Essayer de comprendre les interactions entre deux sous-réseaux différents sur le même réseau

9

J'ai un 10.0.0.0/8réseau divisé en deux parties. Un serveur DHCP distribue des adresses 10.0.0.10à 10.0.0.150avec un masque de classe A ( 255.0.0.0). Ceci est ma partie «Invité» du réseau.

Les utilisateurs du réseau autorisés ont émis des réserves sur le serveur DHCP avec des adresses dans la 10.100.0.10à 10.100.0.250portée avec un masque de classe A.
Un serveur de fichiers sur le réseau a une adresse IP 10.100.0.1et un masque de classe B ( 255.255.0.0).

  • Les appareils du réseau «Invité» et du réseau «Autorisé» peuvent tous se voir.
  • Le réseau «autorisé» peut voir le serveur de fichiers.
  • Le réseau «Invité» ne peut pas voir le serveur de fichiers.

Cela a plutôt bien fonctionné jusqu'à présent, mais mon instructeur de classe jure que non. J'ai lu à plusieurs endroits que les PC avec différents masques de sous-réseau attribués ne devraient pas pouvoir communiquer entre eux.

Quelqu'un peut-il m'aider à comprendre pourquoi les PC du réseau «autorisés» peuvent très bien accéder au serveur de fichiers malgré les différents masques de sous-réseau?

Jared
la source
1
Merci pour la retouche, JakeGould. Cela semble beaucoup mieux
Jared

Réponses:

13

La théorie du masque de sous-réseau est qu'il définit quelle partie de l'adresse IP est l'adresse réseau et quelle partie de l'adresse IP est l'adresse hôte:

10.100.0.1 - Adresse IP;

255.0.0.0 - Masque de sous-réseau;

10- adresse réseau, 100.0.1- adresse hôte.

Les hôtes d'un même sous-réseau peuvent communiquer directement entre eux. Cela signifie que si l'hôte A et B sont situés dans le même sous-réseau et A veut parler à B, alors A enverra son trafic directement à B. Si l'hôte A veut parler à l'hôte C qui est situé dans un sous-réseau différent, alors A aura pour acheminer ce trafic vers la passerelle qui sait (espérons-le) comment atteindre un réseau différent. Ainsi, c'est à l'hôte de définir où envoyer le trafic:

  1. Directement à l'hôte (le deuxième hôte se trouve dans le même sous-réseau)
  2. À la passerelle (le deuxième hôte appartient à un sous-réseau différent)

Ce qui se passe dans votre cas, c'est que vos clients "autorisés" ont des adresses IP 10.100.0.10 - 10.100.0.250(je suppose que le masque de sous-réseau l'est 255.0.0.0). Le serveur a une adresse IP 10.100.0.1. Pour un hôte de la plage "Autorisé", ce serveur est situé dans le même sous-réseau.

Si l'hôte 10.100.0.10de la plage «autorisée» veut parler au serveur - il vérifie d'abord si ce serveur est situé dans le même sous-réseau ou non. Pour l'hôte 10.100.0.10avec masque de 255.0.0.0sous-réseau, le même sous-réseau serait tous les hôtes dans la plage 10.0.0.1 - 10.255.255.254. L'adresse IP du serveur se trouve être dans cette plage. Pour cette raison, un hôte de la plage «autorisée» tente d'accéder directement au serveur et (en supposant qu'il se trouve sur le même réseau de couche 2), cette tentative réussit.

Dans ce cas, même si le serveur a un masque de sous-réseau différent - il se trouve qu'il se trouve dans le plus grand sous-réseau (qui est également un sous-réseau pour les clients "autorisés"). Si votre serveur aura un deuxième octet différent dans l'adresse IP ( 10.150.0.1par exemple), il ne pourra pas répondre à l'hôte à partir de la plage «autorisée», car du point de vue du serveur, la plage «autorisée» ressemblerait à un sous-réseau et un serveur différents. aurait besoin d'envoyer du trafic vers un routeur. S'il n'y aurait pas de routeur - alors il n'y aurait pas de communication.

Si vous souhaitez séparer votre réseau des parties "Invités" et "Autorisé", vous devez les faire se trouver dans les différents sous-réseaux qui ne se chevauchent pas.

Par exemple:

  1. "Invités" - 10.10.0.1, masque de sous-réseau255.255.0.0
  2. "Autorisé" - 10.20.0.1, masque de sous-réseau255.255.0.0

Le serveur serait situé dans la partie «autorisée» du réseau ayant une adresse IP 10.20.0.100, un masque de sous-réseau 255.255.0.0.

Avec cette configuration, ces sous-réseaux seront efficacement séparés les uns des autres, car les parties des adresses IP représentant leur sous-réseau différeront:

  1. 10.10 pour les invités
  2. 10.20 pour autorisé

À ce stade, la communication entre ces sous-réseaux ne sera possible que via un routeur doté d'interfaces dans les deux sous-réseaux.

En outre, il convient de mentionner que, bien que tous vos ordinateurs partagent le même réseau de couche 2, rien n'empêchera un invité de s’attribuer manuellement des adresses IP de la plage «autorisée». Cela les fera effectivement faire partie du réseau autorisé.

VL-80
la source
5

Toutes les machines "autorisées" et "invitées" sont sur le même sous-réseau, il n'est donc pas surprenant qu'elles puissent toutes se rejoindre.

Le masque de sous-réseau restreint du serveur fait penser que seuls les ordinateurs "autorisés" se trouvent sur le même sous-réseau, il les ARP directement et peut les atteindre.

Le serveur pense que les ordinateurs "invités" sont sur un sous-réseau différent, il essaie donc d'envoyer leurs paquets à sa passerelle par défaut (c'est-à-dire, au niveau de la couche Ethernet, il les adresse à l'adresse MAC de la passerelle par défaut; ils sont toujours adressés à les ordinateurs "invités" de la couche IP). Si le serveur n'a pas de passerelle par défaut définie, ou si sa passerelle par défaut est inaccessible ou mal configurée, ces paquets ne pourront pas atteindre les ordinateurs "Invité".

Spiff
la source
3

Étant donné que les paquets sont en dehors de leur plage LAN, ils envoient les paquets à leur routeur par défaut. Leur routeur par défaut les transmet à leur destination et envoie une redirection ICMP à la source. Que la redirection ICMP fonctionne ou non, le trafic y parvient toujours.

Vous ne devriez certainement pas faire les choses de cette façon.

David Schwartz
la source
Si je comprends votre réponse, un ping du réseau invité atteindra le serveur de fichiers, mais la réponse du serveur de fichiers ira à la passerelle par défaut plutôt que de répondre directement à l'hôte invité. Le routeur ne saura pas où envoyer le trafic et vider le trafic dans un trou? Je ne veux pas que le serveur de fichiers parle aux hôtes du réseau invité, donc cela semble être un avantage. pourquoi est-ce une mauvaise idee?
Jared
1
@jared Lisez cette phrase: «Leur routeur par défaut les transfère à leur destination et envoie une redirection ICMP à la source.» Cela signifie que tout ce que votre configuration actuelle fait est d'ajouter un «saut» supplémentaire au trafic. Le paquet «perdu» va au routeur pour demander de l'aide, puis est redirigé de toute façon. Donc, rien ne s'écoule dans le trou. Il est juste détourné.
JakeGould