Тема 12. Маршрутизация. Как работает маршрутизатор.

Спасибо за отзыв!

Спасибо! Вот по этому я всегда заставляю студентов при практиках иметь перед собой распечатанную схему соединений, а иначе в голове тяжело собрать картинку! Иногда полезно и просто рисовать маршруты прям на схеме.

Вероятно вы имеете ввиду пример с использованием двух сетей на одном интерфейсе компьютера, да опасность поймать в своей сети DHCP сервер или нового root по STP есть, но надо понимать что это лишь пример.
Если же говорить о обсуждении L2, мы уделяем максимальное внимание как включать всё чтоб ничего не положить, а в практиках по STP студенты каждый год кладут стенд петлями (переключают разные типы протоколов STP и ошибаются), аналогично со switch картами в маршрутизаторах, ну и иногда с LAG.

спасибо за отзыв! ну возможно когда-то и будут платные практики.

@@Networkisreachableя бы вписался на обучение 👍

@@anton_worobey Очень скоро будут анонсированы мои практики по Cisco.

Пожалуйста!

Ну мы и разбираем, во всех лекциях и практиках я обращаю внимание на этот момент, с шлюзом по умолчанию. Сам помню как также когда-то недоумевал, и пытаюсь прояснить эти моменты.

Рекомендую ознакомится с ключом windows IpEnableRouter, с параметром net.ipv4.ip_forward в linux, и командой ip routing на некоторых устройствах cisco.

@@Networkisreachable так я про эти параметры и говорю. Именно эти параметры и включают приëм чужих пакетов системой. По поводу параметра Cisco - это активация L3 на L2 устройствах

@@SsergeySav Что значит чужие пакеты?

@@Networkisreachable Кадр ломится на мак маршрутизатора, но IP адресованы не этой системе. Вот именно такие кадры по умолчанию отбрасываются. Маршрутизация - неотъемлем часть стека IP.

@@SsergeySav С логикой вашей тогда согласен. Даже просто хост маршрутизирует пакеты отсылая их по дефолту. Но вернемся к вышеназванным параметрам и пакету направляемому на неизвестный IP. Без установки этих опций будет работать хост как маршрутизатор? Или всё таки эту функцию (работы в качестве маршрутизатора) нужно включить?

В самом заголовке l2 кадра нет ip, но если он несет ip пакет то ip адрес будет указан уже в самом пакете. Arp будет использоваться л3 коммутатором, если в этом вилане у него svi интерфейс.

Вы верно подметили, чтоб ходить на 32 и 33 можно использовать маску /31. Когда вы отписываете маршрут, 32 - будет таким же адресом к которому можно обратиться не взирая что это адрес сети.

@@Networkisreachable Т.е. обращение к адресу сети работает немного по-разному в зависимости от места применения и задействованного оборудования? Задать IP адрес сети на узле нельзя (логично), но если адрес узла станет адресом сети в рамках некой команды, то обратиться к узлу можно.
Получается у масок два назначения:
1) деление диапазона адресов на постоянные подсети (эти настройки централизованные и определяют какие параметры IP, mask и GW задаются на узлах сети/подсети);
2) определение диапазона идущих подряд IP адресов в рамках некой команды/функции (на организацию сети не влияет, но обрабатывается сетевым оборудованием как и деление на постоянные подсети).

@@svetlanapogodina2199 Вы очень верно поделили их на эти две группы (как и было отмечено в лекции по адресации): 1.VLSM (это когда мы режем физические сети) и 2. CIDR когда мы используем маски чтоб адресовать пространство при маршрутизации.
И напомню что среди физических сетей существует пара исключений: loopback /32 (он же сеть и он же одинокий хост) , /31 (RFC 3021) многое сетевое оборудование умеет на линках точка-точка использовать такую сетку, в ней первый адрес он же сеть и он же первый хост. Остальные маски упускают первый адрес под номер сети.

@@Networkisreachable Спасибо большое за подробный ответ! Получается что если в маршруте нужно указать диапазон более 2 адресов - необходимо будет учитывать обычный принцип работы маски (когда первый адрес определен под адрес сети, а последний - под бродкаст)?
Извините, что по несколько раз одно и то же спрашиваю - хочу сразу разобраться, пока вопрос не забылся и не остался в памяти в неправильном понимании.

@@svetlanapogodina2199 нет, если вы пишете маршрут на х.х.0.8/29 то вы сможете сласть пакеты на адреса с 8 по 15ый. Физически возможно это сеть 0.0/24 и вам там ответят все 8 хостов (8-15, если они есть), а может это сеть 0.8/29 и тогда адрес 8 просто не будет занят хостом а 15 используется как бродкаст (реально будут существовать 9-14). А возможно физически в этом пространстве сетка 0.8/30 и 0.12/30 и реальные хосты там будут 9,10 и 13,14.
Используя запись в таблице маршрутизации вам вообще все равно что там за сети, главное чтоб вы это сами понимали при формировании маршрута. Можно сделать и иначе можно написать маршрут на сеть х.х.0.0/23, а там физически 0.0/24 и 1.0/24 по тому адреса 0.0, 0.255, 1.0, 1.255 не будут принадлежать хостам, но это и не важно.

это просто названия, никакой нагрузки в данном примере они не несут.

Core , ядро или основной с английского. То есть в топологии он будет главным, грубо говоря.

Если протоколы указаны все и сегменты тоже все, то это равносильно его отключению. При использовании брандмауэра или фаервола внутри сети, вы должны точно понимать кого, куда и по каким протоколам пускать и не пускать. В случае корпоративной сети более логично выглядит настойка ACL для разных подсетей или выделение под эту задачу фаервола (если параметры фильтрации сложные или их очень много), иначе вам придётся накатывать через AD разные политики по брандмауэру для разных подсетей.

@@Networkisreachable перечитаю ваш комментарий когда посмотрю ваш курс) может больше пойму) а то предприятие практически с нуля разбирается во всём этом. Пару лет назад все сидели просто через 100мб неуправляемые коммутаторы в интернете разрабатывая оборудования для межконтинентальных ракет и ракетоносителей, а сейчас уже хотя бы тупо физически разделили локалку и интернет, кому нужен интернет ставят отдельный ПК... Vlan'ов штук 10-11 на 500+ ПК, оборудование заменили на 1gb, но в локалке брандмауэры выключены и контроль учётных записей тоже, сервера на 775 сокете некоторые, потихоньку и их обновляем, но до более менее приличной сети ещё долеко, почему то вариант нанять сетевого инженера не рассматривают. Я вообще пришёл ПК обслуживать, а теперь сервер файловый надо ставить и в домен всех загонять... Приходится разбираться. А брандмауэр лучше на отдельном маршрутизаторе настраивать? Чтобы ПК с разных подсетей работали нормально, или со своим штатным брандмауэром, или всё равно будет проблема с невидимостью ПК в разных подсетях. Нужен ли вообще брандмауэр если локальная сеть подключена физически отдельно от глобальной? (Понимаю что нужна, розетки то там сям свободные есть, спасает пока что отсутствие dhcp, но подобрать свободный ip можно перебором) столько вопросов... Ну и если на все вопросы будут ответы добавлю последний, адекватно физически разделять локалку и инет или это временный выход пока нормального сетевого экрана нет?

@@user-hf8rr8rt4i 1. Разделять глобальную сеть и локальную обязательно, но я очень сомневаюсь что у вас в одном сегменте живут компьютеры с белыми и серыми адресами. Скорее вы имеете ввиду разграничение сетей с выходом в интернет и без него, это уже зависит от политики безопасности для данного предприятия.
2. Разделения доступа из сети в сеть лучше делать на сетевом оборудовании (ещё лучше если в одной точке), т.к. как вы заметили, если включить пк не с AD, то он сможет ходить куда захочет.
3. Задача ограничения подключения к свободным портам решается методами port secutiry и 802.1х
4. IP адрес в сети без DHCP можно подобрать не перебором, а послушав пакеты wireshark. Кстати о птичках, DHCP тоже нужно защищать (dhcp snooping), и решить вопрос будет ли он на сетевой железке или на сервере.

@@Networkisreachable 1. Да, с выходом и без.
2. С доменом я так понимаю безопасность по выше?
3. Принял
4. Хорошо почитаю
Спасибо

@@user-hf8rr8rt4i Важно понять одно: брендмауэр пк, он экранирует только пк, но никак не влияет на безопасность сети в целом. И делает он это с доменом или нет, в зависимости от его настроек.

Всегда так,у всех вендоров. Встречал только иногда что все vlan int у L3 коммутаторов все имеют один мак.

Спасибо большое за ответ и за Ваши видео, очень хорошо объясняете и интересно!@@Networkisreachable

Это обсуждается вот в этом ролике ruclips.net/video/pf60znSIlg0/видео.html МСЭ использует технологию NAT, proxy это протокол позволяющий запрашивать страницы для вас из под своего соединения.

в маленькой конторе - десятки маршрутов, в крупной - сотни, у провайдера тысячи (я о серых сетях), если это маршрутизаторы провайдеров фул вью то все маршруты интернета, их сейчас около 1млн. тут ещё нужно учитывать что если линков full view несколько то умножаем на количество, т.к. общая таблица будет содержать их всех.

@@Networkisreachable то есть, маршрутизаторам, которые содержат маршруты до всех хостов, шлюз по умолчанию не нужен?

В общем да, это обычно провайдерские маршрутизаторы с full view bgp таблицей маршрутизации.@@northern_man_

@@Networkisreachable спасибо за информацию

@@Networkisreachable Наконец-то понял, как сформулировать вопрос. Далёкие подсети, которые мы суммируем в таблице маршрутизации, обязательно должны быть соседними друг с другом, или они могут просто находиться "неподалеку друг от друга"? Или как это вообще работает?

Разобрали ваш вопрос.

@@Networkisreachable да, очень хороший преподаватель, спасибо