À quel point mon réseau est-il intelligent?

36

Mon bureau discute de l’intelligence et de l’efficacité du réseau que nous avons mis en place.

Nous avons une ligne de fibre optique et une ligne de câble reliées à un routeur d'équilibrage de charge doté d'un pare-feu matériel auquel est connecté un commutateur à 64 ports.

Chacune de nos stations de travail est connectée au commutateur (environ 30 machines), à un NAS et à deux serveurs de test internes (adresses 192.168.0.x attribuées).

Si le poste de travail A veut communiquer avec le poste de travail B , notre réseau est-il suffisamment intelligent pour aller:

A → Switch → B et voyagez uniquement via la première connexion la plus courante,

ou le chemin sera-t-il A → Commutateur → Pare-feu → Routeur → Pare-feu → Commutateur → B et doit suivre cet itinéraire complet à chaque fois?

bizzehdee
la source
86
Pas plus intelligent que la personne qui l'a mis en place.
Moab
5
hub - inutile; routeur - matériel muet; commutateur - matériel intelligent
Raystafarian

Réponses:

73

Les routeurs ne sont nécessaires que si votre trafic doit être transféré vers un autre sous-réseau. Lorsqu'un ordinateur souhaite envoyer du trafic IP vers une autre machine de son sous-réseau, il a besoin de l'adresse MAC du destinataire, car les adresses IP ne sont pas du domaine du commutateur (couche 2 du modèle OSI). S'il ne connaît pas l'adresse MAC, il diffuse une requête ARP en disant "hé, qui que ce soit qui possède cette adresse IP, pourriez-vous me donner votre adresse MAC s'il vous plaît?" Lorsque la machine reçoit une réponse, cette adresse est alors attachée au paquet et le commutateur l'utilise pour envoyer le paquet par le port physique approprié.

Lorsque la destination ne se trouve pas sur le même sous-réseau, les routeurs doivent être impliqués. L'expéditeur transmet le paquet au routeur approprié (généralement la passerelle par défaut, à moins que vous n'ayez des besoins de routage particuliers), qui l'envoie via le réseau au destinataire souhaité. Contrairement aux commutateurs, les routeurs connaissent les adresses IP et en ont, mais ils ont également des adresses MAC. Il s'agit de l'adresse MAC qui est initialement placée sur les paquets nécessitant un routage. (Les adresses MAC ne quittent jamais le sous-réseau.)

Vous pouvez voir les adresses IP du routeur dans la colonne Gateway de la sortie de route printWindows. Les destinations qui ne nécessitent pas de routage ont On-linklà.

Ben N
la source
12
+1 pour avoir raison. J'ajoute ceci pour plus de clarté: si le paquet doit être routé vers un sous-réseau différent (il doit donc aller au routeur), le système envoie toujours la trame à une adresse MAC-48. Il l'envoie simplement à l'adresse MAC-48 du routeur au lieu du destinataire final. Donc, dans tous les cas, la trame sera livrée en utilisant une adresse MAC-48. Le commutateur ignorera fondamentalement l'adresse IP et se contentera de déterminer l'adresse MAC nécessaire.
TOOGAM
1
Accepté non seulement pour répondre à la question, mais aussi pour expliquer pourquoi et comment. Merci
bizzehdee
29

Si 2 ordinateurs sont connectés au même réseau local virtuel sur un commutateur et partagent le même masque de sous-réseau, le commutateur doit livrer le paquet sans toucher votre pare-feu ou votre routeur.

Vous pouvez le vérifier en exécutant tracert 192.168.0.X(en supposant que Windows) et vous devriez voir une route directe vers ce système.

Natalie Adams
la source
15
Ou traceroutesur Debian ou ncsur des Unicies assorties.
chat
19

Presque certainement, la voie de communication serait un de commutateur ↔︎ B , ne passe pas par le pare - feu et routeur. En supposant que les postes de travail A et B possèdent des adresses IP avec le même réseau et le même masque de réseau, ils devraient pouvoir interagir avec aucun routeur impliqué, car le commutateur sait comment transférer des paquets. Vous devriez être en mesure de vérifier qu'il n'y a pas de houblon intermédiaire entre A et B en exécutant à partir d' une invite de commande sur A . (Sous Windows, la commande serait à la place de .)traceroute ip_address_of_Btracerttraceroute

Cela dit, d'autres scénarios sont possibles , mais moins probables.

Auparavant, avant la prédominance des commutateurs Ethernet, il existait des concentrateurs Ethernet. Les concentrateurs fonctionnent de la même manière, sauf qu’ils dupliquent et acheminent de manière inintelligente les paquets Ethernet entrants via chaque port du concentrateur, au lieu de sortir du port approprié comme le ferait un commutateur. Si vous aviez un hub au lieu d'un commutateur, alors le routeur voir (et ignorer) tout le trafic entre A et B . Bien sûr, ce transfert de paquets sans discernement crée beaucoup de trafic inutile et les concentrateurs Ethernet sont rares aujourd'hui.

Un autre scénario possible (mais peu probable) est que le commutateur puisse être configuré pour effectuer l' isolation de port . Cela forcerait le trafic de chaque poste de travail à passer par le routeur. Vous voudrez peut-être faire cela si vous considérez que les postes de travail sont hostiles les uns aux autres - par exemple, les ports d'une bibliothèque publique ou dans des chambres d'hôtel séparées - et que vous ne voulez pas qu'ils puissent communiquer directement du tout. Dans un environnement de bureau, cependant, il est très peu probable que votre administrateur réseau l'ait configuré de cette manière.

Pour répondre à votre question en termes simples, le réseau doit naturellement faire ce qu'il faut dans votre cas. Cependant, il pourrait être délibérément reconfiguré pour faire une "bonne chose" différente. En corollaire, il pourrait également être mal configuré de faire une bêtise par inadvertance.

200_success
la source
0

Les autres réponses sont correctes. Donc, dans l’intérêt de la confirmation, je vous suggère de l’essayer et de le découvrir.

tracert ou traceroute ou tracepath ou mtr d’un hôte à l’autre.

Saisissez un ordinateur de rechange (c’est-à-dire non productif) et attribuez-lui une adresse IP de 192.168.166.x / 24 ou 255.255.255.0 et une passerelle de 192.168.166.1

Vous aurez besoin de configurer votre pare-feu pour avoir une adresse IP secondaire de 192.168.166.1 / 24 sur la même interface que votre réseau local. Veillez à ne pas interrompre votre trafic de production LAN pour le moment. Cela dépend exactement du système d’exploitation de votre pare-feu.

Il est également possible que vous deviez modifier ou étendre les règles de pare-feu pour l'interface de réseau local.

Le chemin doit être 166machine-switch-firewall-switch-0machine (mais vous ne verrez pas le commutateur dans traceroute car les commutateurs Ethernet sont situés au niveau couche 2 et que traceroute correspond au protocole ICMP situé au niveau couche3.

Notez que cela s'appelle un réseau "en superposition" et n'apporte aucune sécurité supplémentaire. Ce n'est pas une DMZ, il n'y a pas d'isolation et ne cache pas le réseau 166 du réseau 0.

Criggie
la source