Вопрос: Каковы последствия наличия двух подсетей на одном коммутаторе?


Может ли кто-нибудь сказать мне, что некоторые из последствий наличия двух разных подсетей на одном и том же коммутаторе будут, если VLAN не быть использованным?


34
2018-06-15 14:38


Источник


В этом случае риск спуфинга не является проблемой, о которой я беспокоюсь. - Kyle Brandt♦
Это также полезная информация для администраторов, переносящих сеть на новый IP-диапазон. - Terence Johnson
Следует отметить, что в некоторых из приведенных ниже ответов немного сказано, что если вы не используете VLAN или статическую IP-адресацию на своих клиентах, все они будут вытаскивать DHCP из своего класса «по умолчанию». - Adam Nofsinger


Ответы:


Все будет работать так, как вы ожидали. В основе всего этого они просто используют широковещательный домен. Компьютеры в разных подсетях не будут использовать ARP для подсети, поэтому для «разговора» они все равно нуждаются в маршрутизаторе (или внедренном уровне 3-го уровня в коммутаторе).

Поскольку они используют широковещательный домен, гораздо меньше (возможно, нет) изоляции, чем если вы используете VLAN. Это было бы легко для хостов ARP и MAC spoof в любой подсети из любой подсети.

Если вы просто делаете это в лабораторном сценарии, это, вероятно, прекрасно. Однако, если вам действительно нужна изоляция, в производственном развертывании вы должны использовать VLAN или отдельные физические переключатели.


24
2018-06-15 14:43



Это производственная среда, но spoofing на самом деле не проблема в этом случае. - Kyle Brandt♦
Вы говорите это до тех пор, пока это не произойдет. Или обновите до коммутаторов, которые используют VLAN, или купите другой коммутатор. В самом деле. - Matt Simmons
Получил еще один переключатель :-) - Kyle Brandt♦


Если вы не используете VLAN, человек может легко добавить 2 IP-адреса в свой интерфейс. 192.182.0.1/24 а также 172.16.0.1/24 чтобы он или она могли получить доступ к обеим сетям.

Используя VLAN, вы можете пометить коммутаторы так, чтобы любой компьютер, настроенный только для приема трафика из VLAN, не смог получить какой-либо трафик (за исключением того, который был направлен на него и имел правильную VLAN), независимо от того, как настроен локальный интерфейс ( сколько IP-адресов есть на интерфейсе).

По существу:

  • если вы доверяете своим пользователям, нет никакой причины использовать VLAN (с точки зрения безопасности).
  • если вы не доверяете своим пользователям, VLAN будут поддерживать отдельные группы пользователей друг от друга

11
2018-06-15 14:44



VLAN не должны использоваться для обеспечения безопасности. Они предназначены только для целей управления. Cisco имеет отличную техническую документацию, в которой обсуждаются последствия использования VLAN для безопасности. Видеть: cisco.com/en/US/products/hw/switches/ps708/... - Joseph Kern
@JosephKern Можете ли вы дать мне TLDR, почему бы и нет? - Kevin Wheeler
@KevinWheeler VLAN предлагает нулевые механизмы аутентификации. Вот документ SANS с более длинным объяснением: sans.org/reading-room/whitepapers/networkdevs/... - Joseph Kern


Во-первых, я не уверен, почему вы сделаете это для пользователей. Один из сценариев, о которых я могу думать, заключается в том, что вы не используете IP-адреса в текущей подсети пользователя и не можете легко расширить свою текущую подсеть. В этом случае я думаю, что было бы неплохо добавить еще одну подсеть. Подмакирующая вещь становится не-проблемой, когда вы используете IP-адреса таким образом, потому что обе подсети равны, поэтому у вас есть тот же риск подмены, будь то использование одной подсети или нескольких. Один из вопросов, который я имею здесь, заключается в том, как будет работать DHCP. Если ваши области DHCP не являются непрерывными, а DHCP-сервер обслуживает IP-адреса на основе «вспомогательного» адреса маршрутизатора, не все ли запросы будут переходить в одну область или другую? Я полагаю, это может стать проблемой без проблем, если ваш DHCP-сервер находится непосредственно в широковещательном домене, но это еще что-то для изучения.

Все, что сказал, я действительно делаю это в производстве для одного из моих приложений. У меня есть приложение, имеющее географически разнообразные силосы, у каждого силоса есть свои / 27. Эти IP-адреса являются тем, что я считаю инфраструктурными IP-адресами. Они принадлежат этим серверам. Затем я направляю дополнительный / 29 в тот же широковещательный домен. Эта подсеть относится к приложению. Когда я буду обновлять аппаратное обеспечение, я создам совершенно новый силос с новым / 27, а затем изменю маршрут для приложения / 29 на него. Поскольку этот / 29 обрабатывает связь с сетевыми элементами, это позволяет мне не перепрограммировать все NE, если мы получаем новое оборудование или новое программное обеспечение, и использование того же широковещательного домена позволяет мне делать это без специального сетевого адаптера.


3
2018-06-15 14:57



«Почему» заключается в том, что наша система crappy old pos ERP, которая перемещается, не может изменять IP-адреса без переустановки каждого отдельного клиента (и других проблем с AD). Спасибо за идею DHCP, мне придется изучить эту проблему. - Kyle Brandt♦


  1. если у вас есть ненадежные пользователи - некоторые из них могут обманывать IP-адреса из других подсети. если есть некоторые правила адреса - они могут обойти их. некоторые пользователи из подсети1 могут обманывать адрес маршрутизатора в сети b - и подслушивать в [по крайней мере часть сообщения].
  2. у вас будет больше трансляции «мусора» [arp packets] - но это не должно вас беспокоить, если у вас мало десятков пользователей и 100 или 1000 Мбит / с.

3
2018-06-15 14:42





Мы реализовали это в нашей школе, потому что у нас не хватало IP-адресов и предоставили новую подсеть для беспроводной секции, отлично работает в сети 3000 пользователей, потому что быстрое решение - плюс, я согласен, что мы должны создавать vlans для того, чтобы сохранить безопасность.

DHCP-сервер (Windows) должен иметь две сим-карты, подключенные к одному коммутатору (наш виртуальный, так что это не имеет значения), чтобы выдавать ips в беспроводную сеть, вам придется использовать статические IP-адреса в «старой сети», , он не будет работать, обслуживая две области dhcp над одним и тем же коммутатором.


0
2017-10-08 20:59





Я только что потратил пару лет, пытаясь решить проблему как с телефонной сетью, так и с компьютерной сетью на том же управляемом коммутаторе. Да, он должен работать без VLAN, но каждый месяц или около того он не делает и перезагружает коммутатор, вызывая бесконечные проблемы с подключенным оборудованием. (сброс телефонной системы, сброс маршрутизатора и сброс случайных переключателей) Это был кошмар для нас, поскольку мы искали проблему с оборудованием, поскольку большинство из них согласны с тем, что коммутатор может справиться с этим. Может быть, немой переключатель, но управляемый коммутатор этого не делает. Я попробовал несколько крупных производителей, и они бы сбросили случайным образом в течение месяца :(

AlWAYS VLAN ВСЕГДА!


-3
2017-11-22 16:11