web-dev-qa-db-ja.com

同じネットワーク上の2つの異なるサブネット間の相互作用を理解しようとしています

10.0.0.0/8ネットワークを2つの部分に分割しています。 DHCPサーバーは、クラスAマスク(10.0.0.10)を使用してアドレス10.0.0.150255.0.0.0に配布します。これは、ネットワークの私の「ゲスト」部分です。

許可されたネットワークユーザーは、クラスAマスクを使用して10.100.0.10から10.100.0.250の範囲のアドレスを持つDHCPサーバーを予約しています。
ネットワーク上のファイルサーバーのIPアドレスは10.100.0.1で、クラスBマスク(255.255.0.0)があります。

  • 「ゲスト」ネットワークと「承認済み」ネットワークの両方のデバイスは、すべて相互に認識できます。
  • 「承認された」ネットワークはファイルサーバーを見ることができます。
  • 「ゲスト」ネットワークはファイルサーバーを認識できません。

これはこれまでのところかなりうまくいっていますが、私のクラスのインストラクターはそうすべきではないと誓っています。サブネットマスクが異なるPCは相互に通信できないはずだと、いくつかの場所で読んだことがあります。

サブネットマスクが異なっていても、「承認済み」ネットワークPCがファイルサーバーに正常にアクセスできる理由を誰かが理解するのを手伝ってもらえますか?

9
Jared

サブネットマスクの理論は、IPアドレスのどの部分がネットワークアドレスであり、IPアドレスのどの部分がホストアドレスであるかを定義するというものです。

10.100.0.1- IPアドレス;

255.0.0.0-サブネットマスク;

10-ネットワークアドレス、100.0.1-ホストアドレス。

同じサブネット内のホストは、相互に直接通信できます。つまり、ホストAとBが同じサブネット内にあり、AがBと通信する場合、AはトラフィックをBに直接送信します。ホストAが別のサブネットにあるホストCと通信する場合、Aは次のようになります。このトラフィックを、別のネットワークに到達する方法を(うまくいけば)知っているゲートウェイにルーティングします。したがって、トラフィックの送信先を定義するのはホスト次第です。

  1. ホストに直接(2番目のホストは同じサブネット内にあります)
  2. ゲートウェイへ(2番目のホストは別のサブネットに属しています)

あなたの場合、あなたの「許可された」クライアントはIPアドレス10.100.0.10 - 10.100.0.250を持っています(サブネットマスクは255.0.0.0だと思います)。サーバーのIPアドレスは10.100.0.1です。 「承認済み」範囲のホストに対して、このサーバーは同じサブネットにあります。

「承認済み」範囲のホスト10.100.0.10がサーバーと通信する場合、最初にこのサーバーが同じサブネット内にあるかどうかを確認します。サブネットマスク10.100.0.10を持つホスト255.0.0.0の場合、同じサブネットは10.0.0.1 - 10.255.255.254の範囲内のすべてのホストになります。サーバーのIPアドレスはたまたまこの範囲にあります。このため、「承認済み」範囲のホストはサーバーに直接到達しようとし、(同じレイヤー2ネットワーク上にあると仮定して)この試行は成功します。

この場合、サーバーのサブネットマスクが異なっていても、サーバーはより大きなサブネット(「承認済み」クライアントのサブネットでもあります)に配置されます。サーバーのIPアドレスの2番目のバイトが異なる場合(たとえば、10.150.0.1)、サーバーの観点からは、「承認済み」の範囲からホストに応答できませんになります。 「許可された」範囲は別のサブネットのように見え、サーバーはルーターにトラフィックを送信する必要があります。ルーターがない場合、通信はありません。

ネットワークを「ゲスト」と「承認済み」の部分に分離する場合は、重複しない異なるサブネットに配置する必要があります。

例えば:

  1. 「ゲスト」-10.10.0.1、サブネットマスク255.255.0.0
  2. 「承認済み」-10.20.0.1、サブネットマスク255.255.0.0

サーバーは、IPアドレス10.20.0.100、サブネットマスク255.255.0.0を持つネットワークの「承認済み」部分内に配置されます。

この設定では、サブネットを表すIPアドレスの一部が異なるため、これらのサブネットは互いに効果的に分離されます。

  1. 10.10ゲスト用
  2. 10.20 for Authorized

この時点で、これらのサブネット間の通信は、両方のサブネットにインターフェースを持つルーターを介してのみ可能になります。

また、すべてのコンピューターが同じレイヤー2ネットワークを共有していても、ゲストが「承認済み」の範囲から手動でIPアドレスを割り当てることを妨げるものは何もないことにも言及する価値があります。これにより、効果的に承認済みネットワークの一部になります。

13
VL-80

すべての「承認済み」マシンと「ゲスト」マシンは同じサブネット上にあるため、すべてが互いに到達できるのは当然のことです。

サーバーの制限付きサブネットマスクにより、「承認された」コンピューターのみが同じサブネット上にあると見なされるため、サーバーは直接ARPを実行し、それらに到達できます。

サーバーは、「ゲスト」コンピューターが別のサブネット上にあると見なすため、パケットをデフォルトゲートウェイに送信しようとします(つまり、イーサネットレイヤーで、デフォルトゲートウェイのMACアドレスにアドレス指定します。引き続きアドレス指定されます。 IP層の「ゲスト」コンピュータ)。サーバーにデフォルトゲートウェイが定義されていない場合、またはデフォルトゲートウェイが到達不能または誤って構成されている場合、これらのパケットは「ゲスト」コンピューターに到達できません。

5
Spiff

パケットはLAN範囲外にあるため、デフォルトルーターにパケットを送信します。デフォルトルーターはそれらを宛先に転送し、ICMPリダイレクトを送信元に送信します。 ICMPリダイレクトが機能するかどうかに関係なく、トラフィックは引き続きそこに到達します。

あなたは間違いなくこのように物事をするべきではありません。

3
David Schwartz