Cercare di capire le interazioni tra due diverse sottoreti sulla stessa rete

Ho una 10.0.0.0/8rete divisa in due parti. Server di mani Un DHCP gli indirizzi 10.0.0.10a 10.0.0.150con una maschera di classe A ( 255.0.0.0). Questa è la mia parte "Ospite" della rete.

Gli utenti della rete autorizzati hanno riserve sul server DHCP con gli indirizzi in 10.100.0.10a 10.100.0.250range con una maschera di classe A.
Un file server sulla rete ha un indirizzo IP 10.100.0.1e una maschera di classe B ( 255.255.0.0).

• I dispositivi sia sulla rete "Ospite" che sulla rete "Autorizzata" possono vedersi.
• La rete "autorizzata" può vedere il file server.
• La rete "Guest" non può vedere il file server.

Finora ha funzionato abbastanza bene, ma il mio istruttore di classe giura che non dovrebbe. Ho letto in diversi punti che i PC con diverse maschere di sottorete assegnate non dovrebbero essere in grado di comunicare tra loro.

Qualcuno può aiutarmi a capire perché i PC di rete "autorizzati" possono accedere correttamente al file server nonostante le diverse maschere di sottorete?

La teoria della subnet mask è che definisce quale parte dell'indirizzo IP è l'indirizzo di rete e quale parte dell'indirizzo IP è l'indirizzo host:

10.100.0.1 - Indirizzo IP;

255.0.0.0 - Maschera di sottorete;

10- indirizzo di rete, 100.0.1- indirizzo host.

Gli host all'interno della stessa sottorete possono parlare direttamente tra loro. Ciò significa che se l'host A e B si trovano all'interno della stessa sottorete e A vuole parlare con B, allora A invierà il suo traffico direttamente a B. Se l'host A vuole parlare con l'host C che si trova in una sottorete diversa, allora A avrà indirizzare questo traffico al gateway che sa (si spera) come raggiungere una rete diversa. Quindi, spetta all'host definire dove inviare il traffico:

1. Direttamente all'host (il secondo host si trova nella stessa sottorete)
2. Al gateway (il secondo host appartiene a una sottorete diversa)

Quello che succede nel tuo caso è che i tuoi client "Autorizzati" hanno indirizzi IP 10.100.0.10 - 10.100.0.250(suppongo sia la maschera di sottorete 255.0.0.0). Il server ha un indirizzo IP 10.100.0.1. A un host dall'intervallo "Autorizzato" questo server si trova nella stessa sottorete.

Se l'host 10.100.0.10dall'intervallo "Autorizzato" desidera parlare con il server, controlla innanzitutto se questo server si trova all'interno della stessa sottorete o meno. Per l'host 10.100.0.10con maschera di sottorete la 255.0.0.0stessa sottorete sarebbe tutti gli host all'interno dell'intervallo 10.0.0.1 - 10.255.255.254. L'indirizzo IP del server è compreso in questo intervallo. Per questo motivo un host dall'intervallo "Autorizzato" tenta di raggiungere direttamente il server e (supponendo che si trovino sulla stessa rete di Livello 2) questo tentativo ha esito positivo.

In questo caso, anche se il server ha una subnet mask diversa, si trova nella subnet più grande (che è anche una subnet per i client "autorizzati"). Se il tuo server avrà un secondo byte diverso nell'indirizzo IP ( 10.150.0.1ad esempio) non sarà in grado di rispondere all'host dall'intervallo "Autorizzato", perché dal punto di vista del server, l'intervallo "Autorizzato" sembrerebbe una sottorete e un server diversi avrebbe bisogno di inviare traffico a un router. Se non ci fosse un router, allora non ci sarebbe comunicazione.

Se si desidera separare la propria rete dalle parti "Ospiti" e "Autorizzate", è necessario farle trovare nelle diverse sottoreti che non si sovrappongono.

Per esempio:

1. "Guest" - 10.10.0.1, maschera di sottorete255.255.0.0
2. "Autorizzato" - 10.20.0.1, maschera di sottorete255.255.0.0

Il server si troverebbe all'interno della parte "autorizzata" della rete con indirizzo IP 10.20.0.100, maschera di sottorete 255.255.0.0.

Con questa configurazione queste sottoreti saranno effettivamente separate l'una dall'altra, poiché le parti degli indirizzi IP che rappresentano la loro sottorete differiranno:

1. 10.10 per gli ospiti
2. 10.20 per autorizzato

A questo punto la comunicazione tra queste sottoreti sarà possibile solo tramite router che ha interfacce in entrambe le sottoreti.

Inoltre, vale la pena ricordare che mentre tutti i computer condividono la stessa rete di livello 2, nulla impedisce agli ospiti di assegnarsi manualmente indirizzi IP dall'intervallo "Autorizzato". Ciò li renderà effettivamente parte della rete autorizzata.

Tutte le macchine "Autorizzate" e "Ospite" si trovano sulla stessa sottorete, quindi non sorprende che possano raggiungersi reciprocamente.

La subnet mask limitata del server fa pensare che solo i computer "autorizzati" si trovino sulla stessa subnet, quindi ARP li utilizza direttamente e può raggiungerli.

Il server pensa che i computer "Guest" si trovino su una sottorete diversa, quindi cerca di inviare i loro pacchetti al gateway predefinito (ovvero, a livello Ethernet, li indirizza all'indirizzo MAC del gateway predefinito; sono ancora indirizzati a i computer "Guest" a livello IP). Se il server non ha un gateway predefinito definito o se il gateway predefinito non è raggiungibile o non è configurato correttamente, questi pacchetti non saranno in grado di raggiungere i computer "Guest".

Poiché i pacchetti non rientrano nell'intervallo LAN, inviano i pacchetti al router predefinito. Il loro router predefinito li inoltra alla loro destinazione e invia un reindirizzamento ICMP alla fonte. Se il reindirizzamento ICMP funziona o meno, il traffico arriva ancora lì.

Non dovresti assolutamente fare le cose in questo modo.