Які наслідки мають дві підмережі на одному комутаторі?

Чи може хто-небудь сказати мені, які наслідки наявності двох різних підмереж на одному комутаторі були б, якщо VLAN не використовуються?

Речі будуть працювати майже так, як ви очікували. В основі цього вони просто діляться широкомовними доменами. Комп'ютери в різних підмережах не будуть ARP по всій підмережі, тому їм все одно знадобиться маршрутизатор (або вбудований суб'єкт рівня 3 в комутатор), щоб "спілкуватися" один з одним.

Оскільки вони поділяють домен широкомовного зв'язку, існує набагато менша (можливо, жодна) ізоляція, ніж якщо ви використовували VLAN. АРП та МАК підробляти хости легко в будь-якій підмережі з будь-якої підмережі.

Якщо ви просто робите це в лабораторному сценарії, це, мабуть, добре. Якщо вам справді потрібна ізоляція, хоча у виробничому розгортанні слід використовувати VLAN або окремі фізичні комутатори.

Якщо ви не використовуєте VLAN, людина може просто додати 2 IP-адреси до свого інтерфейсу, наприклад, 192.182.0.1/24і 172.16.0.1/24таким чином він отримав би доступ до обох мереж.

Використовуючи VLAN, ви можете позначати теги комутаторів так, що будь-який комп'ютер, налаштований на отримання трафіку лише від VLAN, не зможе отримати трафік (крім того, який спрямований на нього та має правильну VLAN) незалежно від налаштування локального інтерфейсу ( скільки IP-адрес є в інтерфейсі).

По суті:

• якщо ви довіряєте своїм користувачам, взагалі немає причин використовувати VLAN (з точки зору безпеки).
• якщо ви не довіряєте своїм користувачам, VLAN буде зберігати окремі групи користувачів одна від одної

По-перше, я не впевнений, чому ви зробите це для користувачів. Єдиний сценарій, про який я можу придумати, полягає в тому, що у вас немає IP-адрес у вашій поточній підмережі користувача і ви не можете легко розширити поточну підмережу. У цьому випадку я думаю, було б добре додати ще одну підмережу. Підробляння підробкою стає проблемою, коли ви використовуєте IP-адреси таким чином, оскільки обидві підмережі рівні, тому ви маєте однаковий ризик підробки під час використання однієї підмережі або декількох. У мене є одне питання, як DHCP буде працювати. Якщо ваші діапазони DHCP не є суміжними, і DHCP-сервер обслуговує IP-адреси на основі "хелперної" адреси маршрутизатора, чи не всі запити переходитимуть в ту чи іншу сферу дії? Я припускаю, що це може стати проблемою, якщо ваш сервер DHCP сидить безпосередньо в домені широкомовного мовлення, але все-таки слід вивчити щось.

Все, що було сказано, я фактично роблю це у виробництві для одного зі своїх додатків. У мене є додаток, який має географічно різноманітні силоси, у кожного силосу є свій / 27. Ці ІС - це те, що я вважаю інфраструктурними ІС. Вони належать до тих серверів. Потім я направляю додаткових / 29 до того ж домену широкомовної передачі. Ця підмережа належить додатку. Коли я наступне оновлення обладнання, я збираю абсолютно новий силос з новим / 27, а потім зміню маршрут для програми / 29 на нього. Оскільки цей / 29 обробляє зв’язок з мережевими елементами, це дозволяє мені не потрібно перепрограмувати всі НЕ, якщо ми отримаємо нове обладнання або нове програмне забезпечення, а використання одного і того ж домену широкомовної передачі дозволяє мені це робити без спеціального NIC.

1. якщо у вас є недовірливі користувачі - деякі з них можуть підробляти ip-адреси з інших підмереж. якщо є якісь правила адрес - вони можуть їх обійти. деякі користувачі з subnet1 можуть підробляти адресу маршрутизатора в мережі b - і підслуховувати [принаймні частину] зв'язку.
2. у вас буде більше трансляції "сміття" [пакети арп] - але це не повинно хвилювати вас, якщо у вас є кілька десятків користувачів та 100 або 1000 Мбіт / с посилання.

Ми реалізували це в нашій школі, тому що у нас було закінчено ip-адреси та дали нову підмережу для бездротової секції, прекрасно працює в мережі 3000 користувачів, для швидкого рішення це плюс, я згоден, що нам потрібно створити vlans для того, щоб зберегти безпеку.

DHCP-сервер (Windows) повинен мати дві нік-карти, підключені до одного комутатора (наша віртуальна, тому це не має значення), щоб видавати ips в бездротовій мережі, вам доведеться використовувати статичні IP-адреси в "старій мережі" , він не працюватиме, обслуговуючи два прилади dhcp через один і той же комутатор.

Я щойно провів пару років, намагаючись вирішити проблему як із телефонною системою Poe, так і з комп'ютерною мережею на одному керованому комутаторі. Так, він повинен працювати без VLAN, але щомісяця або близько цього не відбувається і скидає перемикач, викликаючи нескінченні проблеми із підключеним обладнанням. (скидання системи телефону, скидання маршрутизатора та скидання випадкових комутаторів) Це було для нас кошмаром, коли ми шукали апаратну проблему, оскільки більшість приймає, що комутатор може це впоратися. Можливо, тупий перемикач, але керований перемикач ні. Я спробував кілька основних виробників, і всі вони були скинуті випадковим чином протягом місяця :(

ВЖЕ ВЛАДИ ВСЕ!