Jakie są konsekwencje posiadania dwóch podsieci na tym samym przełączniku?

36

Czy ktoś może mi powiedzieć, jakie byłyby konsekwencje posiadania dwóch różnych podsieci na tym samym przełączniku, gdyby nie były używane sieci VLAN ?

Kyle Brandt
źródło
W tym przypadku ryzyko fałszowania nie jest problemem, o który się martwię.
Kyle Brandt
2
Jest to również przydatna informacja dla administratorów migrujących sieć do nowego zakresu adresów IP.
Terence Johnson
Jedną z rzeczy, na które należy zwrócić uwagę, która jest nieco uderzana w niektórych z poniższych odpowiedzi, jest to, że o ile nie użyjesz VLAN lub statycznego adresowania IP na swoich klientach, wszystkie one ściągną DHCP z rodzaju „domyślnego” zakresu.
Adam Nofsinger

Odpowiedzi:

25

Wszystko będzie działać tak, jak można się spodziewać. W samym centrum po prostu udostępniają domenę emisji. Komputery w różnych podsieciach nie obsługują ARP w podsieci, więc nadal będą potrzebować routera (lub wbudowanego elementu warstwy 3 w przełączniku), aby „rozmawiać” ze sobą.

Ponieważ dzielą domenę rozgłoszeniową, izolacja jest znacznie mniejsza (prawdopodobnie żadna) niż w przypadku korzystania z sieci VLAN. Łatwo byłoby sfałszować hosty ARP i MAC w dowolnej podsieci z dowolnej podsieci.

Jeśli robisz to tylko w scenariuszu laboratoryjnym, prawdopodobnie jest to w porządku. Jeśli jednak naprawdę potrzebujesz izolacji, we wdrożeniu produkcyjnym powinieneś użyć sieci VLAN lub oddzielnych przełączników fizycznych.

Evan Anderson
źródło
Jest to środowisko produkcyjne, ale fałszowanie nie jest tak naprawdę problemem w tym przypadku.
Kyle Brandt
1
Mówisz tak, dopóki nie będzie. Uaktualnij do przełączników obsługujących sieci VLAN lub kup inny przełącznik. Naprawdę.
Matt Simmons,
Dostałem kolejny Switch :-)
Kyle Brandt
12

Jeśli nie korzystasz z sieci VLAN osoba może łatwo dodawać tylko 2 adresy IP do swojego interfejsu powiedzenia 192.182.0.1/24i 172.16.0.1/24tak, że może on lub ona dostęp do obu sieci.

Korzystając z sieci VLAN, można oznaczyć porty przełączników, aby komputer skonfigurowany do odbierania ruchu tylko z sieci VLAN nie był w stanie odbierać żadnego ruchu (z wyjątkiem tego skierowanego do niego i posiadającego prawidłową sieć VLAN) niezależnie od konfiguracji interfejsu lokalnego ( ile adresów IP znajduje się w interfejsie).

Zasadniczo:

  • jeśli ufasz swoim użytkownikom, nie ma powodu, aby używać sieci VLAN (z punktu widzenia bezpieczeństwa).
  • jeśli nie ufasz swoim użytkownikom, sieci VLAN utrzymają pewne grupy użytkowników oddzielone od siebie
Serverhorror
źródło
8
Sieci VLAN nie powinny być używane dla bezpieczeństwa. Są one wyłącznie do celów zarządzania. Cisco ma doskonałą białą księgę omawiającą implikacje VLAN dla bezpieczeństwa. Zobacz: cisco.com/en/US/products/hw/switches/ps708/…
Joseph Kern
2
@JosephKern Czy możesz podać TLDR, dlaczego nie?
Kevin Wheeler,
3
@KevinWheeler VLAN oferuje zero mechanizmów uwierzytelniania. Oto artykuł SANS z dłuższym wyjaśnieniem: sans.org/reading-room/whitepapers/networkdevs/…
Joseph Kern
3

Po pierwsze, nie jestem pewien, dlaczego miałbyś to robić dla użytkowników. Jedyny scenariusz, jaki mogę wymyślić, to brak adresów IP w bieżącej podsieci użytkownika i nie można łatwo rozszerzyć bieżącej podsieci. W tym przypadku myślę, że dobrze byłoby dodać kolejną podsieć. Sfałszowanie staje się problemem, gdy używasz adresów IP w ten sposób, ponieważ obie podsieci są równe, więc masz takie samo ryzyko fałszowania, czy używasz jednej podsieci, czy wielu. Jedno pytanie, które tu mam, brzmi: jak działa DHCP. Jeśli zakresy DHCP nie są ciągłe, a serwer DHCP obsługuje adresy IP oparte na adresie „pomocnika” routera, czy wszystkie żądania nie byłyby kierowane do jednego zakresu czy drugiego? Przypuszczam, że może to nie stanowić problemu, jeśli Twój serwer DHCP znajduje się bezpośrednio w domenie rozgłoszeniowej, ale nadal jest to coś do zbadania.

To powiedziawszy, robię to w produkcji dla jednej z moich aplikacji. Mam aplikację, która ma zróżnicowane geograficznie silosy, każdy silos ma swój własny / 27. Te adresy IP są tym, co uważam za adresy IP infrastruktury. Należą do tych serwerów. Następnie kieruję dodatkowy / 29 do tej samej domeny rozgłoszeniowej. Ta podsieć należy do aplikacji. Kiedy następnym razem zaktualizuję sprzęt, zbuduję całkowicie nowy silos z nowym / 27, a następnie zmienię na nim trasę dla aplikacji / 29. Ponieważ ta / 29 obsługuje komunikację z elementami sieci, pozwala mi to nie musieć przeprogramowywać wszystkich NE, jeśli otrzymamy nowy sprzęt lub nowe oprogramowanie, a użycie tej samej domeny rozgłoszeniowej pozwala mi to zrobić bez dedykowanej karty sieciowej.

jj33
źródło
„Dlaczego” polega na tym, że nasz gówniany stary system ERP pos, który jest przenoszony, nie może zmienić adresów IP bez ponownej instalacji każdego klienta (i innych problemów z AD). Dziękuję za pomysł DHCP, będę musiał zbadać ten problem.
Kyle Brandt
3
  1. jeśli masz niezaufanych użytkowników - niektórzy z nich mogą sfałszować adresy IP tych z innej podsieci. jeśli są jakieś reguły adresowe - mogą je ominąć. niektórzy użytkownicy z podsieci 1 mogą sfałszować adres routera w sieci b - i podsłuchiwać co najmniej część komunikacji.
  2. będziesz mieć więcej rozgłaszanych „śmieci” [pakietów arp] - ale to nie powinno być twoim zmartwieniem, jeśli masz kilkudziesięciu użytkowników i łącze 100 lub 1000 Mbit / s.
pQd
źródło
0

Zaimplementowaliśmy to w naszej szkole, ponieważ zabrakło nam adresów IP i daliśmy nową podsieć sekcji bezprzewodowej, działa dobrze w sieci 3000 użytkowników, dla szybkiego rozwiązania jest plusem, zgadzam się, że musimy stworzyć vlany, aby zachować bezpieczeństwo.

Serwer DHCP (Windows) musi mieć dwie karty nic podłączone do tego samego przełącznika (nasz jest wirtualny, więc to nie ma znaczenia), aby udostępnić IP w sieci bezprzewodowej, będziesz musiał użyć statycznych adresów IP w „starej sieci” , nie będzie działać, obsługując dwa zakresy dhcp na tym samym przełączniku.

JCMoreno
źródło
-3

Właśnie spędziłem kilka lat próbując rozwiązać problem zarówno z systemem telefonicznym Poe, jak i siecią komputerową na tym samym zarządzanym przełączniku. Tak, powinien działać bez sieci VLAN, ale co miesiąc nie działa i resetuje przełącznik, powodując niekończące się problemy z podłączonym sprzętem. (resety systemu telefonicznego, resetowania routera i losowego resetowania przełączników) To był dla nas koszmar, ponieważ szukaliśmy problemu ze sprzętem, ponieważ większość akceptuje, że przełącznik może sobie z tym poradzić. Może głupi przełącznik, ale przełącznik zarządzany nie. Wypróbowałem kilka głównych producentów i wszyscy zresetują się losowo w ciągu miesiąca :(

ZAWSZE VLAN ZAWSZE!

Ned
źródło