pengembangan-web-mp-pd.com

Apa implikasi dari memiliki dua subnet pada switch yang sama?

Adakah yang bisa memberitahu saya apa implikasi dari memiliki dua subnet yang berbeda pada switch yang sama jika VLAN tidak digunakan?

36
Kyle Brandt

Hal-hal akan bekerja cukup banyak seperti yang Anda harapkan. Pada intinya, mereka hanya berbagi domain siaran. Komputer di subnet yang berbeda tidak akan ARP lintas-subnet sehingga mereka masih akan membutuhkan router (atau entitas layer-3 yang tertanam di switch) untuk "berbicara" satu sama lain.

Karena mereka berbagi domain siaran ada jauh lebih sedikit (bisa dibilang, tidak ada) isolasi daripada jika Anda menggunakan VLAN. Akan mudah untuk host spoof ARP dan MAC di salah satu subnet dari salah satu subnet.

Jika Anda hanya melakukan ini dalam skenario lab mungkin baik-baik saja. Jika Anda benar-benar membutuhkan isolasi, dalam penyebaran produksi, Anda harus menggunakan VLAN atau sakelar fisik terpisah.

25
Evan Anderson

Jika Anda tidak menggunakan VLAN seseorang bisa dengan mudah menambahkan 2 IP ke antarmuka mereka katakan 192.182.0.1/24 dan 172.16.0.1/24 sehingga ia dapat mengakses kedua jaringan.

Dengan menggunakan VLAN Anda dapat menandai switchports sehingga komputer mana pun yang dikonfigurasikan untuk hanya menerima lalu lintas dari VLAN tidak akan dapat memperoleh lalu lintas apa pun (kecuali yang diarahkan ke sana dan memiliki VLAN yang benar) terlepas dari bagaimana antarmuka lokal dikonfigurasi (berapa banyak IP yang ada pada antarmuka).

Intinya:

  • jika Anda mempercayai pengguna Anda, tidak ada alasan sama sekali untuk menggunakan VLAN (dari sudut pandang keamanan).
  • jika Anda tidak mempercayai pengguna Anda, VLAN akan membuat kelompok pengguna tertentu terpisah satu sama lain
12
serverhorror
  1. jika Anda memiliki pengguna yang tidak tepercaya - beberapa dari mereka mungkin memalsukan alamat ip orang-orang dari subnet lain. jika ada beberapa aturan alamat - mereka mungkin mengabaikannya. beberapa pengguna dari subnet1 mungkin memalsukan alamat router di jaringan b - dan menguping ke [setidaknya bagian dari] komunikasi.
  2. anda akan memiliki lebih banyak siaran 'sampah' [paket arp] - tetapi itu seharusnya tidak menjadi perhatian Anda jika Anda memiliki beberapa lusinan pengguna dan tautan 100 atau 1000 Mbit/s.
3
pQd

Pertama, saya tidak yakin mengapa Anda melakukan ini untuk pengguna. Satu skenario yang dapat saya pikirkan adalah bahwa Anda kehabisan IP di subnet pengguna Anda saat ini dan tidak dapat dengan mudah memperpanjang Anda subnet saat ini. Dalam hal ini saya pikir akan lebih baik untuk menambahkan subnet lain. Hal spoofing menjadi non-masalah ketika Anda menggunakan IP dengan cara ini karena kedua subnet sama, sehingga Anda memiliki risiko spoofing yang sama apakah menggunakan subnet tunggal atau banyak. Satu pertanyaan yang saya miliki di sini adalah bagaimana DHCP akan bekerja. Jika cakupan DHCP Anda tidak berdekatan, dan server DHCP melayani IP berdasarkan alamat "pembantu" router, bukankah semua permintaan akan menuju ke satu cakupan atau yang lain? Saya kira ini bisa menjadi non-masalah jika server DHCP Anda duduk langsung di domain broadcast, tetapi masih ada sesuatu yang harus dieksplorasi.

Semua yang dikatakan, saya benar-benar melakukan ini dalam produksi untuk salah satu aplikasi saya. Saya memiliki aplikasi yang memiliki silo yang beragam secara geografis, masing-masing silo memiliki/27 sendiri. IP itu adalah apa yang saya anggap IP infrastruktur. Mereka milik server-server itu. Lalu saya rute tambahan/29 ke domain siaran yang sama. Subnet ini milik aplikasi. Ketika saya meng-upgrade perangkat keras berikutnya, saya akan membangun silo yang sama sekali baru dengan/27 baru, kemudian mengubah rute untuk aplikasi/29 ke atasnya. Karena ini/29 menangani komunikasi dengan elemen jaringan, ini memungkinkan saya untuk tidak harus memprogram ulang semua NEs jika kita mendapatkan perangkat keras baru atau perangkat lunak baru, dan menggunakan domain siaran yang sama memungkinkan saya untuk melakukannya tanpa NIC khusus.

3
jj33

Kami menerapkan ini di sekolah kami karena kami kehabisan alamat ip dan memberikan subnet baru ke bagian nirkabel, berfungsi dengan baik pada jaringan 3000 pengguna, untuk solusi cepat adalah nilai tambah, saya setuju kita harus membuat vlan untuk menjaga keamanan.

Server DHCP (Windows) harus memiliki dua kartu nic yang terhubung ke switch yang sama (kami adalah virtual sehingga tidak masalah) untuk memberikan ips ke jaringan nirkabel, Anda harus menggunakan IP statis pada "jaringan lama" , itu tidak akan berfungsi melayani dua cakupan dhcp di atas saklar yang sama.

0
JCMoreno