论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2006-11-10 22:02 |只看该作者 |倒序浏览

不知道大家是怎样理解三层交换和路由之间的关系的，起初我个人认为三层交换就是使用了路由技术在IP层面的快速交换技术，然而最近发现了一个比较有趣的现象，使我对这方面有了更深的了解，如果感兴趣的请看如下问题：\r\n\r\n有一个设备RouterA，有一个出口连线连接外网，设备IP为10.0.0.1，其出口对端IP为10.0.0.2；\r\n同时RouterA直连一个网段，为192.168.0.0/24，RouterA的接口IP设置为192.168.0.1；\r\n其次RouterA还有一条线连接到另外一个设备RouterB，RouterA的互联接口IP设置为10.172.0.2，RouterB的设备直连网段192.168.1.0/24，设备互联的接口IP为10.172.0.1。\r\nRouterB以及其所连接的整网段只与RouterA互联，并经由RouterA访问外网出口，没有其他额外出口。\r\n\r\n所以经由此互联后RouterA中有如下路由表\r\n\r\nDestination/Mask Protocol Pre Cost Nexthop\r\n192.168.0.0/24 DIRECT 0 0 192.168.0.1\r\n192.168.0.1/32 DIRECT 0 0 127.0.0.1\r\n192.168.1.0/24 STATIC 60 0 10.172.0.1\r\n10.0.0.0/30 DIRECT 0 0 10.0.0.1\r\n10.0.0.1/32 DIRECT 0 0 127.0.0.1\r\n0.0.0.0/0 STATIC 60 0 10.0.0.2 \r\n10.172.0.0/30 DIRECT 0 0 10.172.0.2\r\n10.172.0.2/32 DIRECT 0 0 127.0.0.1\r\n\r\n\r\n这个网络拓扑已经正常运行了许久，下面所挂2个网段的机器也一直正常，现在假设突然192.168.0.100和192.168.1.100这两个IP出现严重安全问题，需要从路由上完全封锁此IP的通讯，假设我们使用黑洞路由实现，而不能使用acl等高级包过滤功能，但是我只有RouterA的管理权限，用因此我需要在RouterA做封锁操作，而不能到RouterB操作，因此我在RouterA上做如下操作：\r\nRouterA# ip route 192.168.0.100/32 null0 blackhole\r\nRouterA# ip route 192.168.0.100/32 null0 blackhole\r\n\r\n因此路由表会增加2条：\r\nDestination/Mask Protocol Pre Cost Nexthop\r\n192.168.0.100/24 STATIC 60 0 NULL0\r\n192.168.1.100/24 STATIC 60 0 NULL0\r\n\r\n\r\n现在请问，此种配置方法是否能将这两个IP与外网的所有通讯全部阻隔？能与不能请说明原因。\r\n请回答时仔细思考一下，不要以为答案很显然，并请注意我并没有说明RouterA是何种设备，请想一下如果RouterA是三层交换或者是路由器2种不同情况的时候，结果是否有变化。

nsa

白手起家

论坛徽章:: 0

2楼 [报告]

发表于 2006-11-11 17:11 |只看该作者

估计UDP的包还是可以出去的，回来就不行了

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

colddawn

家境小康

论坛徽章:: 0

3楼 [报告]

发表于 2006-11-13 12:55 |只看该作者

不对，在三层的路由层次怎么可能会针对tcp或udp有不同的表现呢

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

听涛剑士

白手起家

论坛徽章:: 0

4楼 [报告]

发表于 2006-11-14 17:13 |只看该作者

最近我们系统内才装了一个三层交换机，尽管没拿到具体的参数，但我还是大致的看了下，发觉和楼主说的有区别。\r\n\r\n我们装的那个是用来远程监控和组建OA网的。\r\n\r\n楼主的问题，显然不能完全阻隔。因为在快速以太端口，桥接和路由并不是各司其职的，只要存在公用，那么就有可能。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

bzzh

家境小康

论坛徽章:: 0

5楼 [报告]

发表于 2006-11-15 07:54 |只看该作者

b上的主机发包可以出局但在A上就不能回程了,在b上可以不受影响,但也不能出局通讯

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

colddawn

家境小康

论坛徽章:: 0

6楼 [报告]

发表于 2006-11-15 09:11 |只看该作者

5楼的基本接近实质了，就是交换和路由各司其职，而使用传统路由和交换+路由这种三层交换方式会有所不同。建议您再深入分析一下，我这里只是有少部分用例，我虽然总结出了其中可能的原因，但我不敢保证所有的三层交换的底层实现都和我现在使用设备的实现一样。\r\n\r\n6楼的答案如果只考虑路由表的话貌似应该没错，但提醒一点，您是否忘记考虑直连路由的优先级别了呢？\r\n更进一步，我说在某种情况下，这2个IP都封锁不住，不论是进站还是出站，您是否相信呢？\n\n[ 本帖最后由 colddawn 于 2006-11-15 09:12 编辑 ]