Tentando entender as interações entre duas sub-redes diferentes na mesma rede


9

Eu tenho uma 10.0.0.0/8rede dividida em duas partes. Um servidor DHCP distribui endereços 10.0.0.10para 10.0.0.150com uma máscara de classe A ( 255.0.0.0). Esta é a minha parte "Convidado" da rede.

Usuários de rede autorizados têm reservas no servidor DHCP com endereços no intervalo 10.100.0.10para 10.100.0.250com uma máscara de classe A.
Um servidor de arquivos na rede possui um endereço IP 10.100.0.1e uma máscara de classe B ( 255.255.0.0).

  • Os dispositivos na rede “Convidado” e na rede “Autorizada” podem se ver.
  • A rede "Autorizada" pode ver o servidor de arquivos.
  • A rede “Convidado” não pode ver o servidor de arquivos.

Isso funcionou muito bem até agora, mas meu instrutor de turma jura que não deveria. Li em vários lugares que PCs com máscaras de sub-rede diferentes atribuídas não devem se comunicar.

Alguém pode me ajudar a entender por que os PCs de rede “autorizados” podem acessar o servidor de arquivos muito bem, apesar das diferentes máscaras de sub-rede?


11
Obrigado pela edição, JakeGould. Isso parece muito melhor
Jared

Respostas:


13

A teoria da máscara de sub-rede é que ela define qual parte do endereço IP é o endereço de rede e qual parte do endereço IP é o endereço do host:

10.100.0.1 - Endereço de IP;

255.0.0.0 - máscara de sub-rede;

10- endereço de rede, 100.0.1- endereço de host.

Os hosts na mesma sub-rede podem conversar diretamente entre si. Isso significa que se o host A e B estiverem localizados na mesma sub-rede e A quiser conversar com B, então A enviará o tráfego diretamente para B. Se o host A quiser conversar com o host C, localizado em uma sub-rede diferente, então A terá para rotear esse tráfego para o gateway que sabe (espero) como alcançar uma rede diferente. Portanto, cabe ao host definir para onde enviar o tráfego:

  1. Diretamente para o host (o segundo host está na mesma sub-rede)
  2. Para o gateway (o segundo host pertence a uma sub-rede diferente)

O que acontece no seu caso é que seus clientes "autorizados" têm endereços IP 10.100.0.10 - 10.100.0.250(presumo que a máscara de sub-rede seja 255.0.0.0). O servidor tem endereço IP 10.100.0.1. Para um host do intervalo "Autorizado", este servidor está localizado na mesma sub-rede.

Se o host 10.100.0.10do intervalo "Autorizado" quiser conversar com o servidor - ele primeiro verifica se esse servidor está localizado na mesma sub-rede ou não. Para o host 10.100.0.10com máscara de sub-rede, a 255.0.0.0mesma sub-rede seria todos os hosts dentro do intervalo 10.0.0.1 - 10.255.255.254. O endereço IP do servidor está nesse intervalo. Por esse motivo, um host do intervalo "Autorizado" tenta acessar o servidor diretamente e (supondo que eles estejam localizados na mesma rede da Camada 2) essa tentativa é bem-sucedida.

Nesse caso, mesmo que o servidor tenha uma máscara de sub-rede diferente - ele está localizado na sub-rede maior (que também é uma sub-rede para os clientes "Autorizados"). Se o servidor tiver um segundo byte diferente no endereço IP ( 10.150.0.1por exemplo), não será possível responder ao host do intervalo "Autorizado", porque, da perspectiva do servidor, o intervalo "Autorizado" pareceria uma sub-rede e um servidor diferentes precisaria enviar tráfego para um roteador. Se não houvesse roteador - não haveria comunicação.

Se você quiser separar sua rede das partes "Convidados" e "Autorizados", precisará localizá-las nas diferentes sub-redes que não se sobrepõem.

Por exemplo:

  1. "Convidados" - 10.10.0.1máscara de sub-rede255.255.0.0
  2. "Autorizado" - 10.20.0.1, máscara de sub-rede255.255.0.0

O servidor estaria localizado na parte "Autorizada" da rede com endereço IP 10.20.0.100, máscara de sub-rede 255.255.0.0.

Com essa configuração, essas sub-redes serão efetivamente separadas uma da outra, pois partes dos endereços IP que representam suas sub-redes serão diferentes:

  1. 10.10 para os hóspedes
  2. 10.20 para Autorizado

Nesse ponto, a comunicação entre essas sub-redes só será possível através do roteador que possui interfaces nas duas sub-redes.

Além disso, vale ressaltar que, embora todos os seus computadores compartilhem a mesma rede da Camada 2, nada impedirá que os Convidados atribuam manualmente a si mesmos endereços IP do intervalo "Autorizado". Isso fará com que eles façam parte da rede autorizada.


5

Todas as máquinas "Autorizadas" e "Convidadas" estão na mesma sub-rede, portanto, não é surpresa que todas elas possam se encontrar.

A máscara de sub-rede restrita do servidor faz pensar que apenas os computadores "Autorizados" estão na mesma sub-rede;

O servidor acha que os computadores "Convidados" estão em uma sub-rede diferente e, portanto, tenta enviar seus pacotes para o gateway padrão (ou seja, na camada Ethernet, os endereça ao endereço MAC do gateway padrão; eles ainda estão endereçados a computadores "Convidados" na camada IP). Se o servidor não tiver um gateway padrão definido, ou se seu gateway padrão estiver inacessível ou configurado incorretamente, esses pacotes não poderão acessar os computadores "Convidados".


3

Como os pacotes estão fora do alcance da LAN, eles os enviam para o roteador padrão. O roteador padrão os encaminha para o destino e envia um redirecionamento ICMP para a fonte. Quer o redirecionamento ICMP funcione ou não, o tráfego ainda chega lá.

Você definitivamente não deve fazer as coisas dessa maneira.


Se eu entender sua resposta, um ping da rede Convidado alcançará o servidor de arquivos, mas a resposta do servidor de arquivos será direcionada ao gateway padrão em vez de responder diretamente ao host Convidado. O roteador não sabe para onde enviar o tráfego e liberá-lo por um buraco? Não quero que o servidor de arquivos fale com os hosts da rede Guest, portanto isso parece uma vantagem. Por que isso é uma má ideia?
Jared

11
@jared Leia esta frase: “O roteador padrão os encaminha para o destino e envia um redirecionamento ICMP para a fonte”. Isso significa que toda a sua configuração atual é adicionar um "salto" extra para o tráfego. O pacote "perdido" vai para o roteador pedindo ajuda e é redirecionado de qualquer maneira. Então nada é liberado pelo buraco. É apenas desviado.
JakeGould
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.