Ich habe vor Kurzem ein Upgrade auf einem Cisco 2520 durchgeführt. Im Rahmen des Upgrades wurde dem Switch ein SVI hinzugefügt, um ein lokales Routing eines VLAN zu ermöglichen, was zuvor auf einem anderen Switch (über einen Trunk) erfolgte. Das SVI hatte die folgenden Parameter:
Netzwerkadresse: 192.168.65.96 Subnetzmaske: 255.255.255.248 SVI-Adresse: 192.168.65.102
In diesem Subnetz befanden sich zwei Geräte und als die Änderung vorgenommen wurde, konnten beide Geräte weiterhin mit dem Remote-Netzwerk kommunizieren, obwohl das Standard-Gateway und die Subnetzmaske jeweils 192.168.65.1 bzw. 255.255.255.0 lauteten.
Anschließend verlor ich während der Überwachung die Verbindung zu einem der Geräte, das andere blieb jedoch online. Ich behob das Problem, indem ich die Subnetzmaske und das Standard-Gateway auf beiden Geräten richtig konfigurierte, aber ich frage mich, ob mir jemand erklären kann, warum ich mit einem Gerät kommunizieren konnte und mit dem anderen nicht, obwohl beide Geräte falsch konfigurierte Subnetzmasken/Standard-Gateways hatten?
Danke!
Antwort1
Netzmasken (Subnetzmasken) sind nicht Teil der IP-Adresse und erscheinen nirgendwo im IP-Header. Ein an „192.168.65.96“ adressiertes Paket ist unabhängig von der verwendeten Netzmaske immer noch an „192.168.65.96“ adressiert.
Stattdessen fungieren Netzmasken als eine ArtRouten, und sie werden nur beim Senden von Paketen verwendet, nicht aber beim Empfangen – d. h. ein Host mit einer falsch konfigurierten Netzmaske kann zwar noch immer Pakete empfangen, diese aber möglicherweise nicht korrekt senden.
Beim Senden von Paketen wird die Netzmaske überprüft, um festzustellenob sich die Ziel-IP-Adresse im selben Subnetz befindetals sendender Host:
Wenn sich Quelle und Ziel im selben Subnetz befinden, ist es möglich, Pakete direkt auf MAC-Ebene („Schicht 2“) zu senden.ohne Verwendung eines Gateways, und der Absender verwendet ARP, um die IP-Adresse direkt in die MAC-Adresse des Empfängers aufzulösen.
Wenn sich also beide Hosts im selben Subnetz befinden (entsprechend der Netzmaske des jeweils anderen), spielt es keine Rolle, ob die Gateway-Adresse falsch konfiguriert ist, da in dieser Situation kein Gateway erforderlich ist.
Wenn sienichtim selben Subnetz, dann ist ein Gateway erforderlich und der Absender verwendet stattdessen ARP, um die MAC-Adresse des Gateways zu finden.
Eine falsch konfigurierte Netzmaske beeinträchtigt daher nur die Kommunikation mit den Adressen, für die der Test „Gleiches Subnetz?“ falsche Ergebnisse liefert.
Wenn Ihre Netzmaskezu umfassend(Präfixlänge zu kurz) und mehr Adressen abdeckt als es sollte, dann können Sie keine Pakete mehr an die Adressen senden, die die Netzmaske versehentlich einschließt (die aber in Wirklichkeit nicht „lokal“ in Ihrem Subnetz sind).
Beim Versuch, Pakete an solche Adressen zu senden, versucht Ihr Host, sie über ARP aufzulösen, als wären sie lokal, obwohl dies nicht der Fall ist, d. h. die ARP-Anfragen erreichen sie nicht.
Wenn Sie sich beispielsweise im Subnetz 192.168.1.0/24 befinden, Ihre Netzmaske jedoch versehentlich als /16 (255.255.0.0) konfigurieren, geht die Kommunikation mit dem Rest von 192.168.xx verloren (Sie können 192.168.1.x jedoch noch wie zuvor erreichen).
(Obwohl KommunikationMaiimmer noch möglich, wenn Ihr Gateway „Proxy ARP“ implementiert und diese ARP-Anfragen im Namen der „anderen Seite“ beantwortet – dies wird tatsächlich manchmal von ISPs als „Client-Isolierung“ oder als Zwischenschritt bei der Aufteilung eines großen Subnetzes durchgeführt. Tatsächlich wurde Proxy-ARP verwendet, um große klassenbasierte Netzwerke aufzuteilen, bevor Subnetting erfunden wurde.)
In jedem Fall können Sie weiterhin mit lokalen Hosts kommunizieren, die sich tatsächlich in Ihrem Subnetz befinden, sowie mit Remote-Hosts, die von der falschen Netzmaske nicht abgedeckt werden. Dies kann also eine Zeit lang unbemerkt bleiben.
Wenn die Netzmaskezu schmal(Präfixlänge zu lang) und deckt nicht die Adressen ab, die es abdecken sollte, dann ist das gegenteilige Ergebnis zu erwarten: Sie können möglicherweise nicht mit dem Teil Ihres Subnetzes kommunizieren, den die Netzmaske versehentlich ausschließt, weil Ihr Host denkt, dass er für diese Adressen über ein Gateway gehen muss.
Wenn esIstein Gateway, dann kann es Pakete einfach an dasselbe Subnetz zurückleiten und alles funktioniert weiterhin – nur sehr ineffizient. Das Gateway kann Ihnen auch ICMP-Umleitungspakete senden, die Sie darüber informieren, dass ein direkterer Pfad existiert, und Ihr Betriebssystem kann seine Routing-Tabelle automatisch aktualisieren, um die direkte Kommunikation wieder zu ermöglichen. Die Fehlkonfiguration kann also sehr lange unbemerkt bleiben.
Wenn die Netzmaske jedoch zu schmal istUndDas Gateway ist falsch, dann können Sie überhaupt keine Pakete an diese Adressen senden – Ihr Host wird versuchen, sie durch das nicht vorhandene Gateway zu leiten.
In beiden Situationen sind nur diejenigen Ziele betroffen, für die die „richtige“ und die „falsche“ Netzmaske unterschiedliche Ergebnisse liefern.