Jakie są konsekwencje posiadania dwóch podsieci na tym samym przełączniku?

Czy ktoś może mi powiedzieć, jakie byłyby konsekwencje posiadania dwóch różnych podsieci na tym samym przełączniku, gdyby nie były używane sieci VLAN ?

Wszystko będzie działać tak, jak można się spodziewać. W samym centrum po prostu udostępniają domenę emisji. Komputery w różnych podsieciach nie obsługują ARP w podsieci, więc nadal będą potrzebować routera (lub wbudowanego elementu warstwy 3 w przełączniku), aby „rozmawiać” ze sobą.

Ponieważ dzielą domenę rozgłoszeniową, izolacja jest znacznie mniejsza (prawdopodobnie żadna) niż w przypadku korzystania z sieci VLAN. Łatwo byłoby sfałszować hosty ARP i MAC w dowolnej podsieci z dowolnej podsieci.

Jeśli robisz to tylko w scenariuszu laboratoryjnym, prawdopodobnie jest to w porządku. Jeśli jednak naprawdę potrzebujesz izolacji, we wdrożeniu produkcyjnym powinieneś użyć sieci VLAN lub oddzielnych przełączników fizycznych.

Jeśli nie korzystasz z sieci VLAN osoba może łatwo dodawać tylko 2 adresy IP do swojego interfejsu powiedzenia 192.182.0.1/24i 172.16.0.1/24tak, że może on lub ona dostęp do obu sieci.

Korzystając z sieci VLAN, można oznaczyć porty przełączników, aby komputer skonfigurowany do odbierania ruchu tylko z sieci VLAN nie był w stanie odbierać żadnego ruchu (z wyjątkiem tego skierowanego do niego i posiadającego prawidłową sieć VLAN) niezależnie od konfiguracji interfejsu lokalnego ( ile adresów IP znajduje się w interfejsie).

Zasadniczo:

• jeśli ufasz swoim użytkownikom, nie ma powodu, aby używać sieci VLAN (z punktu widzenia bezpieczeństwa).
• jeśli nie ufasz swoim użytkownikom, sieci VLAN utrzymają pewne grupy użytkowników oddzielone od siebie

Po pierwsze, nie jestem pewien, dlaczego miałbyś to robić dla użytkowników. Jedyny scenariusz, jaki mogę wymyślić, to brak adresów IP w bieżącej podsieci użytkownika i nie można łatwo rozszerzyć bieżącej podsieci. W tym przypadku myślę, że dobrze byłoby dodać kolejną podsieć. Sfałszowanie staje się problemem, gdy używasz adresów IP w ten sposób, ponieważ obie podsieci są równe, więc masz takie samo ryzyko fałszowania, czy używasz jednej podsieci, czy wielu. Jedno pytanie, które tu mam, brzmi: jak działa DHCP. Jeśli zakresy DHCP nie są ciągłe, a serwer DHCP obsługuje adresy IP oparte na adresie „pomocnika” routera, czy wszystkie żądania nie byłyby kierowane do jednego zakresu czy drugiego? Przypuszczam, że może to nie stanowić problemu, jeśli Twój serwer DHCP znajduje się bezpośrednio w domenie rozgłoszeniowej, ale nadal jest to coś do zbadania.

To powiedziawszy, robię to w produkcji dla jednej z moich aplikacji. Mam aplikację, która ma zróżnicowane geograficznie silosy, każdy silos ma swój własny / 27. Te adresy IP są tym, co uważam za adresy IP infrastruktury. Należą do tych serwerów. Następnie kieruję dodatkowy / 29 do tej samej domeny rozgłoszeniowej. Ta podsieć należy do aplikacji. Kiedy następnym razem zaktualizuję sprzęt, zbuduję całkowicie nowy silos z nowym / 27, a następnie zmienię na nim trasę dla aplikacji / 29. Ponieważ ta / 29 obsługuje komunikację z elementami sieci, pozwala mi to nie musieć przeprogramowywać wszystkich NE, jeśli otrzymamy nowy sprzęt lub nowe oprogramowanie, a użycie tej samej domeny rozgłoszeniowej pozwala mi to zrobić bez dedykowanej karty sieciowej.

1. jeśli masz niezaufanych użytkowników - niektórzy z nich mogą sfałszować adresy IP tych z innej podsieci. jeśli są jakieś reguły adresowe - mogą je ominąć. niektórzy użytkownicy z podsieci 1 mogą sfałszować adres routera w sieci b - i podsłuchiwać co najmniej część komunikacji.
2. będziesz mieć więcej rozgłaszanych „śmieci” [pakietów arp] - ale to nie powinno być twoim zmartwieniem, jeśli masz kilkudziesięciu użytkowników i łącze 100 lub 1000 Mbit / s.

Zaimplementowaliśmy to w naszej szkole, ponieważ zabrakło nam adresów IP i daliśmy nową podsieć sekcji bezprzewodowej, działa dobrze w sieci 3000 użytkowników, dla szybkiego rozwiązania jest plusem, zgadzam się, że musimy stworzyć vlany, aby zachować bezpieczeństwo.

Serwer DHCP (Windows) musi mieć dwie karty nic podłączone do tego samego przełącznika (nasz jest wirtualny, więc to nie ma znaczenia), aby udostępnić IP w sieci bezprzewodowej, będziesz musiał użyć statycznych adresów IP w „starej sieci” , nie będzie działać, obsługując dwa zakresy dhcp na tym samym przełączniku.

Właśnie spędziłem kilka lat próbując rozwiązać problem zarówno z systemem telefonicznym Poe, jak i siecią komputerową na tym samym zarządzanym przełączniku. Tak, powinien działać bez sieci VLAN, ale co miesiąc nie działa i resetuje przełącznik, powodując niekończące się problemy z podłączonym sprzętem. (resety systemu telefonicznego, resetowania routera i losowego resetowania przełączników) To był dla nas koszmar, ponieważ szukaliśmy problemu ze sprzętem, ponieważ większość akceptuje, że przełącznik może sobie z tym poradzić. Może głupi przełącznik, ale przełącznik zarządzany nie. Wypróbowałem kilka głównych producentów i wszyscy zresetują się losowo w ciągu miesiąca :(

ZAWSZE VLAN ZAWSZE!