Início / user-264543

Stilez's questions

Martin Hope
Stilez
Asked: 2020-07-08 06:25:06 +0800 CST
  • 9

Eu tenho um servidor e um PC cliente conectados diretamente ao mesmo switch de desktop. Mas também quero colocar um link dedicado de alta velocidade separado entre eles. O objetivo é conectá-los à internet e LAN com 1G, mas o tráfego entre o PC e o servidor é de 10G:

insira a descrição da imagem aqui

Se relevante, o PC executa o Windows 10 em uma placa de estação de trabalho Asus e o servidor executa o FreeBSD 12 em uma placa Supermicro. Ambos possuem NICs Intel 1G e Chelsio 10G, e ambos os rodapés possuem firmwares de estação de trabalho/servidor com todos os recursos. Ambos estão na mesma sub-rede em toda a LAN no momento.

Minhas perguntas:

  1. Quais são as maneiras mais corretas ou facilmente implementadas para configurar a rede do PC e do servidor, para que o loop não cause problemas de rede? Ou seja, o tráfego entre o PC e o servidor pode passar pelo link 10G e o tráfego de/para qualquer outro dispositivo nunca pode passar pelo link 10G?

    (Para que, se eu desconectar o fio entre o PC e o switch, o PC ainda não esteja conectado a outros dispositivos LAN por meio do loop através do servidor)
     
  2. Se no futuro eu atualizar o switch para um switch totalmente gerenciado que possa lidar com controles de acesso, como o Netgear ProSAFE, ou eu começar a usar VLANs nele, a "resposta correta" mudará?

Atualizar

Como os comentários estão ficando longos, este é um resumo de alguns dos problemas que eles revelaram, o que tornou essa pergunta difícil.

O principal problema é que a rede é baseada em DNS. Isso é importante porque os endereços IP não aparecem no explorador de arquivos do Windows, apenas os nomes de host descobertos. Um endereço IP pode ser usado para um servidor de arquivos SMB e seus compartilhamentos, mas terá que ser inserido manualmente toda vez que um compartilhamento de arquivo for acessado e, infelizmente, muitos programas não têm escopo para inserir um caminho manual, espera-se que todos os dispositivos navegáveis ​​aparecerão em uma árvore de navegação do explorador de arquivos preenchida ou descerão de uma lista de dispositivos descobertos. Portanto, usar o IP 10G para o servidor não é uma solução confiável e viável.

(Discovery é presumivelmente DNS ou WS-discovery do PAC e DNS/WS-Discovery/mDNS-bonhour de alguns outros dispositivos. SMBv1/NetBIOS/WINS estão todos desativados - obrigado por observar este aspecto @user1686)

O fato de o servidor ter 2 NICs sem ponte, um dos quais não tem link para o servidor DNS e é ponto a ponto direto, presumivelmente significa que seus IPs precisam ser distintos. (E os IPs 10G precisarão ser estáticos, pois não há DHCP nesse link/sub-rede) .

Também suspeito que devo bloquear a descoberta por meio do link 1G separadamente, se ele não usar DNS, ou configurar a descoberta para usar DNS e nenhum outro método - na memória, pode-se configurar o Windows com o qual os métodos de descoberta são ativados e em que ordem experimentá-los in e especificar apenas DNS? Mais uma vez, obrigado @ user1686

Pelas respostas, acho que vejo talvez 3 soluções possíveis. Qual seria mais correto, ou todos são válidos?

Possível solução 1?

O que recebo das respostas até agora é que, se o 10G estiver em uma sub-rede diferente e o arquivo de hosts do PC for hackeado manualmente para substituir o DNS e usar o IP 10G para o servidor e o roteamento ou firewall estiver configurado para garantir o IP 1G dos servidores não é acessível a partir do PC, parece que funcionaria.

Mas é incrivelmente desajeitado e parece um "trabalho de hack". Demasiadas substituições manuais definidas em máquinas individuais. Não sei se isso é "normal".

Possível solução 2?

Outra opção depende do DNS local em execução no Unbound, que (como BIND) oferece suporte a visualizações. Isso significa que o servidor DNS pode ser configurado para fornecer o IP normal do servidor para todos os dispositivos na pesquisa, mas os servidores IP 10G para o PC (somente). Não tenho certeza se isso é suficiente - é?

Se for, uma solução pode ser: sub-rede LAN 10.0.0.0/8, servidor 1G IP alocado pelo DNS para dizer 10.0.0.1 servidor 10G estático 10.0.0.2 e, em seguida, usar DNS para fornecer o IP 1G do servidor a todos os dispositivos, exceto o PC, mas retorne o IP 10G do servidor + a NIC 10G do PC como seu primeiro salto/gateway, para o PC.

Ingenuamente, o resultado seria: os IPs 1G e 10G estão na mesma sub-rede, então o servidor é visto como estando na sub-rede correta pelo PC. Mas o IP 10G é invisível para todos os outros dispositivos, e o IP 1G é visível, mas ignorado pelo PC, portanto não há conflito. Portanto, quase tudo é feito no DNS.

Isso é viável?

Possível solução 3

Os mesmos IPs acima (2), mas configure o DNS para retornar ambos os IPs para todos os dispositivos. Dispositivos LAN não-PC falharão ao encontrar 10.0.0.2 e eventualmente decidirão que 10.0.0.1 é o IP usado. O PC é protegido por firewall para descartar todos os pacotes para 10.0.0.1 e, portanto, decide que 10.0.0.2 é o único IP funcional (pode ser necessário uma dica de primeiro salto). Então, novamente, tudo é feito no DNS, impedindo uma entrada de firewall para bloquear o loop 1G.

Funcional também?

networking routing