it-swarm.com.de

Wie intelligent ist mein Netzwerk?

In meinem Büro gibt es einen Streit darüber, wie intelligent/effizient das Netzwerk ist, das wir eingerichtet haben.

Wir haben eine Glasfaserleitung und eine Kabelleitung, die in einen Load-Balancing-Router führen, an den eine Hardware-Firewall und zuletzt ein 64-Port-Switch angeschlossen sind.

Jede unserer Workstations ist mit dem Switch verbunden (ca. 30 Computer), plus einem NAS und einigen internen Testservern (allen wurden 192.168.0.x-Adressen zugewiesen).

Wenn die Arbeitsstation A mit der Arbeitsstation B kommunizieren möchte, Ist unser Netzwerk intelligent genug?

A → Switch → B und nur über die erste häufigste Verbindung fahren,

oder wäre der Pfad A → Switch → Firewall → Router → Firewall → Switch → B und müsste jedes Mal diese vollständige Route gehen?

36
bizzehdee

Router sind nur erforderlich, wenn der Datenverkehr in ein anderes Subnetz verschoben werden muss. Wenn ein Computer IP-Datenverkehr an einen anderen Computer in seinem Subnetz senden möchte, benötigt er die MAC-Adresse des Empfängers, da IP-Adressen auf der Ebene eines Switch (Schicht 2 des OSI-Modells) keine Rolle spielen. Wenn es die MAC-Adresse nicht kennt, sendet es eine ARP - Anfrage mit der Meldung "Hey, wer auch immer diese IP-Adresse hat, können Sie mir das mitteilen Ihre MAC-Adresse bitte? " Wenn das Gerät eine Antwort erhält, wird diese Adresse an das Paket angehängt und der Switch verwendet sie, um das Paket über den richtigen physischen Port zu senden.

Wenn sich das Ziel nicht im selben Subnetz befindet, müssen sich Router beteiligen. Der Absender gibt das Paket an den entsprechenden Router weiter (normalerweise das Standard-Gateway, sofern Sie keine speziellen Routing-Anforderungen haben), der es über das Netzwerk an den vorgesehenen Empfänger sendet. Im Gegensatz zu Switches kennen und haben Router IP-Adressen, aber sie haben auch MAC-Adressen. Dies ist die MAC-Adresse, die anfänglich für Pakete verwendet wird, die geroutet werden müssen. (MAC-Adressen verlassen niemals das Subnetz.)

Sie können die Router-IP-Adressen in der Spalte Gateway der Ausgabe von route print unter Windows sehen. Ziele, die kein Routing erfordern, haben dort On-link.

73
Ben N

Wenn zwei Computer an einem Switch mit demselben VLAN verbunden sind und dieselbe Subnetzmaske verwenden, sollte der Switch das Paket zustellen, ohne Ihre Firewall oder Ihren Router zu treffen.

Sie können dies überprüfen, indem Sie tracert 192.168.0.X ausführen (Windows vorausgesetzt), und Sie sollten eine direkte Route zu diesem System sehen.

29
Natalie Adams

Mit ziemlicher Sicherheit wäre der KommunikationspfadA↔︎switch↔︎B, geht nicht durch die Firewall und den Router. Angenommen, die ArbeitsstationenAundBhaben IP-Adressen mit demselben Netzwerk und derselben Netzmaske, sollten sie Sie können mit keinem Router interagieren, da der Switch weiß, wie Pakete weitergeleitet werden. Sie sollten in der Lage sein zu überprüfen, dass es keine Zwischen-Hops zwischenAundBgibt, indem Sie ausführen traceroute ip_address_of_B von einer Eingabeaufforderung aus aufA. (Unter Windows wäre der Befehl tracert anstelle von traceroute.)

Das heißt, alternative Szenarien sind möglich , aber weniger wahrscheinlich.

Früher gab es vor der Verbreitung von Ethernet-Switches Ethernet-Hubs. Hubs funktionieren auf die gleiche Weise, mit der Ausnahme, dass sie eingehende Ethernet-Pakete unbemerkt über jeden einzelnen Port des Hubs duplizieren und weiterleiten, anstatt wie ein Switch über den entsprechenden Port. Wenn Sie einen Hub anstelle eines Switches hätten, würde der Router den gesamten Verkehr zwischenAundSEHEN (UND IGNORIEREN). B. Natürlich verursacht eine solche wahllose Paketweiterleitung eine Menge unnötigen Datenverkehrs, und Ethernet-Hubs sind heutzutage selten.

Ein weiteres mögliches (aber unwahrscheinliches) Szenario besteht darin, dass der Switch so konfiguriert werden kann, dass er eine Portisolierung durchführt . Dies würde den Datenverkehr jeder Workstation zwingen, den Router zu passieren. Möglicherweise möchten Sie dies tun, wenn Sie der Ansicht sind, dass die Arbeitsstationen einander feindlich gegenüberstehen, z. B. Häfen in einer öffentlichen Bibliothek oder in separaten Hotelzimmern, und wenn Sie nicht möchten, dass sie überhaupt direkt miteinander kommunizieren können. In einer Büroumgebung ist es jedoch sehr unwahrscheinlich, dass Ihr Netzwerkadministrator dies so eingerichtet hat.

Um Ihre Frage als Laie zu beantworten: Das Netzwerk sollte in Ihrem Fall natürlich das "Richtige" tun. Es könnte jedoch absichtlich neu konfiguriert werden, um ein anderes "Richtiges" zu tun. Infolgedessen könnte es auch versehentlich falsch konfiguriert sein, etwas Dummes zu tun.

19
200_success

Die anderen Antworten sind richtig. Also im Interesse der Bestätigung - ich schlage vor, Sie probieren es aus und finden es heraus.

tracert oder traceroute oder tracepath oder mtr von einem Host zum anderen.

Besorgen Sie sich einen Ersatzcomputer (dh einen Computer, der nicht in Produktion ist) und geben Sie ihm die IP-Adresse 192.168.166.x/24 oder 255.255.255.0 und das Gateway 192.168.166.1

Sie müssen Ihr Firewall-Gerät so konfigurieren, dass es eine sekundäre IP von 192.168.166.1/24 auf derselben Schnittstelle wie Ihr LAN hat. Achten Sie darauf, den LAN-Produktionsdatenverkehr zu diesem Zeitpunkt nicht zu unterbrechen. Wie Sie dies genau tun, hängt von Ihrem Firewall-Betriebssystem ab.

Möglicherweise müssen Sie auch die Firewall-Regeln für die LAN-Schnittstelle optimieren oder erweitern.

Der Pfad sollte 166machine-switch-firewall-switch-0machine lauten (der Switch wird jedoch nicht in der Traceroute angezeigt, da sich die Ethernet-Switches auf Layer2 und die Traceroute auf Layer3 auf ICMP befinden.

Beachten Sie, dass dies als "Overlay" -Netzwerk bezeichnet wird und keine zusätzliche Sicherheit bietet. Es ist keine DMZ, es gibt keine Isolierung und das Netzwerk 166 wird nicht vor dem Netzwerk 0 verborgen.

0
Criggie