Почему эта статическая маршрутизация не работает?

Question

Почему эта статическая маршрутизация не работает?

Я пытаюсь разработать расширение DHCP, например, Microsoft NAP. Мой трюк для блокирования машин, запрашивающих динамический IP (которые не соответствуют определенной политике), состоит в том, чтобы лишить шлюз по умолчанию (без шлюза по умолчанию), указанный в аренде IP, и установить маску подсети аренды в 255.255.255.255.

Теперь мне нужно, чтобы заблокированные машины могли достигать определенных мест (IP) в сети. Чтобы учесть это, я включил несколько статических маршрутов в аренду. Например, я включаю 10.10.10.11 через маршрутизатор 10.10.10.254 (тот, к которому подключена заблокированная машина, которой требуется доступ к 10.10.10.11).

К сожалению, как только я установил шлюз по умолчанию на ничего, заблокированные машины не смогут получить доступ ни к одному из добавленных статических маршрутов. Я также пробовал бесклассовые статические маршруты.

Есть идеи? Кто-нибудь знает, как MS NAP на самом деле это делает?

1

subnet gateway routes

Источник

15 мар '10 в 18:46

4 ответа

Другие вопросы по тегам subnet gateway routes

Bill Weiss 15 мар '10 в 19:32 2010-03-15 19:32 · Answer 1 · 2010-03-15 19:32

Возможно, вам придется указать маршрут к 10.10.10.254в вашем примере. Этот маршрут может быть "локально привязан к этому интерфейсу" (надеюсь, ради вас).

1

Источник

Bill Weiss 15 мар '10 в 19:32

Eric 21 ноя '11 в 22:01 2011-11-21 22:01 · Answer 2 · 2011-11-21 22:01

Частично проблема, с которой вы столкнулись, заключается в том, что вы блокируете более конкретную сеть, чем ваш статический маршрут. Маршрутизаторы выбирают, в какую сеть отправлять данные, на основе административного расстояния, а статические маршруты имеют административное расстояние 1. Однако они игнорируют AD, если другой маршрут является более специфической сетью (он также имеет больше сетевых битов, чем хостовых битов). Таким образом, если вы устанавливаете маску на 255.255.255.255, все вы - биты сети, и ваш статический маршрут к сети + хост игнорируется.

Кроме того, насколько это принудительно, поскольку они могут просто установить свою информацию вручную и полностью игнорировать эту систему?

Greg Bray 16 мар '10 в 06:27 2010-03-16 06:27 · Answer 3 · 2010-03-16 06:27

Я думаю, что проблема с определением маски подсети как 255.255.255.255. По сути, вы сообщаете компьютеру, что он находится в сегменте сети, а затем не говорите ему, с кем общаться (т. Е. С шлюзом) для связи с другими сегментами сети. Правильным решением было бы настроить сегмент частной сети с реальным сервером шлюза, для которого не настроена маршрутизация для ЛВС, а затем настроить статические маршруты из частной сети на нужные адреса ЛВС. В качестве альтернативы вам потребуется разместить компьютеры в сегменте сети только для широковещательной рассылки с достаточно большой маской подсети, чтобы достичь желаемых адресов, а затем настроить статические маршруты на любых маршрутизаторах, к которым подключены машины.

Для упрощения: No Gateway = только широковещательная рассылка, 255.255.255.255 подмножество = No Broadcast (все направляется к шлюзу)

16 мар '10 в 17:41 2010-03-16 17:41 · Answer 4 · 2010-03-16 17:41

Билл Вейсс: Мы попробовали это (добавив адрес маршрутизатора в качестве статического маршрута, где его шлюз имеет особый 0.0.0.0, означающий на той же ссылке). Это позволило ping достичь маршрутизатора, но не конечного компьютера (другой статический маршрут через этот маршрутизатор).

Грег Брей: Мы нашли половинное решение, когда заблокированные машины в разных сегментах сети, чем те, которые находятся в таблице статических маршрутов (должны быть достигнуты), могут пропинговать их Обычно мы устанавливаем шлюз по умолчанию на 0.0.0.0 и маску подсети на 255.255.255.255, что означает: пожалуйста, обращайтесь к таблице статических маршрутов для любых запросов. Мы также установили шлюз статических маршрутов на 0.0.0.0, что означает, что этот шлюз находится на том же канале, что и заблокированная машина (я думаю, исправьте меня, если не прав, пожалуйста). Тем не менее, есть идеи, как мы можем пинговать машины в одном сегменте заблокированным?

Еще одна вещь: представьте себе две заблокированные машины, используя вышеуказанную настройку шлюза по умолчанию и маски подсети. Теперь для того, чтобы заблокированная машина A могла пропинговать другую заблокированную машину B, нужен ли мне также статический маршрут от B до A, чтобы B мог ответить на этот запрос пинга (предполагая, что A уже получил статический маршрут к B)? Я имею в виду, использует ли ping-ответ информацию в заголовках ping-запроса о запрашивающей машине, чтобы ответить на него? или для этого ответа нужна явная статическая маршрутизация?

Спасибо вам, ребята:)