Я недавно сделал обновление на Cisco 2520. Как часть обновления и SVI был добавлен к коммутатору, чтобы позволить VLAN маршрутизировать локально, который ранее был сделан на другом коммутаторе (через транк). У SVI были следующие параметры;

Сетевой адрес: 192.168.65.96 Маска подсети: 255.255.255.248 SVI Адрес: 192.168.65.102

В этой подсети было два устройства, и после внесения изменений оба устройства все еще могли обмениваться данными с удаленной сетью, хотя шлюз по умолчанию и маска подсети были 192.168.65.1 / 255.255.255.0 соответственно.

После этого во время мониторинга я потерял связь с одним из устройств, а другое оставалось в сети. Я исправил проблему, правильно настроив маску подсети и шлюз по умолчанию на обоих устройствах, но мне было интересно, если кто-нибудь может объяснить, почему я смог связаться с одним устройством, а не с другим, даже если на обоих устройствах были неправильно настроены маски Sunet / шлюзы по умолчанию?

Спасибо!

1 ответ1

2

Обычно хосты следуют одному базовому правилу при решении, куда отправлять пакеты (на уровне L2 / MAC):

  • IP-адрес назначения находится в той же подсети? (согласно моей маске сети)
    • Если да, разрешите его MAC (через ARP) и отправьте пакет непосредственно этому хосту.
    • Если нет, разрешите MAC-адрес шлюза и отправьте пакет через этот шлюз.

Поэтому неправильная настройка шлюза может остаться незамеченной, потому что:

  • Если оба хоста находятся в одной подсети (в соответствии с маской друг друга), IP-адрес шлюза вообще не используется. Это может быть даже не установлено.

Неправильная настройка маски сети (или длины префикса) может привести к следующим результатам:

  • Если маска сети шире, чем должна быть (т. Е. Длина префикса короче), хосты в той же подсети все равно смогут обмениваться данными, потому что «Та же подсеть?"проверка все равно не подведет.

    Тем не менее, это будет препятствовать связи с хостами, маска сеть охватывает , но не предполагается, потому что хост попытается ARP-разрешения адреса , который физически в другом месте. (Из-за неверной маски сети хост назначения будет локальным.)

    Но связь все еще может быть возможной, если шлюз реализует Proxy ARP и отвечает на эти запросы ARP от имени "другой стороны". Иногда это делается как часть изоляции клиента, которую проводят интернет-провайдеры, или как промежуточный этап разделения большой подсети на несколько. (Действительно, прокси-ARP использовался для разделения классных сетей до изобретения подсетей.)

  • Если маска сети слишком узка (длина префикса слишком велика), это наоборот: это повлияет на связь внутри подсети, потому что хост ошибочно считает, что ему нужно использовать шлюз.

    Обратите внимание, что это не обязательно помешает связи (так как шлюз просто направит пакет обратно в ту же подсеть), просто сделает его намного менее эффективным.

    (Шлюз также может отправлять вам пакеты ICMP "Redirect", информирующие вас о существовании прямого пути; некоторые операционные системы автоматически обновляют свою таблицу маршрутизации при получении этого.)

  • Если только у вас нет комбинации слишком узкой маски сети и неверного шлюза. Это полностью предотвратит связь с уязвимыми хостами.


Примечание. В этом посте "маршрутизатор" и "шлюз" (синоним) относятся к логическому узлу (который говорит по IP, содержит таблицу маршрутизации и подключается к нескольким сетям на основе IP), а не к физическому устройству. Если вы используете комбинированный маршрутизатор / коммутатор, то данные, проходящие через порты коммутатора , не обязательно проходят через ядро маршрутизатора, поэтому в целях приведенного выше объяснения вы должны рассматривать его как два устройства.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .