sviluppo-web-qa.it

Quali sono le implicazioni di avere due sottoreti sullo stesso switch?

Qualcuno può dirmi quali sarebbero alcune delle implicazioni di avere due diverse sottoreti sullo stesso switch se le VLAN vengono utilizzate non?

36
Kyle Brandt

Le cose funzioneranno più o meno come ti aspetteresti. Al centro di ciò, stanno solo condividendo un dominio di trasmissione. I computer nelle diverse sottoreti non effettueranno l'ARP attraverso la sottorete, quindi avranno ancora bisogno di un router (o entità layer 3 incorporata nello switch) per "dialogare" tra loro.

Poiché condividono un dominio di trasmissione, l'isolamento è molto inferiore (probabilmente, nessuno) rispetto a quando si utilizzavano VLAN. Sarebbe facile per ARP e MAC spoof host in entrambe le sottoreti da entrambe le sottoreti.

Se lo stai facendo in uno scenario di laboratorio, probabilmente va bene. Se hai davvero bisogno di isolamento, tuttavia, nella distribuzione di produzione, dovresti usare VLAN o switch fisici separati.

25
Evan Anderson

Se non usi le VLAN, una persona potrebbe facilmente aggiungere 2 IP alla sua interfaccia dire 192.182.0.1/24 e 172.16.0.1/24 in modo che lui o lei possano accedere ad entrambe le reti.

Utilizzando le VLAN è possibile taggare gli switchport in modo che qualsiasi computer configurato per ricevere solo traffico dal VLAN non sarà in grado di ottenere alcun traffico (tranne quello indirizzato ad esso e con la VLAN corretta) indipendentemente dalla configurazione dell'interfaccia locale (quanti IP ci sono nell'interfaccia).

In sostanza:

  • se ti fidi dei tuoi utenti non c'è alcun motivo per usare le VLAN (dal punto di vista della sicurezza).
  • se non ti fidi dei tuoi utenti, le VLAN manterranno separati determinati gruppi di utenti
12
serverhorror
  1. se si dispone di utenti non attendibili, alcuni potrebbero falsificare gli indirizzi IP di quelli di altre sottoreti. se ci sono alcune regole di indirizzo, potrebbero ignorarle. alcuni utenti della sottorete1 potrebbero falsificare l'indirizzo del router nella rete b - e intercettare [almeno parte della] comunicazione.
  2. avrai più trasmissioni "spazzatura" [pacchetti arp] - ma questo non dovrebbe essere un problema se hai poche dozzine di utenti e un collegamento da 100 o 1000 Mbit/s.
3
pQd

Innanzitutto, non sono sicuro del motivo per cui lo faresti per gli utenti. L'unico scenario a cui riesco a pensare è che sei fuori dagli IP nella sottorete dell'utente corrente e non puoi estendere facilmente la sottorete corrente. In questo caso penso che andrebbe bene aggiungere un'altra sottorete. La cosa di spoofing diventa un problema quando si utilizzano gli IP in questo modo perché entrambe le sottoreti sono uguali, quindi si ha lo stesso rischio di spoofing se si utilizza una singola sottorete o più. Una domanda che ho qui è come funzionerebbe DHCP. Se i tuoi ambiti DHCP non sono contigui e il server DHCP serve IP in base all'indirizzo "helper" del router, tutte le richieste non andrebbero a un ambito o all'altro? Suppongo che questo potrebbe diventare un problema se il tuo server DHCP si trova direttamente nel dominio di trasmissione, ma è ancora qualcosa da esplorare.

Detto questo, in realtà lo faccio in produzione per una delle mie app. Ho un'app che ha silos geograficamente diversi, ogni silo ha il suo/27. Questi IP sono quelli che considero essere IP dell'infrastruttura. Appartengono a quei server. Quindi instrado un ulteriore/29 allo stesso dominio di trasmissione. Questa sottorete appartiene all'applicazione. Al prossimo aggiornamento dell'hardware, costruirò un silo completamente nuovo con un nuovo/27, quindi cambierò il percorso dell'applicazione/29 su di esso. Poiché this/29 gestisce la comunicazione con gli elementi di rete, ciò mi consente di non dover riprogrammare tutti i NE se otteniamo nuovo hardware o nuovo software e l'utilizzo dello stesso dominio di trasmissione mi consente di farlo senza una scheda di interfaccia di rete dedicata.

3
jj33

Lo abbiamo implementato nella nostra scuola perché avevamo esaurito gli indirizzi IP e dato una nuova sottorete alla sezione wireless, funziona bene su una rete di 3000 utenti, per una soluzione rapida è un vantaggio, sono d'accordo che dobbiamo creare vlans per poter preservare la sicurezza.

Il server DHCP (Windows) deve avere due schede nic collegate allo stesso switch (il nostro è virtuale, quindi non importa) per distribuire ips alla rete wireless, dovrai usare gli IP statici sulla "vecchia rete" , non funzionerà con due ambiti DHCP sullo stesso switch.

0
JCMoreno