Quão inteligente é minha rede?

36

Há um argumento em meu escritório sobre o quão inteligente / eficiente é a rede que criamos.

Temos uma linha de fibra e uma linha de cabo rodando em um roteador de balanceamento de carga, que possui um firewall de hardware, que finalmente possui um switch de 64 portas conectado a ele.

Cada uma das nossas estações de trabalho está conectada ao comutador (cerca de 30 máquinas), mais um NAS e alguns servidores de teste internos (todos os endereços 192.168.0.x atribuídos).

Se a estação de trabalho A quiser se comunicar com a estação de trabalho B , nossa rede é inteligente o suficiente para:

A → Alterne → B e viaja apenas pela primeira conexão mais comum,

ou o caminho seria A → Alternar → Firewall → Roteador → Firewall → Alternar → B e ter que seguir esse caminho completo toda vez?

bizzehdee
fonte
86
Não é mais inteligente do que a pessoa que o configurou.
Moab
5
hub - inútil; roteador - hardware burro; switch - hardware inteligente
Raystafarian

Respostas:

73

Os roteadores não são necessários, a menos que seu tráfego precise mudar para uma sub-rede diferente. Quando um computador deseja enviar algum tráfego IP para uma máquina diferente em sua sub-rede, ele precisa do endereço MAC do destinatário, pois os endereços IP não fazem parte da camada de um comutador (Camada 2 do modelo OSI). Se não souber o endereço MAC, ele transmite uma solicitação ARP , dizendo "ei, quem tem esse endereço IP, você poderia me dizer seu endereço MAC, por favor?" Quando a máquina obtém uma resposta, esse endereço é anexado ao pacote e o switch o utiliza para enviar o pacote pela porta física correta.

Quando o destino não está na mesma sub-rede, os roteadores precisam se envolver. O remetente entrega o pacote ao roteador apropriado (geralmente o gateway padrão, a menos que você tenha necessidades especiais de roteamento), que o envia pela rede ao destinatário pretendido. Ao contrário dos switches, os roteadores conhecem e têm endereços IP, mas também têm endereços MAC, e esse é o endereço MAC que inicialmente é colocado nos pacotes que precisam de roteamento. (Os endereços MAC nunca saem da sub-rede.)

Você pode ver os endereços IP do roteador na coluna Gateway da saída do route printWindows. Os destinos que não exigem roteamento estão On-linklá.

Ben N
fonte
12
+1 por estar certo. Acrescento isso para maior clareza: se o pacote precisar ser roteado para uma sub-rede diferente (portanto, deve ir para o roteador), o sistema ainda enviará o quadro para um endereço MAC-48. Apenas o envia para o endereço MAC-48 do roteador em vez do destinatário final. Portanto, de qualquer forma, o quadro será entregue usando um endereço MAC-48. O switch basicamente ignora o endereço IP e apenas olha para o endereço MAC necessário.
TOOGAM
11
Aceito não apenas para responder à pergunta, mas também para explicar por que e como. Obrigado
bizzehdee
29

Se 2 computadores estiverem conectados à mesma vlan em um comutador e compartilharem a mesma máscara de sub-rede - o comutador deverá entregar o pacote sem atingir o firewall ou o roteador.

Você pode verificar isso executando tracert 192.168.0.X(assumindo o Windows) e deverá ver uma rota direta para esse sistema.

Natalie Adams
fonte
15
Ou tracerouteno Debian ou ncem diversas Unicies.
gato
19

Quase certamente, o caminho de comunicação seria um ↔︎ interruptor ↔︎ B , não passar pelo firewall e roteador. Supondo que as estações de trabalho A e B tenham endereços IP com a mesma rede e máscara de rede, elas devem poder interagir com nenhum roteador envolvido, porque o switch sabe como encaminhar pacotes. Você deve ser capaz de verificar que não há saltos intermediários entre A e B , executando a partir de um prompt de comando em um . (No Windows, o comando seria em vez de .)traceroute ip_address_of_Btracerttraceroute

Dito isto, cenários alternativos são possíveis , mas menos prováveis.

Antigamente, antes dos switches Ethernet serem predominantes, havia hubs Ethernet. Os hubs funcionam da mesma maneira, exceto que duplicam e encaminham de forma inteligente os pacotes Ethernet recebidos através de todas as portas do hub, em vez de sair da porta apropriada como um switch. Se você tivesse um hub em vez de um interruptor, o roteador iria ver (e ignorar) todo o tráfego entre A e B . Obviamente, esse encaminhamento indiscriminado de pacotes cria muito tráfego desnecessário, e os hubs Ethernet são incomuns atualmente.

Outro cenário possível (mas improvável) é que o switch possa ser configurado para isolar portas . Isso forçaria o tráfego de cada estação de trabalho a passar pelo roteador. Você pode fazer isso se considerar as estações de trabalho hostis umas às outras - por exemplo, portas em uma biblioteca pública ou em quartos de hotel separados - e não desejar que elas possam se comunicar diretamente. No entanto, em um ambiente de escritório, é muito improvável que o administrador da rede tenha configurado dessa maneira.

Para responder sua pergunta em termos leigos: a rede naturalmente deve fazer a "coisa certa" no seu caso. No entanto, poderia ser deliberadamente reconfigurado para fazer uma "coisa certa" diferente. Como corolário disso, também pode ser acidentalmente mal configurado para fazer uma coisa idiota.

200_success
fonte
0

As outras respostas estão corretas. Então, no interesse da confirmação - sugiro que você experimente e descubra.

tracert ou traceroute ou tracepath ou mtr de um host para outro.

Pegue um computador sobressalente (ou seja, não de produção) e forneça um IP 192.168.166.x / 24 ou 255.255.255.0 e um gateway 192.168.166.1

Você precisará configurar seu dispositivo de firewall para ter um IP secundário de 192.168.166.1 / 24 na mesma interface que sua LAN. Cuidado para não interromper o tráfego de produção da LAN neste momento. Exatamente como você faz isso depende do sistema operacional do firewall.

É possível que você precise ajustar ou estender as regras de firewall para a interface da LAN também.

O caminho deve ser 166machine-switch-firewall-switch-0machine (mas você não verá o comutador no traceroute porque os comutadores Ethernet estão na camada2 e o traceroute é ICMP na camada3.

Observe que isso é chamado de rede "overlay" e não oferece segurança adicional. Não é uma DMZ, não há isolamento e não oculta a rede 166 da rede 0.

Criggie
fonte