Configurando um gateway padrão que está em uma sub-rede diferente

Navegue suas respostas
2

Eu trabalho em uma empresa que usa três sub-redes, 10.0.0.0/16, 10.1.0.0/16 e 10.2.0.0/16. As três sub-redes são conectadas usando switches da camada 3 (10.0.100.200, 10.1.100.200, 10.2.100.200), todas as máquinas em cada sub-rede usam o switch da camada 3 como seu gateway padrão, que direciona o tráfego para o gateway real que atualmente é 10.1.0.2

Eu configurei recentemente um novo gateway em 10.0.0.1 e comecei a testar esse novo gateway. Para meus computadores cliente na sub-rede 10.0.0.0/16, isso não é um problema. Eu simplesmente alterei o gateway padrão atribuído via DHCP para essas máquinas para o novo endereço e o tráfego saiu pelo novo gateway em vez de ir para o switch da camada 3.

Também quero testar isso em outro site, pois temos equipes diferentes em cada prédio que precisam acessar sites diferentes e quero ter certeza de que, antes de mudarmos tudo, cada equipe pode acessar o que precisa fazer seu trabalho.

Então, em uma estação de trabalho Windows na rede 10.2.0.0/16, tentei definir o gateway padrão da máquina como 10.0.0.1, verifiquei para onde o tráfego foi e ele ainda saiu pelo gateway antigo (usando tracert to 8.8.8.8 ele chega lá, mas através do gateway antigo, usando o tracert 10.0.0.1, ele atinge 10.0.0.1). Acredito que a configuração do gateway padrão esteja sendo substituída pela tabela de rota estática nos switches da camada 3.

Estou tentando descobrir se é possível definir uma rota estática nas máquinas em questão para que elas possam direcionar o tráfego do gateway para 10.0.0.1 e evitar que ele seja substituído pelos switches da Camada 3.

Eu usei: 

route add 0.0.0.0 mask 0.0.0.0 10.0.0.1 if 0x2

Isso foi aceito pelo Windows, mas a repetição do meu tracert testa que o tráfego ainda passa pelo gateway antigo. Eu estava esperando que eu pudesse fazer: 

route add 0.0.0.0 mask 0.0.0.0 10.0.0.1 if 0x2
route add 10.0.0.1 mask 0.0.0.0 10.0.100.200 if 0x2
route add 10.0.100.200 mask 0.0.0.0 10.2.100.200 if 0x2

Mas isso também falhou, executando o segundo e o terceiro comandos do Windows relatados: 

The route addition failed: The specified mask parameter is invalid. (Destination & Mask) != Destination.

Então sei que os comandos que estou executando não funcionarão, mas é possível forçar o Windows a direcionar seu tráfego através dos switches da camada 3 para meu novo gateway ou estou em uma pesquisa infrutífera?

Se eu precisar alterar as rotas estáticas nos switches da camada 3 eu não me importo de fazer isso, eu tenho uma janela de manutenção planejada no domingo de qualquer maneira, então eu posso fazer alguns ajustes. Eu prefiro não fazer isso durante o horário de trabalho, por razões óbvias.

Apenas para esclarecer os links entre sites, cada switch da camada 3 tem as seguintes conexões: 

gateway     , fibre link 1, fibre link 2
10.0.100.200,             , 192.168.10.1
10.1.100.200, 192.168.20.1, 192.168.10.2
10.2.100.200, 192.168.20.2,

Então, para que meu tráfego chegue a 10.0.0.1 de 10.2.249.28 (minha máquina de teste), ele precisa passar por 10.2.100.200 > 192.168.20.1 > 192.168.10.1 > 10.0.0.1

Os switches da camada 3 em questão são o Netgear FSM7326P e o GSM7328FS.

Se, como estou começando a suspeitar, não posso fazer isso configurando as rotas estáticas dentro do Windows, é possível definir uma rota estática para endereços IP individuais nos switches da camada 3? Atualmente estou testando que eu só quero o tráfego de 3 ou 4 máquinas que configurarei para testar o novo gateway, por enquanto, eu quero que todo o outro tráfego continue a fluir como antes.

    
por Rumbles 29.04.2015 / 15:36

2 respostas

2

Um gateway padrão em um sistema define qual endereço em seu domínio de transmissão local para enviar dados para endereços que estão fora das sub-redes diretamente conectadas. Como 10.0.0.1 está fora de 10.2.0.0/16, um host em 10.2.0.0 ainda precisa saber qual endereço dentro de 10.2.0.0 enviar os pacotes para que ele seja encaminhado. Uma vez que o pacote atinge o gateway dentro de 10.2.0.0, então cabe a esse gateway como lidar com ele.

As rotas estáticas criativas baseadas em listas de controle de acesso podem ser possíveis, dependendo do seu equipamento de rede.

Na minha opinião, sua melhor aposta seria conectar o novo roteador / gateway (10.0.0.1) às outras sub-redes. Dependendo do hardware que você está usando, você pode fazer isso com links físicos adicionais ou com um protocolo de entroncamento mutuamente compatível. Depois de ter o seu novo gateway conectado a todas as três sub-redes, você poderá conectar manualmente os outros computadores para testar.

Dito isso, estou confuso sobre o que exatamente você está testando que requer que todos os três / 16s possam escolher vários gateways. Se você quer apenas ter certeza de que funciona, seu teste inicial de sub-rede parece confirmar isso.

    
por 29.04.2015 / 16:08
0

Como você está usando o Windows, isso é problemático. Sob o Linux do FreeBSD não é um problema.

O Windows Server 2012 R2 eo Windows 8.1 têm os cmdlets powershell para permitir o acesso direto fora da sub-rede, o "Get-NetOffloadGlobalSetting" mostra o estado atual e "Set-NetOffloadGlobalSetting-NetworkDirectAcrossIPSubnets" permite configurar o valor. p>

O Althought PowerShell entende a sintaxe das "NetworkDirectAcrossIPSubnets" nos sistemas operacionais do cliente, esse recurso está disponível apenas para servidores, configurando-o em um sistema operacional cliente, o que gerará um erro.

Se você tiver um servidor com Windows Virtual machines que precise acessar um gateway fora de sua própria sub-rede e não puder usar os NetworkDirectAcrossIPSubnets, poderá instalar outra máquina virtual com um roteador que esteja sendo executado em um sistema operacional unixlike, por exemplo. pfSense - pode ter vários endereços fora da sub-rede, desde que pelo menos um endereço esteja na mesma sub-rede que um gateway e possa fazer NAT de 1: 1 para suas máquinas virtuais do Windows.

    
por 27.05.2017 / 18:43

Tags

Política de grupo e o Site do Internet Explorer para problemas de atribuição de zona? melhor prática para uma estratégia de encerramento do servidor com processos críticos