私のネットワークはどれくらい賢いですか？

私のオフィスには、私たちが設定したネットワークが本当にどれほどスマートで効率的であるかという議論があります。

ハードウェアファイアウォールがあり、最後に64ポートスイッチが接続されているロードバランシングルーターに接続するファイバーラインとケーブルラインがあります。

各ワークステーションは、スイッチ（約30台のマシン）に接続され、さらにNASといくつかの内部テストサーバー（すべて割り当てられた192.168.0.xアドレス）に接続されています。

ワークステーションAがワークステーションBと通信したい場合、ネットワークは十分にスマートです：

A→スイッチ→Bで、最初に最も一般的な接続を介してのみ移動します。

または、パスはA→スイッチ→ファイアウォール→ルーター→ファイアウォール→スイッチ→Bであり、その完全なルートを毎回実行する必要がありますか？

トラフィックを別のサブネットに移動する必要がない限り、ルーターは必要ありません。IPアドレスはスイッチのレイヤー（OSIモデルのレイヤー2）のものではないため、コンピューターがサブネット上の別のマシンにIPトラフィックを送信する場合、受信者のMACアドレスが必要です。MACアドレスがわからない場合は、ARP 要求をブロードキャストし、「このIPアドレスをお持ちの方、MACアドレスを教えていただけますか？」マシンが応答を受け取ると、そのアドレスがパケットに添付され、スイッチはそれを使用して正しい物理ポートにパケットを送信します。

宛先が同じサブネット上にない場合、ルーターが関与する必要があります。送信者は、パケットを適切なルーター（特別なルーティングニーズがない限り、通常はデフォルトゲートウェイ）に渡します。ルーターは、ネットワークを介して目的の受信者に送信します。スイッチとは異なり、ルーターはIPアドレスを知っており、MACアドレスも持っています。これは、ルーティングが必要なパケットに最初に付けられるMACアドレスです。（MACアドレスがサブネットを離れることはありません。）

route printWindowsの出力の[ゲートウェイ]列でルーターのIPアドレスを確認できます。ルーティングを必要としない宛先にはOn-linkそこがあります。

2台のコンピューターがスイッチの同じVLANに接続され、同じサブネットマスクを共有している場合-スイッチは、ファイアウォールまたはルーターにヒットすることなくパケットを配信する必要があります。

これを実行するにはtracert 192.168.0.X（Windowsを想定）実行すると、そのシステムへの直接ルートが表示されます。

ほぼ確実に、通信パスは次のようになりA ↔︎ スイッチ ↔︎ B、ファイアウォールやルータを経由ません。ワークステーションAとワークステーションBが同じネットワークとネットマスクを持つIPアドレスを持っていると仮定すると、スイッチはパケットの転送方法を知っているため、ルーターが関与していなくても相互作用できるはずです。あなたは間に中間ホップがないことを確認することができるはずAとBが実行することにより、上のプロンプトコマンドからA。（Windowsでは、コマンドはの代わりになります。）traceroute ip_address_of_Btracerttraceroute

とはいえ、別のシナリオも可能ですが、可能性は低いです。

昔、イーサネットスイッチが普及する前は、イーサネットハブがありました。ハブは同じように機能しますが、スイッチのように適切なポートからではなく、ハブのすべてのポートを介して着信イーサネットパケットをインテリジェントに複製および転送します。スイッチの代わりにハブがある場合、ルーターはAとBの間のすべてのトラフィックを表示（および無視）します。もちろん、このような無差別なパケット転送は多くの不要なトラフィックを作成し、最近ではイーサネットハブは一般的ではありません。

もう1つの可能性のある（しかしありそうにない）シナリオは、ポートの分離を行うようにスイッチを構成できることです。これにより、各ワークステーションのトラフィックがルーターを強制的に通過します。ワークステーションが互いに敵対的であると考えている場合（たとえば、公共図書館や別のホテルの部屋のポートなど）に、直接通信することを望まない場合は、これを行うことができます。ただし、オフィス環境では、ネットワーク管理者がそのように設定することはほとんどありません。

素人の言葉であなたの質問に答えるために：あなたの場合、ネットワークは当然「正しいこと」をするべきです。ただし、別の「正しいこと」を行うように意図的に再構成することもできます。その結果として、それはまた、愚かなことをするように誤って誤って設定される可能性があります。

他の答えは正しいです。そのため、確認のために-試してみることをお勧めします。

あるホストから別のホストへのtracertまたはtracerouteまたはtracepathまたはmtr。

予備の（つまり、非実動）コンピューターを取得し、192.168.166.x / 24または255.255.255.0のIPと192.168.166.1のゲートウェイを割り当てます。

LANと同じインターフェース上で192.168.166.1 / 24のセカンダリ IP を持つようにファイアウォールデバイスを構成する必要があります。現時点では、LANの運用トラフィックを中断しないように注意してください。正確にこれを行う方法は、ファイアウォールOSによって異なります。

LANインターフェイスのファイアウォールルールも調整または拡張する必要がある場合があります。

パスは166machine-switch-firewall-switch-0machineである必要があります（ただし、イーサネットスイッチはlayer2にあり、tracerouteはlayer3にICMPがあるため、tracerouteにスイッチは表示されません。

これは「オーバーレイ」ネットワークと呼ばれ、追加のセキュリティを提供しないことに注意してください。DMZではなく、分離はなく、166ネットワークを0ネットワークから隠しません。