it-swarm-ru.tech

Каковы последствия наличия двух подсетей на одном коммутаторе?

Может кто-нибудь сказать мне, что некоторые из последствий наличия двух разных подсетей на одном коммутаторе будут, если VLAN не используется?

36
Kyle Brandt

Все будет работать так, как вы ожидаете. По сути, они просто делят домен вещания. Компьютеры в разных подсетях не будут ARP через подсеть, поэтому им все равно потребуется маршрутизатор (или встроенный объект уровня 3 в коммутаторе) для того, чтобы "общаться" друг с другом.

Поскольку они совместно используют широковещательный домен, существует гораздо меньшая (возможно, нет) изоляция, чем если бы вы использовали VLAN. Было бы легко подделать хосты ARP и MAC в любой подсети из любой подсети.

Если вы просто делаете это в лабораторном сценарии, это, вероятно, хорошо. Если вы действительно нуждаетесь в изоляции, то при производственном развертывании вы должны использовать VLAN или отдельные физические коммутаторы.

25
Evan Anderson

Если вы не используете VLAN, человек может легко добавить 2 IP-адреса в свой интерфейс, скажем 192.182.0.1/24 а также 172.16.0.1/24, чтобы он или она могли получить доступ к обеим сетям.

Используя VLAN, вы можете пометить порты коммутатора таким образом, чтобы любой компьютер, настроенный на получение трафика только от VLAN, не сможет получать трафик (кроме того, который направлен на него и имеет правильную VLAN) независимо от того, как настроен локальный интерфейс (сколько IP-адресов на интерфейсе).

По сути:

  • если вы доверяете своим пользователям, нет никакой причины использовать VLAN (с точки зрения безопасности).
  • если вы не доверяете своим пользователям, виртуальные локальные сети будут держать определенные группы пользователей отделенными друг от друга
12
serverhorror
  1. если у вас есть ненадежные пользователи - некоторые из них могут подделывать IP-адреса из других подсетей. если есть какие-то правила адресов - они могут их обойти. некоторые пользователи из подсети1 могут подделать адрес маршрутизатора в сети b и подслушать [хотя бы часть] связи.
  2. у вас будет больше широковещательного мусора [arp-пакетов], но это не должно вас беспокоить, если у вас несколько десятков пользователей и 100 или 1000 Мбит/с.
3
pQd

Во-первых, я не уверен, почему вы сделали бы это для пользователей. Единственный сценарий, о котором я могу подумать, это то, что у вас нет IP-адресов в вашей текущей пользовательской подсети, и вы не можете легко расширить вашу текущую подсеть. В этом случае я думаю, что было бы хорошо добавить еще одну подсеть. Подделка становится не проблема, когда вы используете IP-адреса таким образом, потому что обе подсети равны, поэтому вы имеете одинаковый риск подделки, будь то одна подсеть или несколько. У меня есть один вопрос: как будет работать DHCP? Если ваши области DHCP не являются смежными, и сервер DHCP обслуживает IP-адреса на основе "вспомогательного" адреса маршрутизатора, не все ли запросы будут направлены в одну область или другую? Я полагаю, что это может стать проблемой, если ваш DHCP-сервер находится непосредственно в домене широковещательной рассылки, но это еще кое-что для изучения.

Все это говорит о том, что я делаю это на производстве для одного из своих приложений. У меня есть приложение, которое имеет географически разнообразные бункеры, каждый из которых имеет свои собственные/27. Эти IP-адреса я считаю инфраструктурными. Они принадлежат этим серверам. Затем я направляю дополнительные/29 к тому же широковещательному домену. Эта подсеть принадлежит приложению. Когда я в следующий раз обновлю аппаратное обеспечение, я создам совершенно новый бункер с новым/27, а затем изменим маршрут для приложения/29 на него. Так как этот/29 обрабатывает связь с сетевыми элементами, это позволяет мне не перепрограммировать все NE, если мы получаем новое оборудование или новое программное обеспечение, а использование того же широковещательного домена позволяет мне делать это без выделенного сетевого адаптера.

3
jj33

Мы внедрили это в нашей школе, потому что у нас заканчивались IP-адреса и мы выделили новую подсеть для беспроводной секции, она отлично работает в сети на 3000 пользователей, для быстрого решения это плюс, я согласен, что мы должны создать VLAN для того, чтобы сохранить безопасность.

DHCP-сервер (Windows) должен иметь две никель-карты, подключенные к одному коммутатору (наш виртуальный, поэтому это не имеет значения), чтобы выдавать ips беспроводной сети, вам придется использовать статические IP-адреса в "старой сети" , он не будет работать, обслуживая две области DHCP по одному и тому же коммутатору.

0
JCMoreno