Seberapa pintar jaringan saya?

Ada argumen di kantor saya tentang seberapa pintar / efisien jaringan yang telah kami atur sebenarnya.

Kami memiliki jalur serat dan jalur kabel yang berjalan ke router penyeimbang beban, yang memiliki firewall perangkat keras, yang terakhir memiliki saklar port 64 yang terhubung dengannya.

Masing-masing stasiun kerja kami terhubung ke sakelar (sekitar 30 mesin) ditambah NAS dan beberapa server uji internal (semua diberi alamat 192.168.0.x).

Jika workstation A ingin berkomunikasi dengan workstation B , apakah jaringan kami cukup pintar untuk pergi:

A → Beralih → B dan hanya melakukan perjalanan melalui koneksi pertama yang paling umum,

atau apakah pathnya adalah A → Switch → Firewall → Router → Firewall → Switch → B dan harus menempuh rute penuh itu setiap waktu?

Router tidak diperlukan kecuali lalu lintas Anda perlu pindah ke subnet yang berbeda. Ketika sebuah komputer ingin mengirim beberapa lalu lintas IP ke mesin lain pada subnetnya, ia membutuhkan alamat MAC penerima, karena alamat IP bukanlah sesuatu pada lapisan saklar (Layer 2 dari model OSI). Jika tidak tahu alamat MAC, itu mengirimkan permintaan ARP , mengatakan "hei, siapa pun yang memiliki alamat IP ini, bisakah Anda memberi tahu saya alamat MAC Anda?" Ketika mesin mendapat respons, alamat itu kemudian dilampirkan ke paket, dan sakelar menggunakannya untuk mengirim paket keluar dari port fisik yang benar.

Ketika tujuan tidak pada subnet yang sama, router harus terlibat. Pengirim memberikan paket ke router yang sesuai (biasanya gateway default, kecuali jika Anda memiliki kebutuhan perutean khusus), yang mengirimkannya melalui jaringan ke penerima yang dimaksud. Tidak seperti switch, router tahu tentang dan memiliki alamat IP, tetapi mereka juga memiliki alamat MAC, dan itu adalah alamat MAC yang awalnya dimasukkan ke paket yang membutuhkan perutean. (Alamat MAC tidak pernah meninggalkan subnet.)

Anda dapat melihat alamat IP router di kolom Gateway dari output route printpada Windows. Tujuan yang tidak memerlukan perutean On-linkada di sana.

Jika 2 komputer terhubung ke vlan yang sama pada sakelar dan bagikan subnet mask yang sama - sakelar tersebut harus mengirimkan paket tanpa mengenai firewall atau router Anda.

Anda dapat memverifikasi ini dengan menjalankan tracert 192.168.0.X(dengan asumsi Windows) dan Anda akan melihat rute langsung ke sistem itu.

Hampir bisa dipastikan, jalur komunikasi adalah A ↔︎ switch ↔︎ B , tidak melalui firewall dan router. Dengan asumsi bahwa workstation A dan B memiliki alamat IP dengan jaringan dan netmask yang sama, mereka harus dapat berinteraksi tanpa router yang terlibat, karena switch tahu bagaimana meneruskan paket. Anda harus dapat memverifikasi bahwa tidak ada hop langsung antara A dan B dengan menjalankan dari command prompt pada A . (Di Windows, perintahnya bukan .)traceroute ip_address_of_Btracerttraceroute

Yang mengatakan, skenario alternatif adalah mungkin , tetapi lebih kecil kemungkinannya.

Di masa lalu, sebelum switch Ethernet lazim, ada hub Ethernet. Hub bekerja dengan cara yang sama, kecuali bahwa mereka akan secara tidak sengaja menggandakan dan meneruskan paket Ethernet yang masuk melalui setiap port tunggal hub, alih-alih keluar dari port yang sesuai seperti yang dilakukan oleh switch. Jika Anda memiliki hub bukan switch, maka router akan melihat (dan mengabaikan) semua lalu lintas antara A dan B . Tentu saja, penerusan paket sembarangan seperti itu menciptakan banyak lalu lintas yang tidak perlu, dan hub Ethernet tidak umum akhir-akhir ini.

Skenario lain yang mungkin (tetapi tidak mungkin) adalah bahwa sakelar dapat dikonfigurasikan untuk melakukan isolasi port . Itu akan memaksa lalu lintas setiap workstation untuk pergi melalui router. Anda mungkin ingin melakukan itu jika Anda menganggap workstation saling bermusuhan - misalnya, port di perpustakaan umum atau di kamar hotel yang terpisah - dan Anda tidak ingin mereka dapat berkomunikasi secara langsung sama sekali. Namun, di lingkungan kantor, sangat tidak mungkin administrator jaringan Anda mengaturnya seperti itu.

Untuk menjawab pertanyaan Anda dengan istilah awam: jaringan secara alami harus melakukan "hal yang benar" dalam kasus Anda. Namun, bisa saja sengaja dikonfigurasi ulang untuk melakukan "hal yang benar" yang berbeda. Sebagai akibat dari itu, bisa juga secara tidak sengaja dikonfigurasikan untuk melakukan hal bodoh.

Jawaban lainnya benar. Jadi untuk kepentingan konfirmasi - saya sarankan Anda mencobanya dan mencari tahu.

tracert atau traceroute atau tracepath atau mtr dari satu host ke host lainnya.

Ambil komputer cadangan (yaitu non-produksi) dan berikan IP 192.168.166.x / 24 atau 255.255.255.0 dan gateway 192.168.166.1

Anda harus mengkonfigurasi perangkat firewall Anda untuk memiliki IP sekunder 192.168.166.1 / 24 pada antarmuka yang sama dengan LAN Anda. Berhati-hatilah untuk tidak memutus lalu lintas produksi LAN Anda saat ini. Cara Anda melakukannya tergantung pada OS firewall Anda.

Ada kemungkinan Anda mungkin perlu mengubah atau memperluas aturan firewall untuk antarmuka LAN juga.

Path harus 166machine-switch-firewall-switch-0machine (tetapi Anda tidak akan melihat switch di traceroute karena switch ethernet berada di layer2 dan traceroute adalah ICMP di layer3.

Perhatikan, ini disebut jaringan "overlay", dan tidak memberikan keamanan tambahan. Ini bukan DMZ, tidak ada isolasi, dan tidak menyembunyikan jaringan 166 dari jaringan 0.