네트워크가 얼마나 똑똑합니까? 및 내부

사무실에서 우리가 설정 한 네트워크가 얼마나 스마트하고 효율적인지에 대한 논쟁이 있습니다.

우리는 파이버 라인과 케이블 라인을로드 밸런싱 라우터로 연결하는데, 여기에는 하드웨어 방화벽이 있으며 마지막으로 64 포트 스위치가 연결되어 있습니다.

각 워크 스테이션은 스위치 (약 30 대의 컴퓨터)와 NAS 및 내부 테스트 서버 (모두 192.168.0.x 주소가 할당 됨)에 연결되어 있습니다.

워크 스테이션 A 가 워크 스테이션 B 와 통신하기를 원한다면 , 우리의 네트워크는 다음 과 같이 충분히 똑똑합니다

A → 스위치 → B 이며 가장 일반적인 첫 번째 연결을 통해서만 이동합니다.

또는 경로가 A → 스위치 → 방화벽 → 라우터 → 방화벽 → 스위치 → B 이고 매번 그 전체 경로를 이동해야합니까?



답변

트래픽이 다른 서브넷으로 이동하지 않는 한 라우터가 필요하지 않습니다. 컴퓨터가 IP 트래픽을 서브넷의 다른 컴퓨터로 보내려면 IP 주소가 스위치 계층 (OSI 모델의 계층 2)에 있지 않으므로 수신자의 MAC 주소가 필요합니다. MAC 주소를 모르면 “이 IP 주소를 가진 사람은 누구든지 MAC 주소를 알려주십시오.”라고 ARP 요청을 브로드 캐스트합니다. 기계가 응답을 받으면 해당 주소가 패킷에 연결되고 스위치는이 주소를 사용하여 올바른 물리적 포트로 패킷을 보냅니다.

대상이 동일한 서브넷에 있지 않으면 라우터가 관여해야합니다. 발신자는 패킷을 적절한 라우터 (일반적으로 특별한 라우팅 요구가없는 한 기본 게이트웨이)에 전달하여 네트워크를 통해 원하는 수신자에게 보냅니다. 라우터는 스위치와 달리 IP 주소를 알고 있고 IP 주소를 가지고 있지만 MAC 주소도 있으며 라우팅이 필요한 패킷에 처음으로 전달되는 MAC 주소입니다. MAC 주소는 서브넷을 떠나지 않습니다.

route printWindows 출력의 게이트웨이 열에서 라우터 IP 주소를 볼 수 있습니다 . 라우팅이 필요없는 목적지가 On-link있습니다.


답변

두 대의 컴퓨터가 스위치의 동일한 VLAN에 연결되어 있고 동일한 서브넷 마스크를 공유하는 경우 스위치는 방화벽이나 라우터에 충돌하지 않고 패킷을 전달해야합니다.

tracert 192.168.0.XWindows 를 실행하여이를 확인할 수 있으며 해당 시스템에 대한 직접 경로가 표시되어야합니다.


답변

통신 경로는 방화벽과 라우터를 거치지 않고 A ↔︎ 스위치 ↔︎ B 일 것입니다. 워크 스테이션 AB 에 동일한 네트워크 및 넷 마스크를 가진 IP 주소가 있다고 가정하면 스위치가 패킷을 전달하는 방법을 알고 있기 때문에 라우터가없는 라우터와 상호 작용할 수 있어야합니다. 당신은 사이 중간 홉이 없는지 확인 할 수 있어야한다 와 B가 실행 에 프롬프트 명령에서 . (Windows에서는 명령이 대신 사용됩니다 .)traceroute ip_address_of_Btracerttraceroute

그러나 대체 시나리오는 가능 하지만 가능성 은 적습니다.

예전에는 이더넷 스위치가 널리 보급되기 전에 이더넷 허브가있었습니다. 허브는 스위치와 같이 적절한 포트가 아닌 허브의 모든 단일 포트를 통해 들어오는 이더넷 패킷을 지능적으로 복제하고 전달한다는 점을 제외하고는 동일한 방식으로 작동합니다. 스위치 대신 허브가있는 경우 라우터는 AB 사이 모든 트래픽을보고 무시 합니다. 물론 이러한 무차별적인 패킷 전달은 불필요한 트래픽을 많이 발생 시키며 오늘날 이더넷 허브는 흔하지 않습니다.

또 하나의 가능한 시나리오는 스위치가 포트 격리 를 수행하도록 구성 될 수 있다는 것 입니다. 그러면 각 워크 스테이션의 트래픽이 라우터를 통과하게됩니다. 워크 스테이션이 서로에게 적대적이라고 생각하는 경우 (예 : 공공 도서관 또는 별도의 호텔 방에있는 포트) 직접 통신 할 수 없도록하려는 경우이를 수행 할 수 있습니다. 그러나 사무실 환경에서는 네트워크 관리자가 그렇게 설정하지 않았을 가능성이 큽니다.

평신도의 관점에서 귀하의 질문에 대답하려면 : 네트워크는 당연히 귀하의 경우 “올바른 일”을 수행해야합니다. 그러나 다른 “올바른 일”을 수행하도록 의도적으로 재구성 할 수 있습니다. 이에 대한 추론으로, 멍청한 일을하도록 실수로 잘못 구성 될 수도 있습니다.


답변

다른 답변은 맞습니다. 그래서 확인의 이익을 위해-당신이 그것을 시도하고 알아내는 것이 좋습니다.

한 호스트에서 다른 호스트로 tracert 또는 traceroute 또는 tracepath 또는 mtr.

여분의 (즉, 비 프로덕션) 컴퓨터를 잡고 192.168.166.x / 24 또는 255.255.255.0의 IP 및 192.168.166.1의 게이트웨이를 제공하십시오.

LAN과 동일한 인터페이스에서 보조 IP 192.168.166.1 / 24 를 갖도록 방화벽 장치를 구성해야합니다 . 현재 LAN 프로덕션 트래픽을 차단하지 않도록주의하십시오. 이 작업을 정확히 수행하는 방법은 방화벽 OS에 따라 다릅니다.

LAN 인터페이스에 대한 방화벽 규칙을 조정하거나 확장해야 할 수도 있습니다.

경로는 166machine-switch-firewall-switch-0machine이어야합니다. 그러나 이더넷 스위치는 layer2에 있고 traceroute는 layer3에서 ICMP이므로 traceroute에 스위치가 표시되지 않습니다.

이를 “오버레이”네트워크라고하며 추가 보안을 제공하지 않습니다. DMZ가 아니며 격리가 없으며 0 네트워크에서 166 네트워크를 숨기지 않습니다.


답변