免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 3941 | 回复: 7
打印 上一主题 下一主题

有关路由和三层交换区别的一个比较微妙的问题 [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2006-11-10 22:02 |只看该作者 |倒序浏览
不知道大家是怎样理解三层交换和路由之间的关系的,起初我个人认为三层交换就是使用了路由技术在IP层面的快速交换技术,然而最近发现了一个比较有趣的现象,使我对这方面有了更深的了解,如果感兴趣的请看如下问题:\r\n\r\n有一个设备RouterA,有一个出口连线连接外网,设备IP为10.0.0.1,其出口对端IP为10.0.0.2;\r\n同时RouterA直连一个网段,为192.168.0.0/24,RouterA的接口IP设置为192.168.0.1;\r\n其次RouterA还有一条线连接到另外一个设备RouterB,RouterA的互联接口IP设置为10.172.0.2,RouterB的设备直连网段192.168.1.0/24,设备互联的接口IP为10.172.0.1。\r\nRouterB以及其所连接的整网段只与RouterA互联,并经由RouterA访问外网出口,没有其他额外出口。\r\n\r\n所以经由此互联后RouterA中有如下路由表\r\n\r\nDestination/Mask   Protocol Pre  Cost        Nexthop\r\n192.168.0.0/24      DIRECT   0     0           192.168.0.1\r\n192.168.0.1/32      DIRECT   0     0            127.0.0.1\r\n192.168.1.0/24      STATIC   60   0           10.172.0.1\r\n10.0.0.0/30            DIRECT   0     0           10.0.0.1\r\n10.0.0.1/32            DIRECT   0     0            127.0.0.1\r\n0.0.0.0/0                STATIC   60   0            10.0.0.2 \r\n10.172.0.0/30        DIRECT   0    0             10.172.0.2\r\n10.172.0.2/32        DIRECT   0    0             127.0.0.1\r\n\r\n\r\n这个网络拓扑已经正常运行了许久,下面所挂2个网段的机器也一直正常,现在假设突然192.168.0.100和192.168.1.100这两个IP出现严重安全问题,需要从路由上完全封锁此IP的通讯,假设我们使用黑洞路由实现,而不能使用acl等高级包过滤功能,但是我只有RouterA的管理权限,用因此我需要在RouterA做封锁操作,而不能到RouterB操作,因此我在RouterA上做如下操作:\r\nRouterA# ip route 192.168.0.100/32 null0 blackhole\r\nRouterA# ip route 192.168.0.100/32 null0 blackhole\r\n\r\n因此路由表会增加2条:\r\nDestination/Mask   Protocol Pre  Cost        Nexthop\r\n192.168.0.100/24   STATIC  60     0           NULL0\r\n192.168.1.100/24   STATIC  60     0           NULL0\r\n\r\n\r\n现在请问,此种配置方法是否能将这两个IP与外网的所有通讯全部阻隔?能与不能请说明原因。\r\n请回答时仔细思考一下,不要以为答案很显然,并请注意我并没有说明RouterA是何种设备,请想一下如果RouterA是三层交换或者是路由器2种不同情况的时候,结果是否有变化。

论坛徽章:
0
2 [报告]
发表于 2006-11-11 17:11 |只看该作者
估计UDP的包还是可以出去的,回来就不行了

论坛徽章:
0
3 [报告]
发表于 2006-11-13 12:55 |只看该作者
不对,在三层的路由层次怎么可能会针对tcp或udp有不同的表现呢

论坛徽章:
0
4 [报告]
发表于 2006-11-14 17:13 |只看该作者
最近我们系统内才装了一个三层交换机,尽管没拿到具体的参数,但我还是大致的看了下,发觉和楼主说的有区别。\r\n\r\n我们装的那个是用来远程监控和组建OA网的。\r\n\r\n楼主的问题,显然不能完全阻隔。因为在快速以太端口,桥接和路由并不是各司其职的,只要存在公用,那么就有可能。

论坛徽章:
0
5 [报告]
发表于 2006-11-15 07:54 |只看该作者
b上的主机发包可以出局但在A上就不能回程了,在b上可以不受影响,但也不能出局通讯

论坛徽章:
0
6 [报告]
发表于 2006-11-15 09:11 |只看该作者
5楼的基本接近实质了,就是交换和路由各司其职,而使用传统路由和交换+路由这种三层交换方式会有所不同。建议您再深入分析一下,我这里只是有少部分用例,我虽然总结出了其中可能的原因,但我不敢保证所有的三层交换的底层实现都和我现在使用设备的实现一样。\r\n\r\n6楼的答案如果只考虑路由表的话貌似应该没错,但提醒一点,您是否忘记考虑直连路由的优先级别了呢?\r\n更进一步,我说在某种情况下,这2个IP都封锁不住,不论是进站还是出站,您是否相信呢?\n\n[ 本帖最后由 colddawn 于 2006-11-15 09:12 编辑 ]

论坛徽章:
0
7 [报告]
发表于 2006-11-17 09:00 |只看该作者
搂住可不可以把你总结的用例发份给我,我也学习学习\r\n最近好忙,没有时间搭环境试验\r\n

论坛徽章:
0
8 [报告]
发表于 2006-11-17 09:02 |只看该作者
我的邮箱zhangweia1@21cn.com\r\n我试完了我们再继续讨论\r\n呵呵
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP