Bedeutung des IP-Standard-Gateway-L2-Switches
On November 18, 2020 by admin Was bedeutet der Befehl ip default-gateway
auf einem Cisco L2-Switch? ? Ich habe im Internet etwas darüber gelesen, aber es wurde geschrieben, dass es Ihnen ermöglicht, Telnet an den Switch zu senden. Ich bin ein bisschen verwirrt. Wenn ich Telnet an den Switch senden möchte, stelle ich die IP-Adresse der VLAN 1-Schnittstelle ein und es funktioniert.
Kommentare
- Großartige Erklärung, Ron. Danke tommy
Antwort
tl; dr
Die Switch-Verwaltung kann ohne ein Standard-Gateway nichts an ein anderes Layer-3-Netzwerk senden. Telnet ist ein bidirektionales Protokoll, und der Switch kann ohne das Standardgateway nicht auf den Host antworten, der versucht, die Telnet-Sitzung einzurichten.
Lange Erklärung:
Das Standard-Gateway auf einem Switch hat dieselbe Funktion wie jedes auf einem Host-PC konfigurierte Gateway. Ohne ein Standard-Gateway kann die Switch-Verwaltungsadresse (in Ihrem Fall in VLAN 1, aber in jedem auf dem Switch konfigurierten VLAN) keinen Datenverkehr von seinem Netzwerk an ein anderes Netzwerk senden.
Wenn ein Host ( einschließlich der Switch-Verwaltung), möchte ein Paket an einen anderen Host senden, muss es die Layer-3-Adresse (IP usw.) in die Layer-2-Adresse des anderen Hosts (MAC usw.) auflösen, um es zu erstellen ein Layer-2-Frame.
Der Host (einschließlich der Switch-Verwaltung) sendet eine ARP-Anforderung (Address Resolution Protocol) über einen Broadcast, um die Auflösung durchzuführen. Broadcasts überschreiten keine Layer-3-Grenzen (Router). Der Host (einschließlich der Switch-Verwaltung) kann feststellen, ob sich die Zielschicht-3-Adresse außerhalb seines Netzwerks befindet, da er über eine eigene Schicht-3-Adresse, die Zielschicht-3-Adresse und die Netzwerkmaske seines Netzwerks verfügt. Wenn sich das Ziel befindet In einem anderen Layer-3-Netzwerk sendet der Host (einschließlich der Switch-Verwaltung) den Frame an die Layer-2-Adresse des Gateways.
IPv6 tut dies Im Grunde das Gleiche, aber IPv6 hat keine Broadcasts, daher wird eine spezielle Multicast-Gruppe verwendet, die auf den letzten 24 Bits der IPv6-Adresse basiert. Dies unterbricht nicht jeden Host im LAN und trifft höchstwahrscheinlich nur den Host, für den die Layer-2-Adresse aufgelöst werden soll. Multicast überschreitet auch nicht die Layer-3-Grenzen, es sei denn, es handelt sich um einen Router ist so konfiguriert, dass Multicast weitergeleitet wird (standardmäßig deaktiviert).
Antwort
Die kurze Antwort lautet hier, dass das Standard-Gateway das lokale ist Router, der Datenverkehr zu anderen Netzwerken erhält. Dies ist die Standardmethode, um aus Ihrem Netzwerk auszusteigen.
Denken Sie daran, dass Router Netzwerke verbinden und Switches Netzwerke erstellen. Wenn Sie in einem anderen Netzwerk (nicht Vlan1) ausgeschaltet sind, müssen Sie den Datenverkehr weiterleiten. Zum Beispiel haben Ihr Heim-LAN (xxxx) und Ihr ISP-Netzwerk (JJJJ) einen Router, um sie zu verbinden (üblicherweise als Kabelmodem bezeichnet).
Antwort
Wenn ich Telnet an den Switch senden möchte, lege ich die IP-Adresse der VLAN 1-Schnittstelle fest und es funktioniert.
Ich war auch verwirrt zu wissen, dass ich auf meinem Catalyst 2960 L2 kein Standard-Gateway konfiguriert habe (mit dem Befehl ip default-gateway
) Schalter. Ich könnte nicht nur von einem Host im selben Subnetz, sondern auch von Hosts in Remote-Subnetzen pingen / telneten.
Hosts senden Pakete an ihr Standard-Gateway, wenn die Die Ziel-IP-Adresse des Pakets befindet sich in einem anderen Subnetz . Wenn kein Standard-Gateway konfiguriert wurde, können sie einfach nicht außerhalb des lokalen Subnetzes kommunizieren. Die Frage ist also, warum das VLAN 1-Interface des Switch Daten an den lokalen Router / das Gateway senden kann, wenn es nicht mit einem solchen konfiguriert wurde.
Nun, es stellt sich heraus, dass das Die VLAN 1-Schnittstelle des Switch kennt die IP-Adresse seines Standard-Gateways nicht. gibt einen ARP-Broadcast aus, um die MAC-Adresse des Zielhosts des Pakets zu erfahren (genau wie wenn die Ziel-IP-Adresse des Pakets im selben Subnetz wäre) und sobald die LAN-Schnittstelle des Routers die ARP Broadcast-Nachricht empfängt, versucht sie, Ordnen Sie die Ziel-IP-Adresse einer ihrer Routen zu , wenn eine Übereinstimmung gefunden wird (was bedeutet, dass der Router weiß, wie er zum Subnetz gelangt, in dem sich die Ziel-IP-Adresse befindet in), dann antwortet es mit der MAC-Adresse der Schnittstelle, in der die ARP-Nachricht empfangen wurde .
Hier ist ein Diagramm, das den gesamten Prozess erklärt:
Beachten Sie, dass der Switch ohne ein konfiguriertes Standardgateway für jede neue nicht lokale IP-Adresse, mit der er kommunizieren möchte, einen ARP-Broadcast ausgeben muss, dh den Switch In der ARP-Tabelle wird ein Eintrag für jede nicht lokale IP-Adresse aufgeführt, die auf dieselbe MAC-Adresse (die MAC-Adresse der Schnittstelle des lokalen Routers) verweist. Wenn Sie den Switch hingegen mit einem Standard-Gateway konfigurieren, wird der Der Switch muss nur einen ARP-Broadcast ausgeben, um die MAC-Adresse seines konfigurierten Standard-Gateways zu ermitteln.
Update: Wie von @RonMaupin ausgeführt, antworten Router nur dann auf ARP-Anfragen nach nicht lokalen IP-Adressen, wenn Proxy-Arp ist auf der Schnittstelle des Gateways aktiviert.
Kommentare
- Sie sind Beschreibung von Proxy-ARP, das von Wissensleuten deaktiviert wird, weil es darstellt ein großes Sicherheitsrisiko. Sie aktivieren es immer nur unter bestimmten, kontrollierten Umständen, wenn nichts anderes funktioniert.
- Ich sehe, danke für die Klarstellung, ist Proxy-ARP auf L2-Switches standardmäßig deaktiviert?
- Proxy-ARP ist auf Ihrem Router aktiviert oder deaktiviert. Der Router beantwortet ARP für Geräte in anderen Netzwerken. Dies eröffnet eine Sicherheitslücke, die für viele Unternehmen oft nicht akzeptabel ist. Wenn es deaktiviert ist, erhält Ihr Switch niemals eine ARP-Antwort. ARP wird gesendet, und als Broadcast wird ein Router nicht ‚ an ein anderes Netzwerk weitergeleitet. Proxy-ARP lässt den Router anstelle eines Geräts im anderen Netzwerk antworten.
- Letzte Frage, warum versucht die Verwaltungsschnittstelle des Switches ‚ es um die nicht-lokale IP-Adresse überhaupt aufzulösen? Ich meine, warum sendet es einen ARP-Broadcast mit der nicht lokalen IP-Adresse als Ziel? AFAIK-Hosts sollten ARP nur verwenden, um die physische Adresse einer IP-Adresse im selben Netzwerk zu ermitteln.
- Dies hängt vom Betriebssystem ab. Ich habe dieses Verhalten gesehen, aber es gibt keine pauschale Möglichkeit zu sagen, dass ein Gerät auf diese Weise funktioniert oder nicht.
Schreibe einen Kommentar