Quanto è intelligente la mia rete?

Nel mio ufficio c'è una discussione su quanto sia intelligente / efficiente la rete che abbiamo creato.

Abbiamo una linea in fibra e una linea via cavo in esecuzione in un router di bilanciamento del carico, che ha un firewall hardware, che ha infine uno switch a 64 porte collegato ad esso.

Ciascuna delle nostre stazioni di lavoro è collegata allo switch (circa 30 macchine) più un NAS e un paio di server di test interni (tutti assegnati 192.168.0.x indirizzi).

Se la stazione di lavoro A vuole comunicare con la stazione di lavoro B , la nostra rete è abbastanza intelligente da andare:

A → Passa → B e viaggia solo attraverso la prima connessione più comune,

o il percorso sarebbe A → Passa → Firewall → Router → Firewall → Passa → B e dovrà percorrere sempre l'intero percorso?

I router non sono necessari a meno che il tuo traffico non debba spostarsi su una sottorete diversa. Quando un computer vuole inviare un po 'di traffico IP a un altro computer sulla sua sottorete, ha bisogno dell'indirizzo MAC del destinatario, poiché gli indirizzi IP non fanno parte del livello di uno switch (Livello 2 del modello OSI). Se non conosce l'indirizzo MAC, trasmette una richiesta ARP , dicendo "hey, chiunque abbia questo indirizzo IP, potresti dirmi il tuo indirizzo MAC per favore?" Quando la macchina riceve una risposta, quell'indirizzo viene quindi collegato al pacchetto e lo switch lo utilizza per inviare il pacchetto alla giusta porta fisica.

Quando la destinazione non si trova sulla stessa sottorete, i router devono essere coinvolti. Il mittente consegna il pacchetto al router appropriato (in genere il gateway predefinito, a meno che non si disponga di esigenze di routing speciali), che lo invia attraverso la rete al destinatario previsto. A differenza degli switch, i router conoscono e hanno indirizzi IP, ma hanno anche indirizzi MAC, e questo è l'indirizzo MAC che inizialmente viene messo sui pacchetti che necessitano di routing. (Gli indirizzi MAC non escono mai dalla sottorete.)

Puoi vedere gli indirizzi IP del router nella colonna Gateway dell'output di route printsu Windows. On-linkCi sono destinazioni che non richiedono il routing .

Se 2 computer sono collegati allo stesso vlan su uno switch e condividono la stessa subnet mask, lo switch dovrebbe recapitare il pacchetto senza colpire il firewall o il router.

È possibile verificarlo eseguendo tracert 192.168.0.X(presupponendo Windows) e si dovrebbe vedere un percorso diretto a quel sistema.

Quasi certamente, il percorso di comunicazione sarebbe A ↔︎ switch ↔︎ B , senza passare attraverso il firewall e il router. Supponendo che le stazioni di lavoro A e B abbiano indirizzi IP con la stessa rete e maschera di rete, dovrebbero essere in grado di interagire senza router coinvolti, poiché lo switch sa come inoltrare i pacchetti. Dovreste essere in grado di verificare che non vi siano passaggi intermedi tra A e B eseguendo da un prompt dei comandi su A . (Su Windows, il comando sarebbe invece di .)traceroute ip_address_of_Btracerttraceroute

Detto questo, sono possibili scenari alternativi , ma meno probabili.

Ai vecchi tempi, prima che gli switch Ethernet fossero prevalenti, c'erano hub Ethernet. Gli hub funzionano allo stesso modo, ad eccezione del fatto che duplicerebbero e inoltrerebbero in modo non intenzionale i pacchetti Ethernet in entrata attraverso ogni singola porta dell'hub, anziché dalla porta appropriata come farebbe uno switch. Se tu avessi un hub al posto di un interruttore, poi il router avrebbe visto (e ignorare) tutto il traffico tra A e B . Naturalmente, tale inoltro di pacchetti indiscriminato crea molto traffico non necessario e gli hub Ethernet sono rari in questi giorni.

Un altro possibile (ma improbabile) scenario è che lo switch possa essere configurato per eseguire l' isolamento delle porte . Ciò costringerebbe il traffico di ogni workstation a passare attraverso il router. Potresti farlo se consideri le stazioni di lavoro ostili tra loro - ad esempio porte in una biblioteca pubblica o in stanze d'albergo separate - e non vuoi che siano in grado di comunicare direttamente. In un ambiente di ufficio, tuttavia, è molto improbabile che l'amministratore di rete lo abbia impostato in questo modo.

Per rispondere alla tua domanda in parole povere: la rete dovrebbe naturalmente fare la "cosa giusta" nel tuo caso. Tuttavia, potrebbe essere deliberatamente riconfigurato per fare una "cosa giusta" diversa. A corollario di ciò, potrebbe anche essere erroneamente configurato erroneamente per fare una cosa stupida.

Le altre risposte sono corrette. Quindi, nell'interesse della conferma, ti suggerisco di provarlo e scoprirlo.

tracert o traceroute o tracepath o mtr da un host all'altro.

Prendi un computer di riserva (cioè non di produzione) e assegnagli un IP di 192.168.166.x / 24 o 255.255.255.0 e un gateway di 192.168.166.1

È necessario configurare il dispositivo firewall in modo che abbia un IP secondario 192.168.166.1 / 24 sulla stessa interfaccia della LAN. Fare attenzione a non interrompere il traffico di produzione LAN in questo momento. Esattamente come lo fai dipende dal tuo sistema operativo firewall.

È possibile che sia necessario modificare o estendere le regole del firewall anche per l'interfaccia LAN.

Il percorso dovrebbe essere 166machine-switch-firewall-switch-0machine (ma non vedrai lo switch nel traceroute perché gli switch ethernet sono a layer2 e traceroute è ICMP a layer3.

Si noti che questa si chiama rete "overlay" e non fornisce alcuna sicurezza aggiuntiva. Non è una DMZ, non c'è isolamento e non nasconde la rete 166 dalla rete 0.