Які наслідки мають дві підмережі на одному комутаторі?


36

Чи може хто-небудь сказати мені, які наслідки наявності двох різних підмереж на одному комутаторі були б, якщо VLAN не використовуються?


У цьому випадку ризик підробки не є проблемою, про яку я хвилююся.
Кайл Брандт

2
Це також корисна інформація для адміністраторів, які переміщують мережу до нового діапазону IP.
Теренс Джонсон

Слід зазначити, що в деяких відповідях, наведених нижче, потрапляє трохи, що, якщо ви не використовуєте VLAN або статичну IP-адресу для своїх клієнтів, всі вони витягнуть DHCP із свого роду "за замовчуванням" сфери.
Адам Нофсінгер

Відповіді:


25

Речі будуть працювати майже так, як ви очікували. В основі цього вони просто діляться широкомовними доменами. Комп'ютери в різних підмережах не будуть ARP по всій підмережі, тому їм все одно знадобиться маршрутизатор (або вбудований суб'єкт рівня 3 в комутатор), щоб "спілкуватися" один з одним.

Оскільки вони поділяють домен широкомовного зв'язку, існує набагато менша (можливо, жодна) ізоляція, ніж якщо ви використовували VLAN. АРП та МАК підробляти хости легко в будь-якій підмережі з будь-якої підмережі.

Якщо ви просто робите це в лабораторному сценарії, це, мабуть, добре. Якщо вам справді потрібна ізоляція, хоча у виробничому розгортанні слід використовувати VLAN або окремі фізичні комутатори.


Це виробниче середовище, але підробка в цьому випадку насправді не є проблемою.
Кайл Брандт

1
Ви говорите про це, поки не буде. Або модернізуйте до комутаторів, які працюють з VLAN, або придбайте інший комутатор. Дійсно.
Метт Сіммонс

Отримав ще один перемикач :-)
Кайл Брандт

12

Якщо ви не використовуєте VLAN, людина може просто додати 2 IP-адреси до свого інтерфейсу, наприклад, 192.182.0.1/24і 172.16.0.1/24таким чином він отримав би доступ до обох мереж.

Використовуючи VLAN, ви можете позначати теги комутаторів так, що будь-який комп'ютер, налаштований на отримання трафіку лише від VLAN, не зможе отримати трафік (крім того, який спрямований на нього та має правильну VLAN) незалежно від налаштування локального інтерфейсу ( скільки IP-адрес є в інтерфейсі).

По суті:

  • якщо ви довіряєте своїм користувачам, взагалі немає причин використовувати VLAN (з точки зору безпеки).
  • якщо ви не довіряєте своїм користувачам, VLAN буде зберігати окремі групи користувачів одна від одної

8
VLAN не можна використовувати для безпеки. Вони призначені лише для управління. У Cisco є відмінна довідка, в якій обговорюються наслідки безпеки VLAN. Дивіться: cisco.com/en/US/products/hw/switches/ps708/…
Джозеф Керн

2
@JosephKern Ви можете дати мені TLDR, чому б ні?
Кевін Вілер

3
@KevinWheeler VLAN пропонує нульові механізми аутентифікації. Ось документ про ДАНС
Джозеф Керн

3

По-перше, я не впевнений, чому ви зробите це для користувачів. Єдиний сценарій, про який я можу придумати, полягає в тому, що у вас немає IP-адрес у вашій поточній підмережі користувача і ви не можете легко розширити поточну підмережу. У цьому випадку я думаю, було б добре додати ще одну підмережу. Підробляння підробкою стає проблемою, коли ви використовуєте IP-адреси таким чином, оскільки обидві підмережі рівні, тому ви маєте однаковий ризик підробки під час використання однієї підмережі або декількох. У мене є одне питання, як DHCP буде працювати. Якщо ваші діапазони DHCP не є суміжними, і DHCP-сервер обслуговує IP-адреси на основі "хелперної" адреси маршрутизатора, чи не всі запити переходитимуть в ту чи іншу сферу дії? Я припускаю, що це може стати проблемою, якщо ваш сервер DHCP сидить безпосередньо в домені широкомовного мовлення, але все-таки слід вивчити щось.

Все, що було сказано, я фактично роблю це у виробництві для одного зі своїх додатків. У мене є додаток, який має географічно різноманітні силоси, у кожного силосу є свій / 27. Ці ІС - це те, що я вважаю інфраструктурними ІС. Вони належать до тих серверів. Потім я направляю додаткових / 29 до того ж домену широкомовної передачі. Ця підмережа належить додатку. Коли я наступне оновлення обладнання, я збираю абсолютно новий силос з новим / 27, а потім зміню маршрут для програми / 29 на нього. Оскільки цей / 29 обробляє зв’язок з мережевими елементами, це дозволяє мені не потрібно перепрограмувати всі НЕ, якщо ми отримаємо нове обладнання або нове програмне забезпечення, а використання одного і того ж домену широкомовної передачі дозволяє мені це робити без спеціального NIC.


Причина полягає в тому, що наша старенька банальна ER ER система, яка переміщується, не може змінювати IP-адреси без повторної установки кожного клієнта (та інших проблем з AD). Дякую за ідею DHCP, мені доведеться вивчити це питання.
Кайл Брандт

3
  1. якщо у вас є недовірливі користувачі - деякі з них можуть підробляти ip-адреси з інших підмереж. якщо є якісь правила адрес - вони можуть їх обійти. деякі користувачі з subnet1 можуть підробляти адресу маршрутизатора в мережі b - і підслуховувати [принаймні частину] зв'язку.
  2. у вас буде більше трансляції "сміття" [пакети арп] - але це не повинно хвилювати вас, якщо у вас є кілька десятків користувачів та 100 або 1000 Мбіт / с посилання.

0

Ми реалізували це в нашій школі, тому що у нас було закінчено ip-адреси та дали нову підмережу для бездротової секції, прекрасно працює в мережі 3000 користувачів, для швидкого рішення це плюс, я згоден, що нам потрібно створити vlans для того, щоб зберегти безпеку.

DHCP-сервер (Windows) повинен мати дві нік-карти, підключені до одного комутатора (наша віртуальна, тому це не має значення), щоб видавати ips в бездротовій мережі, вам доведеться використовувати статичні IP-адреси в "старій мережі" , він не працюватиме, обслуговуючи два прилади dhcp через один і той же комутатор.


-3

Я щойно провів пару років, намагаючись вирішити проблему як із телефонною системою Poe, так і з комп'ютерною мережею на одному керованому комутаторі. Так, він повинен працювати без VLAN, але щомісяця або близько цього не відбувається і скидає перемикач, викликаючи нескінченні проблеми із підключеним обладнанням. (скидання системи телефону, скидання маршрутизатора та скидання випадкових комутаторів) Це було для нас кошмаром, коли ми шукали апаратну проблему, оскільки більшість приймає, що комутатор може це впоратися. Можливо, тупий перемикач, але керований перемикач ні. Я спробував кілька основних виробників, і всі вони були скинуті випадковим чином протягом місяця :(

ВЖЕ ВЛАДИ ВСЕ!

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.