我的网络有多聪明？

我办公室里有一个争论，关于我们实际上建立的网络有多聪明/效率。

我们有一条光纤线和一条电缆线连接到负载平衡路由器中，该路由器具有一个硬件防火墙，最后连接了一个64端口交换机。

我们的每个工作站都连接到交换机（约30台计算机），一个NAS和两个内部测试服务器（均分配了192.168.0.x地址）。

如果工作站A要与工作站B通信，我们的网络是否足够智能：

A→开关→B，并且只能通过第一个最常用的连接进行移动，

还是路径是A→交换机→防火墙→路由器→防火墙→交换机→B，每次都必须走完整的路由？

除非您的流量需要移动到其他子网，否则不需要路由器。当计算机要向其子网上的另一台计算机发送一些IP流量时，它需要收件人的MAC地址，因为IP地址不是交换机层上的东西（OSI模型的第2层）。如果它不知道MAC地址，它会广播ARP 请求，说：“嘿，谁拥有这个IP地址，您能告诉我您的MAC地址吗？” 当机器获得响应时，该地址将被附加到数据包，然后交换机将其用于将数据包发送出正确的物理端口。

当目的地不在同一子网中时，路由器需要参与其中。发送者将数据包提供给适当的路由器（通常是默认网关，除非您有特殊的路由需求），然后路由器将其通过网络发送给预期的接收者。与交换机不同，路由器知道并具有IP地址，但它们也具有MAC地址，这是最初放置在需要路由的数据包上的MAC地址。（MAC地址永远不会离开子网。）

您可以route print在Windows 的输出的“网关”列中看到路由器IP地址。不需要路由的目的地就在On-link那里。

如果将两台计算机连接到交换机上的同一VLAN并共享相同的子网掩码-交换机应在不攻击防火墙或路由器的情况下传递数据包。

您可以通过运行tracert 192.168.0.X（假设使用Windows）来验证这一点，并且应该会看到到该系统的直接路由。

几乎可以肯定，通信路径将是一个 ↔︎ 开关 ↔︎ 乙，通过防火墙和路由器不会。假设工作站A和B的 IP地址具有相同的网络和网络掩码，则它们应该能够与不涉及的路由器进行交互，因为交换机知道如何转发数据包。您应该能够验证是否有之间没有中间跳一个和乙运行从命令提示符，一。（在Windows上，该命令将代替。）traceroute ip_address_of_Btracerttraceroute

就是说，替代方案是可能的，但可能性较小。

过去，在以太网交换机普及之前，就已经有了以太网集线器。集线器的工作方式相同，除了集线器将以智能方式复制并通过集线器的每个端口转发传入的以太网数据包，而不是像交换机那样将其转发出适当的端口。如果您使用集线器而非交换机，则路由器将看到（并忽略）A和B之间的所有流量。当然，这种不加选择的数据包转发会产生大量不必要的流量，并且以太网集线器如今已很少见。

另一种可能（但不太可能）的方案是可以将交换机配置为进行端口隔离。这将迫使每个工作站的流量通过路由器。如果您认为工作站之间是相互敌对的，那么您可能想要这样做，例如，公共图书馆或单独酒店房间中的端口，并且您根本不希望它们能够直接通信。但是，在办公室环境中，网络管理员不太可能以这种方式进行设置。

用外行的术语回答您的问题：网络自然应该在您的情况下做“正确的事情”。但是，可以故意将其重新配置为执行其他“正确的事情”。随之而来的必然结果是，它可能被意外地错误地配置为做愚蠢的事情。

其他答案是正确的。因此，出于确认的目的-我建议您尝试一下并找出答案。

从一个主机到另一个主机的tracert或traceroute或tracepath或mtr。

拿起一台备用（即非生产性）计算机，并为其提供IP地址192.168.166.x / 24或255.255.255.0和网关192.168.166.1

您需要将防火墙设备配置为在与LAN相同的接口上具有192.168.166.1 / 24 的辅助 IP。注意此时不要中断您的LAN生产流量。确切的操作方式取决于防火墙操作系统。

您可能还需要调整或扩展LAN接口的防火墙规则。

路径应为166machine-switch-firewall-switch-0machine（但您不会在traceroute中看到该交换机，因为以太网交换机位于第二层，而traceroute是ICMP位于第三层。

请注意，这称为“覆盖”网络，并且不提供任何额外的安全性。它不是DMZ，没有隔离，也不会从0网络隐藏166网络。