Der Versuch, die Interaktionen zwischen zwei verschiedenen Subnetzen in demselben Netzwerk zu verstehen

1898
Jared

Ich habe ein 10.0.0.0/8Netzwerk, das in zwei Teile aufgeteilt ist. Ein DHCP - Server austeilt Adressen 10.0.0.10an 10.0.0.150mit einer Klasse A - Maske ( 255.0.0.0). Dies ist mein Gastbereich des Netzwerks.

Autorisierte Netzwerkbenutzer haben Vorbehalte auf dem DHCP - Server mit Adressen in der 10.100.0.10zu 10.100.0.250einer Klasse A Maske reichen.
Ein Dateiserver im Netzwerk verfügt über eine IP-Adresse 10.100.0.1und eine Klasse-B-Maske ( 255.255.0.0).

  • Die Geräte im "Guest" -Netzwerk und im "Authorized" -Netzwerk können sich alle sehen.
  • Das autorisierte Netzwerk kann den Dateiserver sehen.
  • Das Gastnetzwerk kann den Dateiserver nicht sehen.

Das hat bisher ziemlich gut geklappt, aber mein Klassenlehrer schwört, dass es nicht sein sollte. Ich habe an mehreren Stellen gelesen, dass PCs mit unterschiedlichen zugewiesenen Subnetzmasken nicht miteinander kommunizieren können.

Kann mir bitte jemand helfen, zu verstehen, warum die "autorisierten" Netzwerk-PCs trotz unterschiedlicher Subnetzmasken problemlos auf den Dateiserver zugreifen können?

9
Vielen Dank für die Bearbeitung, JakeGould. Das sieht viel besser aus Jared vor 8 Jahren 1

3 Antworten auf die Frage

13
VL-80

Die Theorie der Subnetzmaske ist, dass sie definiert, welcher Teil der IP-Adresse die Netzwerkadresse ist und welcher Teil der IP-Adresse die Hostadresse ist:

10.100.0.1 - IP Adresse;

255.0.0.0 - Subnetzmaske;

10- Netzwerkadresse, 100.0.1- Hostadresse.

Hosts innerhalb eines Subnetzes können direkt miteinander kommunizieren. Das heißt, wenn sich Host A und B innerhalb desselben Subnetzes befinden und A mit B kommunizieren möchte, sendet A den Datenverkehr direkt an B. Wenn Host A mit Host C kommunizieren möchte, der sich in einem anderen Subnetz befindet, hat A dies um diesen Verkehr an das Gateway weiterzuleiten, das (hoffentlich) weiß, wie man ein anderes Netzwerk erreicht. Der Host muss also festlegen, wohin der Datenverkehr gesendet werden soll:

  1. Direkt zum Host (der zweite Host befindet sich im selben Subnetz)
  2. Zum Gateway (zweiter Host gehört zu einem anderen Subnetz)

In Ihrem Fall passiert, dass Ihre "autorisierten" Clients IP-Adressen haben 10.100.0.10 - 10.100.0.250(ich nehme an, dass die Subnetzmaske dies ist 255.0.0.0). Der Server hat eine IP-Adresse 10.100.0.1. Für einen Host aus dem Bereich "Authorized" befindet sich dieser Server im selben Subnetz.

Wenn ein Host 10.100.0.10aus dem Bereich "Authorized" mit dem Server kommunizieren möchte, prüft er zunächst, ob sich dieser Server im selben Subnetz befindet oder nicht. Für den Host 10.100.0.10mit der Subnetzmaske 255.0.0.0wären alle Hosts innerhalb des Bereichs dasselbe Subnetz 10.0.0.1 - 10.255.255.254. Die IP-Adresse des Servers liegt zufällig in diesem Bereich. Aus diesem Grund versucht ein Host aus dem Bereich "Authorized", den Server direkt zu erreichen, und dieser Versuch ist (sofern er sich im selben Layer-2-Netzwerk befindet) erfolgreich.

In diesem Fall befindet sich der Server zwar mit einer anderen Subnetzmaske - er befindet sich jedoch im größeren Subnetz (das auch ein Subnetz für die "autorisierten" Clients ist). Wenn Ihr Server über ein anderes zweites Byte in der IP-Adresse verfügt ( 10.150.0.1z. B.), kann er dem Host nicht aus dem Bereich "Authorized" antworten, da aus Sicht des Servers der Bereich "Authorized" wie ein anderes Subnetz und Server aussehen würde müsste den Verkehr an einen Router senden. Wenn es keinen Router geben würde, dann wäre keine Kommunikation möglich.

Wenn Sie Ihr Netzwerk in die Bereiche "Guests" und "Authorized" trennen möchten, müssen Sie diese in den verschiedenen Subnetzen platzieren, die sich nicht überlappen.

Zum Beispiel:

  1. "Gäste" - 10.10.0.1, Subnetzmaske255.255.0.0
  2. "Autorisiert" - 10.20.0.1, Subnetzmaske255.255.0.0

Der Server befindet sich im "autorisierten" Teil des Netzwerks mit der IP-Adresse 10.20.0.100und der Subnetzmaske 255.255.0.0.

Mit dieser Konfiguration werden diese Subnetze effektiv voneinander getrennt, da sich Teile der IP-Adressen, die ihr Subnetz darstellen, unterscheiden:

  1. 10.10 für Gäste
  2. 10.20 für autorisiert

Zu diesem Zeitpunkt ist die Kommunikation zwischen diesen Subnetzen nur über einen Router möglich, der Schnittstellen in beiden Subnetzen hat.

Es ist auch erwähnenswert, dass alle Gäste dasselbe Layer-2-Netzwerk verwenden, sodass ein Gast sich nicht selbst manuell IP-Adressen aus dem Bereich "Authorized" zuweisen kann. Dadurch werden sie effektiv Teil des autorisierten Netzwerks.

5
Spiff

Alle "Authorized" - und "Guest" -Maschinen befinden sich im selben Subnetz. Es ist daher keine Überraschung, dass sich alle gegenseitig erreichen können.

Die eingeschränkte Subnetzmaske des Servers lässt vermuten, dass sich nur die "autorisierten" Computer in demselben Subnetz befinden, sodass sie für sie direkt ARPs erhalten und sie erreichen können.

Der Server geht davon aus, dass sich die "Gast" -Computer in einem anderen Subnetz befinden, und versucht daher, ihre Pakete an das Standardgateway zu senden (dh auf der Ethernet-Ebene werden sie an die MAC-Adresse des Standardgateways adressiert, an die sie weiterhin adressiert sind) die "Gast" -Computer auf der IP-Schicht). Wenn für den Server kein Standard-Gateway definiert ist oder sein Standard-Gateway nicht erreichbar oder falsch konfiguriert ist, können diese Pakete die "Gast" -Computer nicht erreichen.

3
David Schwartz

Da sich die Pakete außerhalb ihres LAN-Bereichs befinden, senden sie die Pakete an ihren Standardrouter. Ihr Standardrouter leitet sie an ihr Ziel weiter und sendet eine ICMP-Weiterleitung an die Quelle. Unabhängig davon, ob die ICMP-Weiterleitung funktioniert oder nicht, der Verkehr kommt immer noch dorthin.

Du solltest definitiv nichts so machen.

Wenn ich Ihre Antwort verstehe, wird ein Ping vom Gastnetzwerk den Dateiserver erreichen. Die Antwort des Dateiservers wird jedoch an das Standard-Gateway gesendet, anstatt direkt an den Gasthost zu antworten. Der Router weiß nicht, wohin er den Datenverkehr schicken und den Datenverkehr in ein Loch spülen soll? Ich möchte nicht, dass der Dateiserver mit Gastnetzwerk-Hosts kommuniziert. Das scheint ein Plus zu sein. Warum ist das eine schlechte Idee? Jared vor 8 Jahren 0
@jared Lesen Sie diesen Satz: „Ihr Standardrouter leitet sie an ihr Ziel weiter und sendet eine ICMP-Weiterleitung an die Quelle.“ Dies bedeutet, dass Ihr aktuelles Setup nur noch einen zusätzlichen Sprung in den Datenverkehr enthält. Das Paket geht verloren, geht an den Router, fragt nach Hilfe und wird dann trotzdem weitergeleitet. Also wird nichts durch das Loch gespült. Es wird gerade umgeleitet. JakeGould vor 8 Jahren 1

Verwandte Probleme