dateiserver zugreifen können?

Jared
quelle
1
Vielen Dank für die Bearbeitung, JakeGould. Das sieht viel besser aus
Jared

Antworten:

13

Die Theorie der Subnetzmaske lautet, dass sie definiert, welcher Teil der IP-Adresse die Netzwerkadresse und welcher Teil der IP-Adresse die Hostadresse ist:

10.100.0.1 - IP Adresse;

255.0.0.0 - Subnetzmaske;

10- Netzwerkadresse, 100.0.1- Hostadresse.

Hosts innerhalb desselben Subnetzes können direkt miteinander kommunizieren. Das heißt, wenn sich Host A und B im selben Subnetz befinden und A mit B sprechen möchte, sendet A seinen Datenverkehr direkt an B. Wenn Host A mit Host C sprechen möchte, der sich in einem anderen Subnetz befindet, hat A um diesen Verkehr an das Gateway weiterzuleiten, das (hoffentlich) weiß, wie man ein anderes Netzwerk erreicht. Es ist also Sache des Hosts, zu definieren, wohin der Datenverkehr gesendet werden soll:

  1. Direkt zum Host (der zweite Host befindet sich im selben Subnetz)
  2. Zum Gateway (zweiter Host gehört zu einem anderen Subnetz)

In Ihrem Fall haben Ihre "autorisierten" Clients IP-Adressen 10.100.0.10 - 10.100.0.250(ich nehme an, die Subnetzmaske ist 255.0.0.0). Der Server hat eine IP-Adresse 10.100.0.1. Für einen Host aus dem Bereich "Autorisiert" befindet sich dieser Server im selben Subnetz.

Wenn ein Host 10.100.0.10aus dem Bereich "Autorisiert" mit dem Server kommunizieren möchte, wird zunächst geprüft, ob sich dieser Server im selben Subnetz befindet oder nicht. Für den Host 10.100.0.10mit Subnetzmaske 255.0.0.0wären alle Hosts innerhalb des Bereichs dasselbe Subnetz 10.0.0.1 - 10.255.255.254. Die IP-Adresse des Servers liegt zufällig in diesem Bereich. Aus diesem Grund versucht ein Host aus dem Bereich "Autorisiert", den Server direkt zu erreichen, und dieser Versuch ist erfolgreich (vorausgesetzt, er befindet sich im selben Layer 2-Netzwerk).

In diesem Fall befindet sich der Server, obwohl er eine andere Subnetzmaske hat, zufällig im größeren Subnetz (das auch ein Subnetz für die "autorisierten" Clients ist). Wenn Ihr Server ein anderes zweites Byte in der IP-Adresse hat ( 10.150.0.1zum Beispiel), kann er nicht aus dem Bereich "Autorisiert" auf den Host antworten , da der Bereich "Autorisiert" aus Sicht des Servers wie ein anderes Subnetz und ein anderer Server aussehen würde müsste Verkehr an einen Router senden. Wenn es keinen Router geben würde, gäbe es keine Kommunikation.

Wenn Sie Ihr Netzwerk in die Teile "Gäste" und "Autorisiert" unterteilen möchten, müssen Sie dafür sorgen, dass sie sich in den verschiedenen Subnetzen befinden, die sich nicht überlappen.

Zum Beispiel:

  1. "Gäste" - 10.10.0.1, Subnetzmaske255.255.0.0
  2. "Authorized" - 10.20.0.1, Subnetzmaske255.255.0.0

Der Server befindet sich im "autorisierten" Teil des Netzwerks mit IP-Adresse 10.20.0.100und Subnetzmaske 255.255.0.0.

Mit diesem Setup werden diese Subnetze effektiv voneinander getrennt, da sich Teile der IP-Adressen, die ihr Subnetz darstellen, unterscheiden:

  1. 10.10 für Gäste
  2. 10.20 für autorisierte

Zu diesem Zeitpunkt ist die Kommunikation zwischen diesen Subnetzen nur über einen Router möglich, der Schnittstellen in beiden Subnetzen hat.

Es ist auch erwähnenswert, dass, während alle Ihre Computer dasselbe Layer 2-Netzwerk verwenden, nichts einen Gast daran hindert, sich manuell IP-Adressen aus dem Bereich "Autorisiert" zuzuweisen. Dadurch werden sie effektiv Teil des autorisierten Netzwerks.

VL-80
quelle
5

Alle "Authorized" - und "Guest" -Maschinen befinden sich im selben Subnetz, daher ist es nicht verwunderlich, dass sie sich alle gegenseitig erreichen können.

Die eingeschränkte Subnetzmaske des Servers lässt vermuten, dass sich nur die "autorisierten" Computer im selben Subnetz befinden, sodass ARPs direkt für sie erstellt werden und diese erreichen können.

Der Server glaubt, dass sich die "Gast" -Computer in einem anderen Subnetz befinden, und versucht daher, ihre Pakete an sein Standard-Gateway zu senden (dh auf Ethernet-Ebene adressiert er sie an die MAC-Adresse des Standard-Gateways, an die sie noch adressiert sind die "Gast" -Computer auf der IP-Ebene). Wenn auf dem Server kein Standardgateway definiert ist oder wenn sein Standardgateway nicht erreichbar oder falsch konfiguriert ist, können diese Pakete die "Gast" -Computer nicht erreichen.

Spiff
quelle
3

Da sich die Pakete außerhalb ihres LAN-Bereichs befinden, senden sie die Pakete an ihren Standardrouter. Ihr Standardrouter leitet sie an ihr Ziel weiter und sendet eine ICMP-Umleitung an die Quelle. Unabhängig davon, ob die ICMP-Umleitung funktioniert oder nicht, kommt der Datenverkehr immer noch dort an.

Sie sollten die Dinge definitiv nicht so machen.

David Schwartz
quelle
Wenn ich Ihre Antwort verstehe, erreicht ein Ping vom Gastnetzwerk den Dateiserver, aber die Antwort des Dateiservers geht an das Standardgateway und nicht direkt an den Gasthost. Der Router weiß nicht, wohin er den Verkehr senden und den Verkehr in ein Loch spülen soll? Ich möchte nicht, dass der Dateiserver mit Gastnetzwerk-Hosts kommuniziert, das scheint also ein Plus zu sein. Warum ist das eine schlechte Idee?
Jared
1
@jared Lesen Sie diesen Satz: "Ihr Standardrouter leitet sie an ihr Ziel weiter und sendet eine ICMP-Umleitung an die Quelle." Dies bedeutet, dass Ihr aktuelles Setup nur einen zusätzlichen Sprung in den Datenverkehr bedeutet. Das Paket geht "verloren", geht an den Router und bittet um Hilfe. Es wird dann trotzdem umgeleitet. Es wird also nichts in das Loch gespült. Es wird nur umgeleitet.
JakeGould