0

下面问题[1]的正确答案是:

配置没有默认网关地址的 SrvA

我不理解的 -

1)

为什么会阻止子网 B 上的主机连接到子网 A 上的主机并通过它们连接到 SrvA(因为根据已解决的任务和正确答案,它们将继续访问 SrvA)?

1a)为什么它会阻止从另一个网络直接连接到主机(带有服务器)?

2)

为什么服务器的通信能力会影响网络上主机的通信能力?

2a) 主机是否需要服务器才能与另一个子网络上的主机通信?

2b)为什么只与外国人 - 来自另一个网络的主机?

如果网络之间只有一个可能的外部输出(通过与服务器分开的路由器),为什么服务器上没有默认网关地址会阻止来自另一个网络的主机与服务器通信,即任何在本地找不到的东西可能应该是由路由器指定到另一个网络?

3)

“连接”和“建立会话”有什么区别?

[1]

2 个私有网络 A 和 B 通过路由器连接。

名为 SrvA 的服务器(在子网 A 中)用作人力资源 (HR) 部门的 Intranet Web 服务器。

名为 SrvB 的服务器(在子网 B 中)是 Microsoft Exchange 2000 Server 邮件服务器。

SrvA 包含仅 A 子网上的用户必须每天访问的机密文档。

所有用户都必须能够连接到 SrvB。

您想要配置 SrvA 的 TCP/IP 属性以防止子网 B 中的任何计算机与 SrvA 建立会话。

你该怎么办?

[2] 正确答案“Configure SrvA with no default gateway address”的解释

为了与 SrvA 通信,网络 B 中的客户端已经配置了一个默认网关地址,即路由器的地址。

为了让 SrvA 与网络 B 中的客户端进行通信,它必须配置一个默认网关地址(路由器的地址)。从 SrvA 中删除默认网关将阻止位于子网 B 中的计算机与 SrvA 建立会话。

但是,SrvA 将继续能够与网络 B 中的客户端通信。这将确保机密文件只能由子网 A 上的用户访问。

4

1 回答 1

0

如果您在 Srv A 上没有设置默认网关,那么没有直接连接到服务器的任何人都无法连接到它。

1 & 1a) 如果子网 A 之外的任何人(没有直接连接),流量可能会到达服务器,但没有默认网关,服务器将不知道如何将流量返回到远程主机,并丢弃数据包.

2)除非数据首先到达服务器,否则这不应该影响与其他主机的连接,只会影响到服务器的连接。如果所有数据在离开子网 A 之前首先进出该服务器,那么它会因为 #1 中的原因而被有效地切断

  1. “已建立的连接”已经通过某种握手,表明 2 台主机将通过流量。IE,TCP的3路握手(我在这里,我看到你,让我们通过流量),只是一个简单的连接有点模糊,但我想你可以说它包含各种连接,包括“已建立的连接”和无连接的像UDP这样的协议(“一种方式,不关心你是否获得数据连接”)

现在,我的建议是重新添加默认路由。从长远来看,如果没有它,您只会伤害自己。尝试用谷歌搜索一些关于在路由器上放置 ACL(访问列表)的信息。

使用 ACL,您可以指定“此子网无法访​​问此 IP 地址或子网”,即您的服务器的 IP。

不要引用我的话,但它会像

ip access-list 1
拒绝所有
允许任何任何

然后你将它应用到连接到 serverA 的接口上,如下所示:

ip 访问列表 1 出

它看起来像这样(抱歉没有使用代码块)这将拒绝子网B中的用户将流量发送到服务器A而不影响任何其他流量

这可能是首选方法。我强烈建议不要遵循您在问题中的答案,这将弊大于利。我希望这有帮助

于 2010-06-21T05:07:48.900 回答