我最近對 Cisco 2520 進行了升級。 SVI 具有以下參數;
網路位址:192.168.65.96 子網路遮罩:255.255.255.248 SVI 位址:192.168.65.102
此子網路上有兩台設備,進行變更後,即使預設閘道和子網路遮罩分別為 192.168.65.1 / 255.255.255.0,兩台設備仍能與遠端網路通訊。
隨後,在監控時,我與其中一台設備失去了通信,但另一台設備仍然在線。我透過在兩台設備上正確配置子網路遮罩和預設網關來糾正該問題,但我想知道是否有人可以解釋為什麼我能夠與一台設備通信而不能與另一台設備通信,即使兩台設備都錯誤配置了sunet 遮罩/預設網關?
謝謝!
答案1
網路遮罩(子網路遮罩)不是 IP 位址的一部分,也不位於 IP 標頭中的任何位置;無論使用什麼網路掩碼,尋址到「192.168.65.96」的資料包仍然尋址到「192.168.65.96」。
相反,網路遮罩作為一種形式工作路線,並且它們僅在發送資料包時使用,但在接收時不使用 – 即配置了錯誤網路遮罩的主機仍然能夠接收資料包,但可能無法正確傳送資料包。
發送資料包時,檢查網路遮罩以確定目的IP位址是否在同一子網路作為發送主機:
如果來源和目標都在同一子網路中,則表示可以直接在 MAC 層級(「第 2 層」)傳送封包不使用網關,發送方將使用ARP直接將IP位址解析為接收方的MAC位址。
因此,如果兩台主機位於同一子網路內(根據彼此的網路遮罩),那麼網關位址設定錯誤也沒關係,因為在這種情況下不需要網關。
如果他們是不是在同一子網路中,則需要網關,發送者將使用 ARP 來尋找網關的 MAC 位址。
因此,錯誤配置的網路遮罩只會影響與那些給予「同一子網路?」給予錯誤結果的位址的通訊。測試。
如果您的網路遮罩是太寬泛(前綴長度太短)並且覆蓋的位址比應有的多,那麼您將無法再將封包傳送到網路遮罩意外包含的位址(但這些位址實際上不是您的子網路的「本機」位址) 。
當嘗試將封包傳送到此類位址時,您的主機將嘗試透過 ARP 解析它們,就好像它們是本機位址一樣,即使它們不是本機位址,即 ARP 要求不會到達它們。
例如,如果您位於 192.168.1.0/24 子網路中,但不小心將網路遮罩配置為 /16 (255.255.0.0),您將失去與 192.168.xx 其餘子網路的通訊(儘管您仍然能夠存取192.168 .1.x 和以前一樣)。
(雖然通訊可能如果您的網關實施「代理 ARP」並代表「另一方」應答這些 ARP 請求,仍然是可能的——這實際上有時由 ISP 作為「客戶端隔離」或作為分割大型子網路的臨時步驟來完成。事實上,在子網路分割發明之前,Proxy-ARP 就被用來分割大型有類網路。
無論哪種方式,您仍然能夠與實際位於子網路中的本地主機以及錯誤網路遮罩未覆蓋的遠端主機進行通信,因此這可能會暫時被忽略。
如果網路遮罩是太窄(前綴長度太長)並且沒有覆蓋應有的地址,那麼您會得到相反的結果 - 您可能無法與網絡掩碼意外排除的子網部分進行通信,因為您的主機認為它需要通過這些地址的網關。
如果有是一個網關,那麼它可能只是將資料包路由回同一個子網,並且一切仍然可以工作 - 只是效率非常低。網關也可能會向您發送 ICMP「重定向」封包,通知您存在更直接的路徑,並且您的作業系統可能會自動更新其路由表以允許再次進行直接通訊。因此,錯誤配置可能會在很長一段時間內被忽略。
但如果網路遮罩太窄和網關錯誤,那麼您將根本無法將封包傳送到這些位址 - 您的主機將嘗試透過不存在的閘道引導它們。
在這兩種情況下,唯一受影響的目標是「正確」和「錯誤」網路遮罩給出不同結果的目標。