0

以下の質問 [1] の正解は次のとおりです。

デフォルト ゲートウェイ アドレスなしで SrvA を構成する

私が理解できないもの -

1)

サブネット B のホストがサブネット A のホストに接続し、それらを介して SrvA に接続できないのはなぜですか?

1a) 別のネットワークから (サーバーを使用して) ホストに直接接続できないのはなぜですか?

2)

サーバーの通信能力が、ネットワーク上のホストの通信能力に影響を与えるのはなぜですか?

2a) ホストが別のサブネットワーク上のホストと通信するためにサーバーが必要ですか?

2b) なぜ外国人のみ - 別のネットワークからのホスト?

ネットワーク間に(サーバーとは別のルーターを介して)可能な外部出力が1つしかない場合、サーバーにデフォルトゲートウェイアドレスがないと、別のネットワークのホストがサーバーと通信できない理由。つまり、ローカルで見つからないものはおそらくルーターによって別のネットワークに送信されますか?

3)

「接続」と「セッションの確立」の違いは何ですか?

[1]

2 つのプライベート ネットワーク A と B がルーターで接続されています。

SrvA という名前のサーバー (サブネットワーク A 内) は、人事 (HR) 部門のイントラネット Web サーバーとして機能します。

SrvB という名前のサーバー (サブネットワーク B 内) は、Microsoft Exchange 2000 Server メール サーバーです。

SrvA には、A サブネットのユーザーのみが毎日アクセスする必要がある機密文書が含まれています。

すべてのユーザーが SrvB に接続できる必要があります。

SrvA の TCP/IP プロパティを構成して、サブネット B 内のコンピューターが SrvA とのセッションを確立できないようにします。

あなたは何をするべきか?

[2] 正解の解説「デフォルトゲートウェイアドレスなしでSrvAを構成する」

SrvA と通信するために、ネットワーク B のクライアントにはデフォルト ゲートウェイ アドレス、つまりルーターのアドレスが設定されています。

SrvA がネットワーク B のクライアントと通信するには、デフォルト ゲートウェイ アドレス (ルーターのアドレス) を使用して構成する必要があります。SrvA からデフォルト ゲートウェイを削除すると、サブネット B に存在するコンピューターが SrvA とのセッションを確立できなくなります。

ただし、SrvA は引き続きネットワーク B のクライアントと通信できます。これにより、サブネット A のユーザーのみが機密ファイルにアクセスできるようになります。

4

1 に答える 1

0

サーバー A にデフォルト ゲートウェイを配置しない場合、サーバーに直接接続されていないユーザーはサーバーに接続できなくなります。

1 & 1a) サブネット A の外部 (直接接続されていない人) の誰かがトラフィックをサーバーに到達させる可能性がありますが、デフォルト ゲートウェイがない場合、サーバーはトラフィックを離れたホストに戻す方法を認識せず、パケットを破棄します。 .

2)データが最初にサーバーに送信されない限り、これは他のホストとの接続には影響せず、サーバーへの接続のみに影響します。すべてのデータがサブネット A を離れる前に最初にこのサーバーとの間で送受信される場合、#1 の理由により事実上遮断されます。

  1. 「確立された接続」は、2 つのホストがトラフィックを通過させるというある種のハンドシェイクを通過しました。IE、TCP の 3 ウェイ ハンドシェイク (私はここにいます、私はあなたに会います、トラフィックを渡します)、単純な接続は少しあいまいですが、「確立された接続」とコネクションレスの両方のすべての種類の接続を包含すると言えると思います。 UDP などのプロトコル (「一方通行、データ接続を取得するかどうかは気にしない」)

ここで、私の提案は、デフォルト ルートを再度追加することです。これがないと、長期的には自分自身を傷つけるだけです。ルーターに ACL (アクセス リスト) を設定する方法について、Google で調べてみてください。

ACLを使用すると、サーバーのIPである「このサブネットはこのIPアドレスまたはサブネットに移動できません」と指定できます。

私を引用しないでくださいが、それは次のようなものになります

ip access-list 1
deny all
allow any any

次に、次のような方法で serverA に行くインターフェイスに適用します。

IP アクセス リスト 1 アウト

これは次のようになります (コード ブロックを使用していないため申し訳ありません)。これにより、subnetB のユーザーが、他のトラフィックに影響を与えることなく、serverA にトラフィックを送信することが拒否されます。

これはおそらく推奨される方法です。あなたの質問に対するあなたの答えには従わないことを強くお勧めします。これが役立つことを願っています

于 2010-06-21T05:07:48.900 に答える