Вопрос: Можно ли использовать один коммутатор для нескольких подсетей?


На мгновение забыть о том, является ли следующее типичным или легким для объяснения, безопасно и здорово?

 Internet
    |
ISP supplied router x.x.x.1 (public subnet)
    |
  switch-------------------------------------+
  | (public subnet)                          | (public subnet)
BVI router (switch with an access list)      NAT router
  | (public subnet)                          | (private subnet 192.168.50.1)
  +--------------------------------switch----+ (both subnets)
                                    |  |
computer with IP 192.168.50.2 ------+  +----computer with IP x.x.x.2

Я не планирую реализовывать эту настройку, но мне это интересно.

  • Компьютер 50.2 может отправить пакет на компьютер x.2, но он будет использовать 50.1 в качестве маршрутизатора, поскольку 50.2 знает, что подсеть отличается. Это приведет к тому, что пакет будет приниматься дважды машиной x.2, сначала непосредственно через коммутатор, а второй через два маршрутизатора?
  • Вы видите какие-либо проблемы с этим помимо того, как это запутывает, и что он поставит один коммутатор, выполняющий работу двух подсетей?

Дополнительные детали:

  • Не будет задействован DHCP. (это было бы действительно запутанным)
  • Я знаю, что я полностью устранил любую безопасность / разделение, которое я обычно имел между x.x.x.* а также 192.168.50.*,
  • Я не заинтересован в прямой связи между x.x.x.* а также 192.168.50.*, Я просто заинтересован в предотвращении бесконечных циклов или двойной доставке всех пакетов.
  • Мои переключатели являются неуправляемыми / немыми переключателями - за исключением маршрутизатора BVI. «Роутер» настроен на BVI (аналогично мостовому маршруту). Он работает так же, как и коммутатор, за исключением его удаления пакетов на основе IP-адреса и порта источника и получателя.

5
2018-06-11 20:28


Источник




Ответы:


Это приведет к тому, что пакет будет приниматься дважды машиной x.2, сначала непосредственно через   переключатель, второй через два маршрутизатора?

Нет, потому что коммутатор не является концентратором. Коммутатор отправляет одноадресные пакеты только тем портам, на которых зарегистрирован принимающий MAC-адрес.

• Вы видите какие-либо проблемы с этим, помимо того, насколько запутанным является это, и что он поместит один   переключатель выполняет работу двух подсетей?

Нет, но помните, что ваша безопасность такая же тонкая, как и она. Доступ к портам - отсутствие безопасности. Взломать машину - нет безопасности. Он работает лучше, если ваш коммутатор не является абсолютно глупым (неуправляемым), и вы можете по крайней мере установить групповые группы или настройки VLAN.


4
2018-06-11 20:39



Если коммутаторы были заменены концентраторами, я вижу, что вы имеете в виду, что пакет поступит в x.2 дважды. Но действительно ли это будет принято в первый раз? Или, поскольку он фактически адресован NAT-маршрутизатору, будет ли Ethernet-карта пропускать первый раз и только перевести его в ОС во второй раз? - George Bailey
Да, но он все равно будет использовать пропускную способность и создать столкновение Ethernet. Если карта Ethernet не работает в режиме promiscuous, чтобы захватить весь трафик, он будет игнорировать пакеты, за которые он не отвечает (по ip-адресу и по-прежнему MAC-адресу). - TomTom
Я исправлю, что столкновение Ethernet не является необычным явлением, а является лишь вариацией проблемы использования полосы пропускания. - George Bailey
Зависит. На коммутаторе это совершенно необычно, поскольку они указывают на точечный дуплекс с буферами в коммутаторе для каждого порта;) - TomTom


С технической точки зрения не так много, чтобы сетевой администратор не мог иметь две IP-сети в одном широковещательном домене L2 - некоторые администраторы делают это неосознанно и даже не знают, как сберегает их proxy-arp.

С вашим узлом x.x.x.2 и узлом 192.168.50.2 в том же широковещательном домене L2 они будут пытаться локальную (прямую) доставку для IP-адресов в пределах своей IP-сети и использовать настроенный шлюз для IP-адресов вне их IP-сети.

Хотя два устройства в разных IP-сетях, но в одном и том же широковещательном домене, как правило, не будут выполнять локальную (прямую) доставку в eachother (вместо этого они будут использовать свои соответствующие шлюзы в качестве следующего перехода), локальная (прямая) доставка может быть достигнута с помощью статического маршруты на каждом из узлов - позволяя им связываться на L3 без использования промежуточного шлюза.

Препятствие, возникающее при запуске нескольких IP-сетей в одном широковещательном домене L2, существует вокруг динамической адресации (DHCP / BOOTP) - поскольку эти службы полагаются на широковещательные передачи L2 для адресации.

Еще одним серьезным препятствием, как отмечалось в других ответах, является безопасность. Возможны атаки Man-in-the-middle (MITM), ARP Poison Routing (APR) и множество других.


4
2018-06-11 23:03





Вы ищете так называемую «VLAN». Точная реализация зависит от коммутатора. Что делает установка на основе VLAN, это создавать отдельные «виртуальные» широковещательные домены в вашем коммутаторе. Вы можете отделить их, как вы хотите от коммутатора, или даже создать так называемую «туловище», которая может обрабатывать несколько VLAN одновременно на одном порту.


3
2018-06-11 20:41



Вообще-то, я действительно ничего не ищу. Однако, может быть, вы можете скопировать мою диаграмму и настроить ее, чтобы объяснить, как работает VLAN? - George Bailey
@GeorgeBailey Это та же диаграмма. Просто назначьте порты в частной подсети, например VLAN 5, и общедоступную подсеть для VLAN 6. (VLAN 1 является «по умолчанию», и по разным причинам рекомендуется избегать его использования). - Hyppy


Ничего плохого там, насколько я могу судить, пока ваш коммутатор позволяет вам устанавливать vlans. Я не играл с неуправляемыми коммутаторами много и подозреваю, что такой тип не работает над ними, но я знаю, что это будет работать на управляемых коммутаторах, таких как cisco 2960.

Эта вики статья объясняет VLANS в деталях, но это может иметь больше смысла, в основном VLAN разделяют порты коммутатора на отдельные сети, поэтому один коммутатор может обрабатывать разные диапазоны IP, например, vlan 1 имеет диапазон 192.168.1.0/24, если каждый порт коммутатора находится на vlan 1, тогда все устройства, подключенные к vlan потребует IP-адресов в этом диапазоне для работы, но если вы представите другой vlan с диапазоном 192.168.2.0/24 и назначьте его половине портов, то эта половина не получит трафика для диапазона .1 только .2, я все еще пытаюсь полностью обойти их, но это должно подвести итог


0
2018-06-11 20:41



Как нужно, чтобы VLAN были необходимы? (кто они такие?) - George Bailey
en.wikipedia.org/wiki/Virtual_LANподробно объясняет это, в основном VLAN разделяют порты коммутатора на отдельные сети, поэтому один коммутатор может обрабатывать разные диапазоны IP, например, vlan 1 имеет диапазон 192.168.1.0/24, если каждый порт коммутатора находится на vlan 1, тогда все устройства, подключенные к vlan потребует IP-адресов в этом диапазоне для работы, но если вы представите другой vlan с диапазоном 192.168.2.0/24 и назначьте его половине портов, то эта половина не получит трафика для диапазона .1 только .2, я все еще пытаюсь полностью обойти их, но это должно подвести итог. - Chris
Спасибо за краткое резюме. Измените это в ответе. Я думаю, что VLAN не нужны, но только теперь я могу узнать, что они на самом деле. О, и, возможно, кто-то должен улучшить резюме на странице Википедии. На самом деле это было первое, на что я смотрел, пытаясь получить краткий обзор. :) - George Bailey


Вы можете использовать одну подсеть для каждой VLAN для создания нескольких широковещательных доменов для нескольких диапазонов ip. И если вы хотите установить связь между этими фактически разделенными vlans (диапазонами IP-адресов) в коммутаторе, используйте Router on stick и конфигурацию trunck для интерфейса, который подключен между Router n-переключателем.


0
2018-05-15 12:06