Cercare di capire le interazioni tra due diverse sottoreti sulla stessa rete


9

Ho una 10.0.0.0/8rete divisa in due parti. Server di mani Un DHCP gli indirizzi 10.0.0.10a 10.0.0.150con una maschera di classe A ( 255.0.0.0). Questa è la mia parte "Ospite" della rete.

Gli utenti della rete autorizzati hanno riserve sul server DHCP con gli indirizzi in 10.100.0.10a 10.100.0.250range con una maschera di classe A.
Un file server sulla rete ha un indirizzo IP 10.100.0.1e una maschera di classe B ( 255.255.0.0).

  • I dispositivi sia sulla rete "Ospite" che sulla rete "Autorizzata" possono vedersi.
  • La rete "autorizzata" può vedere il file server.
  • La rete "Guest" non può vedere il file server.

Finora ha funzionato abbastanza bene, ma il mio istruttore di classe giura che non dovrebbe. Ho letto in diversi punti che i PC con diverse maschere di sottorete assegnate non dovrebbero essere in grado di comunicare tra loro.

Qualcuno può aiutarmi a capire perché i PC di rete "autorizzati" possono accedere correttamente al file server nonostante le diverse maschere di sottorete?


1
Grazie per la modifica, JakeGould. Sembra molto meglio
Jared

Risposte:


13

La teoria della subnet mask è che definisce quale parte dell'indirizzo IP è l'indirizzo di rete e quale parte dell'indirizzo IP è l'indirizzo host:

10.100.0.1 - Indirizzo IP;

255.0.0.0 - Maschera di sottorete;

10- indirizzo di rete, 100.0.1- indirizzo host.

Gli host all'interno della stessa sottorete possono parlare direttamente tra loro. Ciò significa che se l'host A e B si trovano all'interno della stessa sottorete e A vuole parlare con B, allora A invierà il suo traffico direttamente a B. Se l'host A vuole parlare con l'host C che si trova in una sottorete diversa, allora A avrà indirizzare questo traffico al gateway che sa (si spera) come raggiungere una rete diversa. Quindi, spetta all'host definire dove inviare il traffico:

  1. Direttamente all'host (il secondo host si trova nella stessa sottorete)
  2. Al gateway (il secondo host appartiene a una sottorete diversa)

Quello che succede nel tuo caso è che i tuoi client "Autorizzati" hanno indirizzi IP 10.100.0.10 - 10.100.0.250(suppongo sia la maschera di sottorete 255.0.0.0). Il server ha un indirizzo IP 10.100.0.1. A un host dall'intervallo "Autorizzato" questo server si trova nella stessa sottorete.

Se l'host 10.100.0.10dall'intervallo "Autorizzato" desidera parlare con il server, controlla innanzitutto se questo server si trova all'interno della stessa sottorete o meno. Per l'host 10.100.0.10con maschera di sottorete la 255.0.0.0stessa sottorete sarebbe tutti gli host all'interno dell'intervallo 10.0.0.1 - 10.255.255.254. L'indirizzo IP del server è compreso in questo intervallo. Per questo motivo un host dall'intervallo "Autorizzato" tenta di raggiungere direttamente il server e (supponendo che si trovino sulla stessa rete di Livello 2) questo tentativo ha esito positivo.

In questo caso, anche se il server ha una subnet mask diversa, si trova nella subnet più grande (che è anche una subnet per i client "autorizzati"). Se il tuo server avrà un secondo byte diverso nell'indirizzo IP ( 10.150.0.1ad esempio) non sarà in grado di rispondere all'host dall'intervallo "Autorizzato", perché dal punto di vista del server, l'intervallo "Autorizzato" sembrerebbe una sottorete e un server diversi avrebbe bisogno di inviare traffico a un router. Se non ci fosse un router, allora non ci sarebbe comunicazione.

Se si desidera separare la propria rete dalle parti "Ospiti" e "Autorizzate", è necessario farle trovare nelle diverse sottoreti che non si sovrappongono.

Per esempio:

  1. "Guest" - 10.10.0.1, maschera di sottorete255.255.0.0
  2. "Autorizzato" - 10.20.0.1, maschera di sottorete255.255.0.0

Il server si troverebbe all'interno della parte "autorizzata" della rete con indirizzo IP 10.20.0.100, maschera di sottorete 255.255.0.0.

Con questa configurazione queste sottoreti saranno effettivamente separate l'una dall'altra, poiché le parti degli indirizzi IP che rappresentano la loro sottorete differiranno:

  1. 10.10 per gli ospiti
  2. 10.20 per autorizzato

A questo punto la comunicazione tra queste sottoreti sarà possibile solo tramite router che ha interfacce in entrambe le sottoreti.

Inoltre, vale la pena ricordare che mentre tutti i computer condividono la stessa rete di livello 2, nulla impedisce agli ospiti di assegnarsi manualmente indirizzi IP dall'intervallo "Autorizzato". Ciò li renderà effettivamente parte della rete autorizzata.


5

Tutte le macchine "Autorizzate" e "Ospite" si trovano sulla stessa sottorete, quindi non sorprende che possano raggiungersi reciprocamente.

La subnet mask limitata del server fa pensare che solo i computer "autorizzati" si trovino sulla stessa subnet, quindi ARP li utilizza direttamente e può raggiungerli.

Il server pensa che i computer "Guest" si trovino su una sottorete diversa, quindi cerca di inviare i loro pacchetti al gateway predefinito (ovvero, a livello Ethernet, li indirizza all'indirizzo MAC del gateway predefinito; sono ancora indirizzati a i computer "Guest" a livello IP). Se il server non ha un gateway predefinito definito o se il gateway predefinito non è raggiungibile o non è configurato correttamente, questi pacchetti non saranno in grado di raggiungere i computer "Guest".


3

Poiché i pacchetti non rientrano nell'intervallo LAN, inviano i pacchetti al router predefinito. Il loro router predefinito li inoltra alla loro destinazione e invia un reindirizzamento ICMP alla fonte. Se il reindirizzamento ICMP funziona o meno, il traffico arriva ancora lì.

Non dovresti assolutamente fare le cose in questo modo.


Se capisco la tua risposta, un ping dalla rete Guest raggiungerà il file server, ma la risposta del file server andrà al gateway predefinito anziché rispondere direttamente all'host Guest. Il router non saprà dove inviare il traffico e svuotare il traffico in un buco? Non voglio che il file server parli con gli host della rete Guest, quindi sembra un vantaggio. Perché questa è una cattiva idea?
Jared,

1
@jared Leggi questa frase, "Il loro router predefinito li inoltra alla loro destinazione e invia un reindirizzamento ICMP alla fonte." Ciò significa che tutto ciò che la configurazione attuale fa è aggiungere un "hop" in più al traffico. Il pacchetto viene “perso” va al router chiedendo aiuto e poi viene reindirizzato comunque. Quindi nulla viene scaricato nel buco. Viene solo deviato.
Jake Gould
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.