新米ネットワークエンジニアだわよ!

ネットワークエンジニアとして勉強していく中で大事だなー!!と思ったことを忘れないようにするために書いてます。このブログで不明点が解決できたら嬉しいです。

ネットワークの通信の流れや構成について

 

                                RT 100.100.100.254/24

Untrust           |

100.100.100.1/24

                                FW -----------------DMZ

                                       1.1.1.1/24

Trust                         |

192.168.1.1/16

                            Switch

 

FWもルーティングするので

三つのセグメントを持ってる。

 

※アドレスは適当

 セグメント内の通信であればルーティングは不要。

 だって、ネクストポップが宛先だから。

 

セグメント内であれば、Arpをブロードキャストして通信。

外であれば、デフォゲ宛にFWにArp解決する。

 

Mip 100.100.100.100 host 192.168.1.100

 

上記staticNATだとしたら、

帰ってくるときにセグメントか経路が適用されるのかは、ロンゲストマッチによって配送される。

 

ルータ同士は、繋がるインタフェースが

どうネットワークつまりどうセグメント

同じネットワーク部になる。

 

別ネットワークのアドレスになる場合、上記の制約が無視される。

でもまぁちゃんと上位で経路入れときゃ大丈夫。

 

ssgの場合だけど、経路でゾーン判定して

変換後アドレスを経路でみてネクストホップ決めて配送する。

 

 

折り返し通信について

 

内部から内部への通信なんだけど、

内部からグローバルIP>内部みたいな経路をたどりたい場合に使う。

 

 

Proxy arp

 

代理応答。本当はfw側のアドレスは100.100.100.1なんだけど100.100.100.100に

してて、そのアドレスでarpを返して100側にアドレスが来た時mipとかで切り替える。

 

あとすりーうぇい

 

tcp通信の場合、syn syn-ack ackの通信があってから

通信が流れる

その場合、行きと帰りの通信の道が違うことを非対称経路という。

これはね、よくないとっても。

 

なので基本的にfwもルータも通過するだけの機器なので

そのことを念頭に置いてから考える。

 

折り返し通信でいうと、trust > untrust > dmzで通信してるけど

帰りがdmz > trustになったらおかしいってわけよ。

 

ちゃんとuntrust側でNATしないとだめってこと。