Standard-Gateway-Server für die Kommunikation zwischen Netzwerk-Hosts
https://stackoverflow.com/questions/3082111
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Die richtige Antwort auf Frage [1] unten:
Konfigurieren SRVA ohne Standard-Gateway-Adresse
Was ich nicht verstehen kann -
1)
Warum soll es die Hosts in Subnetz B verhindern, dass Hosts in Subnetz A und durch sie zu SRVA verbinden (da sie nach der Aufgabe gelöst und richtigen Antwort, weiterhin Zugang zu SRVA haben)?
1a) warum es die direkte Verbindung zu einem Host verhindern (mit einem Server) von einem anderen Netz überhaupt?
2)
Warum die Fähigkeit eines Servers hat Einfluss auf ein Netzwerk, um die Kommunikationsfähigkeiten von Hosts zu kommunizieren?
2a) Sind Server für Hosts benötigt, um mit Hosts auf einem anderen Teilnetz zu kommunizieren?
2b) und warum nur mit Ausländern - Rechner von einem anderen Netzwerk
Warum das Fehlen von Standard-Gateway-Adresse auf einem Server würde die Gastgeber von einem anderen Netz verhindert mit einem Server zu kommunizieren, wenn es nur ein möglicher externer Ausgang (über einen Router von Servern trennen) zwischen Netzwerken, dh alles, was vor Ort nicht gefunden sollte wahrscheinlich durch den Router zu einem anderen Netzwerk bestimmt sein?
3)
Was ist der Unterschied zwischen "connect" und "etablieren Sitzung"?
[1]
2 private neworks A und B durch einen Router verbunden sind.
Ein Server SRVA (in Teilnetz A) Funktionen als Intranet-Web-Server für die Humanressourcen (HR) genannt.
Ein Server SrvB (in Sub-Netzwerk B) genannt ist ein Microsoft Exchange 2000 Server Mail-Server.
SRVA enthält vertrauliche Dokumente, die von Benutzern nur auf der A Subnetz zugegriffen täglich werden muss.
Alle Benutzer müssen in der Lage sein zu SrvB verbinden.
Sie möchten die TCP / IP-Eigenschaften von SRVA konfigurieren, dass alle Computer im Subnetz B zu verhindern, dass eine Sitzung mit SRVA aufzubauen.
Was sollten Sie tun?
[2] Erläuterung richtige Antwort „Configure SRVA ohne Standard-Gateway-Adresse“
Um mit SRVA, die Clients im Netzwerk B zu kommunizieren haben mit einer Standard-Gateway-Adresse konfiguriert, die die Adresse des Routers ist.
Für SRVA mit den Clients im Netzwerk B zu kommunizieren, muss es sein mit einer Standard-Gateway-Adresse (die Adresse des Routers) konfiguriert. Entferne den Standard-Gateway von SRVA wird Computer mit Wohnsitz im Subnetz B verhindern, dass eine Sitzung mit SRVA etablieren.
SRVA wird jedoch weiterhin in der Lage sein, mit den Kunden in dem Netzwerk B zu kommunizieren Dadurch wird sichergestellt, dass die vertraulichen Dateien nur zugänglich sein werden von den Nutzern auf dem Subnetz A.
Lösung
Wenn Sie keinen Standard-Gateway auf Srv A setzen wären, dann niemand, der nicht direkt mit dem Server verbunden ist in der Lage, es zu verbinden.
1 & 1a) Wenn jemand außerhalb von subnetA (die direkt verbunden Arent) der Verkehr wahrscheinlich an den Server machen würde, aber ohne Standard-Gateway, würde nicht der Server weiß, wie den Verkehr zurück zu dem entfernten Host zu bekommen, und Drop die Pakete.
2), wenn die Daten an den Server FIRST geht, diese shouldnt Wirkung die Verbindung mit den anderen Hosts, nur die Verbindung zum Server. Wenn alle Daten zu und von diesem Server geht, bevor es subnetA verläßt, dann wäre es effektiv in # 1
abgeschnitten aus Gründen,3) eine „bestehende Verbindung“ hat irgendeine Art von Handshake übergeben sagen, dass die die zwei Hosts Verkehr passieren. IE, TCP des 3-Wege-Handshake (im hier, ich sehe Sie, kann Pass-Verkehr), nur eine einfache Verbindung ist ein wenig vage, aber ich denke, man kann sagen, es alle Arten von Verbindungen, die beide „aufgebauten Verbindungen“ und verbindungs ??umfassen würde mit Protokolle wie UDP ( „ein Oneway interessieren sich nicht, wenn Sie die Datenverbindung bekommen“)
Nun, mein Vorschlag ist die Standardroute zurück in hinzuzufügen. Ihr verletzen nur sich selbst auf lange Sicht ohne sie. Versuchen Sie googleing bis einige Informationen über ACLs (Access-Listen) auf Ihrem Router setzen.
mit ACLs können Sie angeben, „das Subnetz zu dieser IP-Adresse gehen kippt oder Subnetz“ die IP dass der Servers zu sein.
Sie nicht zitieren mich, aber es wäre so etwas wie
ip access-list 1 |
Alle verweigern
erlauben jede beliebige
dann wenden Sie es an die Schnittstelle gehen zu serverA mit so etwas wie folgt aus:
ip access-list 1
wird es in etwa so aussehen (sorry für nicht Codeblöcke useing) dies wird die Benutzer in subnetB zu senden Verkehr OUT serverA ohne Auswirkung auf anderen Verkehr
leugnetDies ist wahrscheinlich die bevorzugte Methode. Ich schlage vor, NACH DRINGEND NICHT DIE ANTWORT SIE IHRE FRAGE HABEN das wird dazu führen, viel mehr schaden als nützen. Ich hoffe, das hilft
