Каковы последствия наличия двух подсетей на одном коммутаторе?

36

Может кто-нибудь сказать мне, что некоторые из последствий наличия двух разных подсетей на одном коммутаторе будут, если VLAN не используются?

Кайл Брандт
источник
В этом случае риск подмены не является проблемой, о которой я беспокоюсь.
Кайл Брандт
2
Это также полезная информация для администраторов, которые переносят сеть на новый диапазон IP-адресов.
Теренс Джонсон
Следует отметить, что в некоторых ответах, приведенных ниже, немного пострадает то, что, если вы не используете VLAN или статическую IP-адресацию на своих клиентах, они все будут извлекать DHCP из своего рода «области по умолчанию».
Адам Нофсингер

Ответы:

25

Все будет работать так, как вы ожидаете. По сути, они просто делят домен вещания. Компьютеры в разных подсетях не будут ARP через подсеть, поэтому им все равно потребуется маршрутизатор (или встроенный объект 3-го уровня в коммутаторе), чтобы «общаться» друг с другом.

Поскольку они совместно используют широковещательный домен, существует гораздо меньшая (возможно, нет) изоляция, чем если бы вы использовали VLAN. Было бы легко подделать хосты ARP и MAC в любой подсети из любой подсети.

Если вы просто делаете это в лабораторном сценарии, это, вероятно, хорошо. Если вы действительно нуждаетесь в изоляции, то при производственном развертывании вы должны использовать VLAN или отдельные физические коммутаторы.

Эван Андерсон
источник
Это производственная среда, но в этом случае подмена не является проблемой.
Кайл Брандт
1
Вы говорите это, пока это не так. Обновите коммутаторы до VLAN или купите другой коммутатор. В самом деле.
Мэтт Симмонс
Получил еще один переключатель :-)
Кайл Брандт
12

Если вы не используете сети VLAN человек может легко просто добавить 2 IP - адреса их интерфейс говорят 192.182.0.1/24и 172.16.0.1/24так , что он или она может получить доступ к обеим сетям.

Используя VLAN, вы можете пометить порты коммутатора так, чтобы любой компьютер, настроенный на получение трафика только от VLAN, не мог получать трафик (кроме того, который направлен на него и имеет правильную VLAN) независимо от того, как настроен локальный интерфейс ( сколько IP-адресов на интерфейсе).

По сути:

  • если вы доверяете своим пользователям, нет никакой причины использовать VLAN (с точки зрения безопасности).
  • если вы не доверяете своим пользователям, виртуальные локальные сети будут держать определенные группы пользователей отделенными друг от друга
serverhorror
источник
8
VLAN не должны использоваться для безопасности. Они только для целей управления. У Cisco есть превосходный технический документ, обсуждающий последствия безопасности VLAN. См. Cisco.com/en/US/products/hw/switches/ps708/…
Джозеф Керн
2
@JosephKern Можете ли вы дать мне TLDR, почему бы и нет?
Кевин Уилер
3
@KevinWheeler VLAN предлагает нулевые механизмы аутентификации. Вот статья SANS с более подробным объяснением: sans.org/reading-room/whitepapers/networkdevs/…
Джозеф Керн,
3

Во-первых, я не уверен, почему вы сделали бы это для пользователей. Единственный сценарий, о котором я могу подумать, это то, что у вас нет IP-адресов в вашей текущей пользовательской подсети, и вы не можете легко расширить вашу текущую подсеть. В этом случае я думаю, что было бы хорошо добавить еще одну подсеть. Подделка становится не проблема, когда вы используете IP-адреса таким образом, потому что обе подсети равны, поэтому вы имеете одинаковый риск подделки, будь то одна подсеть или несколько. У меня есть один вопрос: как будет работать DHCP? Если ваши области DHCP не являются смежными, а сервер DHCP обслуживает IP-адреса на основе «вспомогательного» адреса маршрутизатора, не все ли запросы будут направлены в одну или в другую область? Я полагаю, что это может стать проблемой, если ваш DHCP-сервер находится непосредственно в домене широковещательной рассылки, но это еще кое-что для изучения.

Все это говорит о том, что я делаю это на производстве для одного из своих приложений. У меня есть приложение, которое имеет географически разнообразные бункеры, каждый из которых имеет свои собственные / 27. Эти IP-адреса - это то, что я считаю инфраструктурными IP-адресами. Они принадлежат этим серверам. Затем я направляю дополнительные / 29 к тому же широковещательному домену. Эта подсеть принадлежит приложению. Когда я в следующий раз модернизирую аппаратное обеспечение, я создам совершенно новый бункер с новым / 27, а затем изменим маршрут для приложения / 29 на него. Так как этот / 29 обрабатывает связь с сетевыми элементами, это позволяет мне не перепрограммировать все NE, если мы получаем новое оборудование или новое программное обеспечение, а использование того же широковещательного домена позволяет мне делать это без выделенного сетевого адаптера.

jj33
источник
«Почему» заключается в том, что наша дрянная старая система ERP pos, которая перемещается, не может изменить IP-адреса без переустановки каждого отдельного клиента (и других проблем с AD). Спасибо за идею DHCP, мне придется исследовать эту проблему.
Кайл Брандт
3
  1. если у вас есть ненадежные пользователи - некоторые из них могут подделывать IP-адреса из других подсетей. если есть какие-то правила адресов - они могут их обойти. некоторые пользователи из подсети1 могут подделать адрес маршрутизатора в сети b и подслушать [хотя бы часть] связи.
  2. у вас будет больше широковещательного мусора [arp-пакетов], но это не должно вас беспокоить, если у вас несколько десятков пользователей и 100 или 1000 Мбит / с.
PQD
источник
0

Мы внедрили это в нашей школе, потому что у нас заканчивались IP-адреса и мы выделили новую подсеть для беспроводной секции, она отлично работает в сети на 3000 пользователей, для быстрого решения это плюс, я согласен, что мы должны создать VLAN для того, чтобы сохранить безопасность.

DHCP-сервер (Windows) должен иметь две никель-карты, подключенные к одному коммутатору (наш виртуальный, поэтому это не имеет значения), чтобы выдавать ips беспроводной сети, вам придется использовать статические IP-адреса в «старой сети» , он не будет работать, обслуживая две области DHCP по одному и тому же коммутатору.

JCMoreno
источник
-3

Я только что провел пару лет, пытаясь решить проблему как с системой Poe Phone, так и с компьютерной сетью на одном и том же управляемом коммутаторе. Да, он должен работать без VLAN, но каждый месяц или около того он не работает и будет сбрасывать коммутатор, вызывая бесконечные проблемы с подключенным оборудованием. (перезагрузка телефонной системы, перезагрузка маршрутизатора и случайный сброс коммутатора) Для нас это был кошмар, так как мы искали аппаратную проблему, так как большинство соглашается, что коммутатор может справиться с этим. Возможно, тупой переключатель, но управляемый - нет. Я перепробовал несколько крупных производителей, и все они случайно сбрасывались в течение месяца :(

ВСЕГДА VLAN ВСЕГДА!

Ned
источник