Recentemente fiz uma atualização em um Cisco 2520. Como parte da atualização, o SVI foi adicionado ao switch para permitir que uma VLAN roteasse localmente, o que era feito anteriormente em outro switch (por meio de um tronco). O SVI teve os seguintes parâmetros;
Endereço de rede: 192.168.65.96 Máscara de sub-rede: 255.255.255.248 Endereço SVI: 192.168.65.102
Havia dois dispositivos nesta sub-rede e, quando a alteração foi feita, ambos os dispositivos ainda conseguiam se comunicar com a rede remota, embora o gateway padrão e a máscara de sub-rede fossem 192.168.65.1/255.255.255.0, respectivamente.
Depois disso, durante o monitoramento, perdi a comunicação com um dos dispositivos, mas o outro permaneceu online. Retifiquei o problema configurando corretamente a máscara de sub-rede e o gateway padrão em ambos os dispositivos, mas gostaria de saber se alguém poderia explicar por que consegui me comunicar com um dispositivo e não com o outro, embora ambos os dispositivos tivessem configurado incorretamente máscaras de sunet/gateways padrão?
Obrigado!
Responder1
As máscaras de rede (máscaras de sub-rede) não fazem parte do endereço IP e não vão a lugar nenhum no cabeçalho IP; um pacote endereçado a "192.168.65.96" ainda é endereçado a "192.168.65.96", independentemente da máscara de rede usada.
Em vez disso, as máscaras de rede funcionam como uma forma derotas, e eles são usados apenas ao enviar pacotes, mas não ao recebê-los – ou seja, um host com uma máscara de rede configurada incorretamente ainda poderá receber pacotes, mas poderá não conseguir enviá-los corretamente.
Ao enviar pacotes, a máscara de rede é verificada para determinarse o endereço IP de destino está na mesma sub-redecomo o host de envio:
Se a origem e o destino estiverem na mesma sub-rede, isso significa que é possível enviar pacotes diretamente no nível MAC ("camada 2")sem usar um gateway, e o remetente usará ARP para resolver diretamente o endereço IP para o endereço MAC do destinatário.
Portanto, se ambos os hosts estiverem na mesma sub-rede (de acordo com a máscara de rede um do outro), não importa se o endereço do gateway está configurado incorretamente porque um gateway não é necessário nessa situação.
Se eles estãonãona mesma sub-rede, será necessário um gateway e o remetente usará ARP para encontrar o endereço MAC do gateway.
Portanto, uma máscara de rede mal configurada afetará apenas as comunicações com os endereços para os quais fornece resultados errados para a "Mesma sub-rede?" teste.
Se sua máscara de rede formuito amplo(comprimento do prefixo muito curto) e cobre mais endereços do que deveria, você não poderá mais enviar pacotes para os endereços que a máscara de rede inclui acidentalmente (mas que não são realmente "locais" para sua sub-rede).
Ao tentar enviar pacotes para esses endereços, seu host tentará resolvê-los via ARP como se fossem locais, mesmo que não sejam, ou seja, as solicitações ARP não os alcançarão.
Por exemplo, se você estiver na sub-rede 192.168.1.0/24, mas configurar acidentalmente sua máscara de rede como /16 (255.255.0.0), perderá a comunicação com o restante da 192.168.xx (embora ainda consiga acessar 192.168.1.x como antes).
(Embora as comunicaçõespoderiaainda será possível se o seu gateway implementar 'Proxy ARP' e responder a essas solicitações ARP em nome do "outro lado" - isso às vezes é feito pelos ISPs como 'isolamento do cliente' ou como uma etapa intermediária na divisão de uma grande sub-rede. Na verdade, o Proxy-ARP foi usado para dividir grandes redes de classes antes da invenção das sub-redes.)
De qualquer forma, você ainda poderá se comunicar com hosts locais que estão realmente em sua sub-rede, bem como com hosts remotos que a máscara de rede errada não cobre, então isso pode passar despercebido por um tempo.
Se a máscara de rede formuito estreito(comprimento do prefixo muito longo) e não cobre os endereços que deveria, então você terá o resultado oposto - talvez você não consiga se comunicar com a parte da sua sub-rede que a máscara de rede exclui acidentalmente, porque seu host acha que precisa passar por um gateway para esses endereços.
Se láéum gateway, então ele pode simplesmente rotear pacotes de volta para a mesma sub-rede, e as coisas ainda funcionarão – apenas de forma muito ineficiente. O gateway também pode enviar pacotes de "Redirecionamento" ICMP, informando que existe um caminho mais direto, e seu sistema operacional pode atualizar automaticamente sua tabela de roteamento para permitir comunicações diretas novamente. Portanto, a configuração incorreta pode passar despercebida por muito tempo.
Mas se a máscara de rede for muito estreitaeo gateway estiver errado, então você não conseguirá enviar pacotes para esses endereços – seu host tentará direcioná-los através do gateway inexistente.
Em ambas as situações, os únicos destinos afetados são aqueles para os quais as máscaras de rede “corretas” e “erradas” dão resultados diferentes.