Implicações da máscara de sub-rede / gateway incorretamente configurados

0

Eu fiz recentemente uma atualização em um Cisco 2520. Como parte da atualização, o SVI foi adicionado ao switch para permitir que uma VLAN seja roteada localmente, o que foi feito anteriormente em outro switch (por meio de um tronco). O SVI tinha os seguintes parâmetros:

Rede Addr: 192.168.65.96 Máscara de sub-rede: 255.255.255.248 SVI Addr: 192.168.65.102

Havia dois dispositivos nessa sub-rede e, quando a alteração foi feita, os dois dispositivos ainda podiam se comunicar com a rede remota, embora o gateway padrão e a máscara de sub-rede fossem 192.168.65.1 / 255.255.255.0, respectivamente.

Em seguida, durante o monitoramento, perdi as comunicações para um dos dispositivos, mas o outro permaneceu on-line. Resolvi o problema configurando corretamente o gateway Subnet Mask e Default em ambos os dispositivos, mas fiquei me perguntando se alguém poderia explicar por que consegui me comunicar com um dispositivo e não com o outro, embora os dois dispositivos tenham configurado máscaras sunet / gateways padrão incorretamente?

Obrigado!

    
por A.Cogan 16.04.2018 / 13:10

1 resposta

2

Geralmente, os hosts seguem uma regra básica ao decidir para onde enviar pacotes (na camada L2 / MAC):

  • O IP de destino está na mesma sub-rede? (de acordo com minha máscara de rede)
    • Se sim, resolva seu MAC (via ARP) e envie o pacote diretamente para esse host.
    • Se não, resolva o MAC do gateway e envie o pacote através desse gateway.

Portanto, a configuração incorreta do gateway pode passar despercebida porque:

  • Se os dois hosts estiverem na mesma sub-rede (de acordo com a máscara de rede do outro), o endereço IP do gateway não será usado. Pode até ser desfeito.

A configuração incorreta da máscara de rede (ou tamanho do prefixo) pode ter esses resultados:

  • Se a máscara de rede for mais ampla do que deveria ser (ou seja, o tamanho do prefixo é menor), os hosts da mesma sub-rede ainda poderão se comunicar, porque "Mesma sub-rede?" verifique ainda não falhará.

    No entanto, irá impedir comunicações com hosts que a máscara de rede cobre, mas não deve, porque o host tentará resolver um endereço que esteja fisicamente em outro local. (Devido à máscara de rede incorreta, ele achará que o host de destino é local.)

    Mas as comunicações podem ainda ser possíveis se o gateway implementar o Proxy ARP e responder a essas solicitações ARP em nome do "outro lado". Isso às vezes é feito como parte do isolamento do cliente feito pelos ISPs, ou como uma etapa intermediária na divisão de uma grande sub-rede em vários. (De fato, o proxy ARP foi usado para dividir as redes classful antes que as sub-redes fossem inventadas. )

  • Se a máscara de rede for muito estreita (tamanho do prefixo muito grande), é o oposto: a comunicação dentro da sub-rede será afetada, porque o host pensa erroneamente que precisa use o gateway.

    Note que isso não necessariamente impedirá a comunicação (já que o gateway apenas roteará o pacote de volta para a mesma sub-rede), apenas tornando-o muito menos eficiente.

    (O gateway também pode enviar pacotes de "Redirecionamento" do ICMP informando que existe um caminho direto; alguns sistemas operacionais atualizarão automaticamente sua tabela de roteamento ao receber isso.)

  • A menos que você tenha uma combinação de gateway de rede insuficiente e . Isso impediria completamente as comunicações para os hosts afetados.

Nota: Neste post, "roteador" e "gateway" (sinônimo) referem-se ao nó lógico (que fala IP, contém uma tabela de roteamento e conecta várias redes baseadas em IP) e não para o dispositivo físico. Se você usa um roteador / switch combinado, os dados que passam pelas portas do switch não passam necessariamente pelo núcleo do roteador, portanto, para fins da explicação acima, você deve tratá-lo como dois dispositivos.

    
por 16.04.2018 / 13:31

Tags