Mon bureau discute de l’intelligence et de l’efficacité du réseau que nous avons mis en place.
Nous avons une ligne de fibre optique et une ligne de câble reliées à un routeur d'équilibrage de charge, doté d'un pare-feu matériel, auquel est connecté un commutateur à 64 ports.
Chacune de nos stations de travail est connectée au commutateur (environ 30 machines) plus un NAS et deux serveurs de test internes (tous attribués aux adresses 192.168.0.x).
Si le poste de travail A veut communiquer avec le poste de travail B, Notre réseau est-il assez intelligent pour aller:
A → Basculez → B et voyagez uniquement via la première connexion la plus courante,
ou le chemin serait-il A → Commutateur → Pare-feu → Routeur → Pare-feu → Commutateur → B et doit suivre cet itinéraire complet à chaque fois?
Les routeurs ne sont nécessaires que si votre trafic doit être transféré vers un autre sous-réseau. Lorsqu'un ordinateur souhaite envoyer du trafic IP à une autre machine de son sous-réseau, il a besoin de l'adresse MAC du destinataire, car les adresses IP ne sont pas du domaine du commutateur (couche 2 du modèle OSI). S'il ne connaît pas l'adresse MAC, il diffuse une demande ARP en disant "hé, celui qui a cette adresse IP, pourriez-vous me dire votre adresse MAC s'il vous plaît? " Lorsque la machine reçoit une réponse, cette adresse est alors attachée au paquet et le commutateur l'utilise pour envoyer le paquet par le port physique approprié.
Lorsque la destination ne se trouve pas sur le même sous-réseau, les routeurs doivent être impliqués. L'expéditeur transmet le paquet au routeur approprié (généralement la passerelle par défaut, à moins que vous n'ayez des besoins de routage particuliers), qui l'envoie via le réseau au destinataire souhaité. À la différence des commutateurs, les routeurs connaissent et possèdent des adresses IP, mais ils ont également des adresses MAC. Il s'agit de l'adresse MAC qui est initialement placée sur les paquets nécessitant un routage. (Les adresses MAC ne quittent jamais le sous-réseau.)
Vous pouvez voir les adresses IP du routeur dans la colonne Gateway de la sortie de route print
sous Windows. Les destinations qui ne nécessitent pas de routage ont On-link
ici.
Si 2 ordinateurs sont connectés au même réseau local virtuel sur un commutateur et partagent le même masque de sous-réseau, le commutateur doit livrer le paquet sans toucher votre pare-feu ou votre routeur.
Vous pouvez le vérifier en exécutant tracert 192.168.0.X
(en supposant que Windows) et vous devriez voir une route directe vers ce système.
Le chemin de communication serait presque certainementA commutateur B, ne passant pas par le pare-feu et le routeur. En supposant que les postes de travailAetBaient des adresses IP avec le même réseau et le même masque de réseau, ils devraient pouvoir interagir avec aucun routeur impliqué, car le commutateur sait transférer paquets. Vous devriez pouvoir vérifier qu'il n'y a pas de sauts intermédiaires entreAetBen exécutant traceroute ip_address_of_B
à partir d'une invite de commande surA. (Sous Windows, la commande serait tracert
au lieu de traceroute
.)
Cela dit, les scénarios alternatifs sont possibles , mais moins probables.
Auparavant, avant la prédominance des commutateurs Ethernet, il existait des concentrateurs Ethernet. Les concentrateurs fonctionnent de la même manière, sauf qu’ils dupliquent et acheminent de manière incohérente les paquets Ethernet entrants par l’intermédiaire de chacun des ports du concentrateur, au lieu de sortir du port approprié comme le ferait un commutateur. Si vous aviez un concentrateur au lieu d'un commutateur, le routeur verrait (et ignorerait) tout le trafic entreAetB. Bien sûr, ce transfert de paquets sans discernement crée beaucoup de trafic inutile et les concentrateurs Ethernet sont rares aujourd'hui.
Un autre scénario possible (mais peu probable) est que le commutateur puisse être configuré pour effectuer l'isolation de port . Cela forcerait le trafic de chaque poste de travail à passer par le routeur. Vous voudrez peut-être faire cela si vous considérez que les postes de travail sont hostiles les uns aux autres - par exemple, les ports d'une bibliothèque publique ou dans des chambres d'hôtel séparées - et que vous ne voulez pas qu'ils puissent communiquer directement du tout. Dans un environnement de bureau, cependant, il est très peu probable que votre administrateur réseau l'ait configuré de cette manière.
Pour répondre à votre question en termes simples, le réseau doit naturellement faire ce qu'il faut dans votre cas. Cependant, il pourrait être délibérément reconfiguré pour faire une "bonne chose" différente. En corollaire, il pourrait également être mal configuré de faire une bêtise par inadvertance.
Les autres réponses sont correctes. Donc, dans l’intérêt de la confirmation, je vous suggère de l’essayer et de le découvrir.
tracert ou traceroute ou tracepath ou mtr d’un hôte à un autre.
Saisissez un ordinateur de rechange (c’est-à-dire non productif) et attribuez-lui une adresse IP de 192.168.166.x/24 ou 255.255.255.0 et une passerelle de 192.168.166.1
Vous devez configurer votre pare-feu de manière à ce que son adresse IP secondaire de 192.168.166.1/24 soit identique à celle de votre réseau local. Veillez à ne pas interrompre votre trafic de production LAN pour le moment. Cela dépend exactement du système d’exploitation de votre pare-feu.
Il est également possible que vous deviez modifier ou étendre les règles de pare-feu pour l'interface de réseau local.
Le chemin doit être 166machine-switch-firewall-switch-0machine (mais vous ne verrez pas le commutateur dans traceroute car les commutateurs Ethernet sont situés au niveau couche 2 et que traceroute est défini sur ICMP au niveau couche3.
Notez que ceci s'appelle un réseau "en superposition" et n'apporte aucune sécurité supplémentaire. Ce n'est pas une DMZ, il n'y a pas d'isolation et ne masque pas le réseau 166 du réseau 0.