LINUX.ORG.RU
ФорумAdmin

Сети, подсети и взаимоотношения между ними


0

1

Здравствуйте. Прошу проследить цепь умозаключений и указать где я не прав

Есть два компьютера К-1 и К-2. Оба воткнуты в один свич

У К-1 адрес 10.10.0.1/16

У К-2 адрес 10.10.1.1/24

Маршрутизация никакая специально не настраивалась. Просто вбиты IP-адрес, маска, шлюз (Ш-1, Ш-2)

К-1 отправляет пакет на К-2:

  • К-1 смотрит в своей таблице маршрутизации, что пакет идет на адрес 10.10.х.х и делает вывод что этот адрес локальный.
  • Посылает широковещательный ARP-запрос с IP-адресом К-2, чтобы выяснить его MAC-адрес
  • Отправляет фрейм с данными на этот MAC-адрес

К-2 отправляет пакет на К-1:

  • К-2 смотрит в своей таблице маршрутизации, что пакет идет на адрес 10.10.0.х и делает вывод что этот адрес НЕ локальный.
  • Посылает широковещательный ARP-запрос с IP-адресом Ш-1, чтобы выяснить MAC-адрес своего шлюза_по_умолчанию.
  • Отправляет фрейм с данными на этот MAC-адрес
  • Шлюз (предположим), не находит нужного маршрута для адреса К-1 и возвращает на К-2 ICMP-ответ с ошибкой

То-есть, комп из сети может отправить пакет в свою подсеть, но ответа не получит?

★★★★★

Всё верно, неправильные маски часто являются источником проблемы

af5 ★★★★★ ()
Ответ на: комментарий от anonymous

Да всё так. Пытаюсь понять эти сети-маски. Заодно выяснить какие бонусы мне даст разбиение офисной сети на, скажем «элита» и «прочее отребье» - подсети. Просто везде в интернете пишут что рулить подсетями - хорошо. А почему хорошо - не пишут

makoven ★★★★★ ()
Последнее исправление: makoven (всего исправлений: 1 )
Ответ на: комментарий от makoven

Про энтрепрайз не скажу, но вот разделить сеть на админов и всех остальных имеет свои плюсы - например возможность ограничения доступа к серверам и сетевому оборудованию.

anonymous ()

ARP reply — unicast. Так что, когда K-2 получит ARP Request от K-1 отвечать на него надо будет через Ш-1.

frob ★★★★★ ()
Ответ на: комментарий от makoven

Роутер может к примеру выполнять функции фаервола. Спуфинг между сетями опять же отпадает. Но это конечно если юзеры в разных VLAN а не как у тебя в одном.

af5 ★★★★★ ()
Ответ на: комментарий от frob

Отвечать на ARP через шлюз - уже сама по себе дурацкая идея %). Ответ пойдет напрямую в локалку, на MAC-адрес отправившего запрос.

anonymous ()
Ответ на: комментарий от af5

То-есть можно рассадить групы юзеров по подсетям и наладить общение между подсетями строго через роутер, блокируя всё лишнее.

А вланы тут нужны чтобы какой-нибудь умник из Подсети-1 не смог тупо прописать у себя в компе статические IP-адреса Подсети-2. Правильно я понимаю?

И если правильно, то вопрос. Должно ли пользовательское оборудование что-то знать про VLAN-протокол или это всё разруливается маршрутизаторами/коммутаторами?

makoven ★★★★★ ()
Последнее исправление: makoven (всего исправлений: 1 )
Ответ на: комментарий от makoven

А вланы тут нужны чтобы какой-нибудь умник из Подсети-1 не смог тупо прописать у себя в компе статические IP-адреса Подсети-2. Правильно я понимаю?

Да, самовольная смена IP, спуфинг, сниффинг и тп

И если правильно, то вопрос. Должно ли пользовательское оборудование что-то знать про VLAN-протокол или это всё разруливается маршрутизаторами/коммутаторами?

В большинстве случаев достаточно поддержки VLAN на свиче и маршрутизаторе, компы юзеров включаются в access-порты, на которых VLAN-тег снимается с исходящих пакетов.

af5 ★★★★★ ()
Ответ на: комментарий от af5

Вроде-как даже понятно, как это ни странно. Благодарю всех ответивших)

makoven ★★★★★ ()
Ответ на: комментарий от makoven

А вланы тут нужны чтобы какой-нибудь умник из Подсети-1 не смог тупо прописать у себя в компе статические IP-адреса Подсети-2. Правильно я понимаю?

КМК, не совсем так. VLAN-ы нужны, что бы можно было группировать пользователей по сетям не по географическому признаку (этажам, кабинетам, зданиям, etc), а логически. Т.е. какое-то подразделение сидит в двух разных зданиях, то все их компы в одном vlan-е.

А самовольное присвоение себе ip-шника из другой сети ничего не даст - ты тупо не сможешь ни с кем взаимодействовать, т.к. у тебя дефолтный шлюз будет недоступен. Точнее, будет, но не твой, из чужой сети.

Вообще, почитай на досуге учебник по ccna. Там основы очень хорошо расписаны. На конкретные циско-специфичные детали можно забить.

CaveRat ★★ ()
Ответ на: комментарий от CaveRat

т.к. у тебя дефолтный шлюз будет недоступен.

Тут что-то не так (:
А если сеть не большая и шлюз с ACL один?

anonymous ()
Ответ на: комментарий от CaveRat

В цисках нет. Давно хочу, но денег у конторы нет, а значит и щупать железки мне не начем.
А так все просто, роутер - по линку в два свичя - линки к юзверям. Шесть подсетей. Одна из них под сервера, к которым имеют доступ четыре подсети.
Все это барахло на тп-линках, кто будет рассматривать к внедрению, забудьте. Буклетики барахло, реально заявленное работает через задницу, или совсем не работает, так я попрощался с виланами.
Смена сетевых настроек грохнута административно, как-то так.

anonymous ()
Ответ на: комментарий от anonymous

Ответ пойдет напрямую в локалку, на MAC-адрес отправившего запрос.

Ну убери DG из настроек К-2 и посмотри что будет.

frob ★★★★★ ()
Ответ на: комментарий от frob

Так и есть, дефолтного маршрута, равно как и маршрута до моей сетки, у того девайса не было.

anonymous ()
Ответ на: комментарий от CaveRat

Да как-то так и работают, уже не первый год. Поднять vlan бросил, настройки дубовые, местами несовместимые. Маршрутиризатор с настройками в которых надо быть надмозгом, но кроме все того-же вилана и иногда подвисающего VPN, работает в поте лица. Свичи, а что свичи, управляемые, привязать отвязать, поднять опустить порты можно, вот и славно. Точка доступа - 4 поинта и плять 1 DHCP на все и это не самое плохое, DHCP заворачивается в веревку (вот тут меня окончательно приплюснуло и я очень пожалел, что не стал клянчить ОЧЕНЬ много денег и закупать оборудование сам).

anonymous ()
Ответ на: комментарий от makoven

Пытаюсь понять эти сети-маски.

Есть две взаимозаменяющие статьи. «Маска, я тебя знаю» и «Если классы спрятать под маской». Ещё вспоминается третья вроде: «CIDR - это не только яблочное вино». Всё это было в журнале LAN конца 90-ых, года два назад ещё гуглилось и читалось. Там достаточно всё хорошо и компактно написано было.

AS ★★★★★ ()
Ответ на: комментарий от anonymous

Ясно, спасибо. На их роутеры не смотрел, свитчи только взамен тупых ставим, лампочки по сети видеть, да порт изолейшн, это более-менее работает :)

handbrake ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.