ความหมายของการมีซับเน็ตสองตัวบนสวิตช์เดียวกันคืออะไร

36

ใครสามารถบอกฉันได้ว่าผลกระทบของการมีเครือข่ายย่อยสองเครือข่ายบนสวิตช์เดียวกันนั้นคืออะไรหาก VLAN ไม่ได้ถูกใช้งาน

networking switch subnet

— ไคล์แบรนด์
แหล่งที่มา

ในกรณีนี้ความเสี่ยงของการปลอมแปลงไม่ใช่ปัญหาที่ฉันกังวล

— Kyle Brandt

2

ข้อมูลนี้ยังเป็นประโยชน์สำหรับผู้ดูแลระบบในการย้ายเครือข่ายไปยังช่วง IP ใหม่

— Terence Johnson

สิ่งหนึ่งที่ควรทราบคือคำตอบบางข้อด้านล่างนี้คือถ้าคุณไม่ใช้ VLAN หรือที่อยู่ IP แบบคงที่กับลูกค้าของคุณพวกเขาจะดึง DHCP จากขอบเขต "เริ่มต้น"

— Adam Nofsinger

25

สิ่งต่างๆจะได้ผลตามที่คุณคาดหวัง หัวใจของมันคือพวกเขาเพียงแชร์โดเมนออกอากาศ คอมพิวเตอร์ในเครือข่ายย่อยต่าง ๆ จะไม่ใช้ ARP ข้ามเครือข่ายย่อยดังนั้นพวกเขายังคงต้องการเราเตอร์ (หรือเอนทิตีเลเยอร์ 3 ฝังอยู่ในสวิตช์) เพื่อ "พูดคุย" ซึ่งกันและกัน

เนื่องจากพวกเขาแบ่งปันโดเมนบรอดคาสต์มีความโดดเดี่ยวน้อยกว่า (เนื้อหาไม่มี) มากกว่าที่คุณใช้ VLAN มันจะง่ายต่อการ ARP และ MAC โฮสต์ปลอมแปลงในซับเน็ตจากซับเน็ตใด

หากคุณเพิ่งทำสิ่งนี้ในสถานการณ์ของแล็บอาจเป็นเรื่องปกติ หากคุณต้องการการแยกอย่างแท้จริงแม้ว่าในการปรับใช้งานจริงคุณควรใช้ VLAN หรือสวิตช์ทางกายภาพแยกต่างหาก

— Evan Anderson
แหล่งที่มา

มันเป็นสภาพแวดล้อมการผลิต แต่การปลอมแปลงไม่ได้เป็นปัญหาในกรณีนี้

— Kyle Brandt

1

คุณบอกว่าจนกว่ามันจะเป็น อัพเกรดเป็นสวิตช์ที่ทำ VLAN หรือซื้อสวิตช์อื่น จริงๆ.

— Matt Simmons

มีสวิตช์อีกอัน :-)

— Kyle Brandt

12

หากคุณไม่ได้ใช้ VLANs บุคคลได้อย่างง่ายดายเพียงแค่เพิ่ม 2 IP ที่จะบอกว่าอินเตอร์เฟซของพวกเขา192.182.0.1/24และ172.16.0.1/24เพื่อให้เขาหรือเธอสามารถเข้าถึงเครือข่ายทั้งสอง

ด้วยการใช้ VLAN คุณสามารถติดแท็ก switchports เพื่อให้คอมพิวเตอร์ใด ๆ ที่กำหนดค่าให้รับการรับส่งข้อมูลจาก VLAN เท่านั้นจะไม่สามารถรับการรับส่งข้อมูลใด ๆ (ยกเว้นที่กำกับไว้และการมี VLAN ที่ถูกต้อง) โดยไม่คำนึงถึงว่า จำนวน IP ที่มีบนอินเทอร์เฟซ)

ในสาระสำคัญ:

หากคุณเชื่อใจผู้ใช้ของคุณไม่มีเหตุผลเลยที่จะใช้ VLANs (จากมุมมองความปลอดภัย)
หากคุณไม่ไว้วางใจผู้ใช้ VLAN ของคุณจะแยกผู้ใช้บางกลุ่มออกจากกัน

— serverhorror
แหล่งที่มา

8

ไม่ควรใช้ VLAN เพื่อความปลอดภัย พวกมันเพื่อจุดประสงค์ในการจัดการเท่านั้น Cisco มีเอกสารทางเทคนิคที่ดีเยี่ยมเกี่ยวกับผลกระทบด้านความปลอดภัยของ VLANs ดู: cisco.com/en/US/products/hw/switches/ps708/…

— โจเซฟเคอร์น

2

@JosephKern คุณช่วยยกระดับ TLDR ให้ฉันได้ทำไม

— Kevin Wheeler

3

@KevinWheeler VLAN เสนอกลไกการพิสูจน์ตัวตนแบบศูนย์ นี่คือกระดาษ SANS พร้อมคำอธิบายที่ยาวกว่า: sans.org/reading-room/whitepapers/networkdevs/ …

— โจเซฟเคอร์น

3

ก่อนอื่นฉันไม่แน่ใจว่าทำไมคุณถึงต้องทำเพื่อผู้ใช้ สถานการณ์สมมติเดียวที่ฉันคิดได้ก็คือคุณไม่มี IP ในซับเน็ตผู้ใช้ปัจจุบันของคุณและไม่สามารถขยายซับเน็ตปัจจุบันของคุณได้อย่างง่ายดาย ในกรณีนี้ฉันคิดว่ามันจะเป็นการดีถ้าหากจะเพิ่มซับเน็ตอื่น สิ่งที่การปลอมแปลงกลายเป็นเรื่องที่ไม่เป็นปัญหาเมื่อคุณใช้ IP ด้วยวิธีนี้เพราะเครือข่ายย่อยทั้งสองมีค่าเท่ากันดังนั้นคุณจึงมีความเสี่ยงในการปลอมแปลงเดียวกันไม่ว่าจะเป็นการใช้เครือข่ายย่อยเดียวหรือหลายเครือข่าย คำถามหนึ่งที่ฉันมีที่นี่คือวิธีการทำงานของ DHCP หากขอบเขต DHCP ของคุณไม่ต่อเนื่องกันและเซิร์ฟเวอร์ DHCP ให้บริการ IP ตามที่อยู่ "ตัวช่วย" ของเราเตอร์การร้องขอทั้งหมดจะไม่ไปที่ขอบเขตหนึ่งหรืออีกอันหนึ่งใช่หรือไม่ ฉันคิดว่านี่อาจกลายเป็นปัญหาถ้าเซิร์ฟเวอร์ DHCP ของคุณนั่งอยู่ในโดเมนออกอากาศโดยตรง แต่ก็ยังมีบางสิ่งที่ต้องสำรวจ

จากทั้งหมดที่กล่าวมาฉันทำสิ่งนี้จริง ๆ ในการผลิตสำหรับหนึ่งในแอพของฉัน ฉันมีแอพที่มีไซโลหลากหลายทางภูมิศาสตร์แต่ละไซโลมีของตัวเอง / 27 IP เหล่านั้นคือสิ่งที่ฉันคิดว่าเป็นโครงสร้างพื้นฐาน IP พวกเขาอยู่ในเซิร์ฟเวอร์เหล่านั้น จากนั้นฉันจะกำหนดเส้นทางเพิ่มเติม / 29 ไปยังโดเมนบรอดคาสต์เดียวกัน ซับเน็ตนี้เป็นของแอปพลิเคชัน เมื่อฉันอัพเกรดฮาร์ดแวร์ครั้งต่อไปฉันจะสร้างไซโลใหม่ทั้งหมดด้วยใหม่ / 27 จากนั้นเปลี่ยนเส้นทางสำหรับแอปพลิเคชัน / 29 ลงบน เนื่องจากสิ่งนี้ / 29 จัดการกับการสื่อสารกับองค์ประกอบเครือข่ายสิ่งนี้ทำให้ฉันไม่ต้อง reprogram NEs ทั้งหมดถ้าเราได้รับฮาร์ดแวร์ใหม่หรือซอฟต์แวร์ใหม่และการใช้โดเมนการออกอากาศเดียวกันทำให้ฉันทำได้โดยไม่ต้องใช้ NIC เฉพาะ

— jj33
แหล่งที่มา

'ทำไม' คือระบบ ERP POS เก่า ๆ ที่เส็งเคร็งของเราที่ถูกย้ายไม่สามารถเปลี่ยน IP ได้โดยไม่ต้องติดตั้งไคลเอนต์เดียวทุกครั้ง (และปัญหาโฆษณาอื่น ๆ ) ขอบคุณสำหรับแนวคิด DHCP ฉันจะต้องสำรวจปัญหานั้น

— Kyle Brandt

3

หากคุณมีผู้ใช้ที่ไม่น่าเชื่อถือ - บางคนอาจหลอกลวงที่อยู่ IP ของผู้ใช้จากเครือข่ายย่อยอื่น หากมีกฎที่อยู่ - พวกเขาอาจข้ามพวกเขา ผู้ใช้บางรายจาก subnet1 อาจหลอกที่อยู่ของเราเตอร์ในเครือข่าย b - และดักฟังการสื่อสาร [อย่างน้อยส่วนหนึ่งของ]
คุณจะมีการออกอากาศ 'ขยะ' มากขึ้น [แพ็คเก็ต arp] - แต่นั่นไม่ควรเป็นข้อกังวลของคุณถ้าคุณมีผู้ใช้หลายสิบคนและมีลิงก์ 100 หรือ 1,000 Mbit / s

— pQd
แหล่งที่มา

0

เราใช้สิ่งนี้ในโรงเรียนของเราเพราะเรามีที่อยู่ ip หมดและมอบซับเน็ตใหม่ให้กับส่วนไร้สายใช้งานได้ดีบนเครือข่ายผู้ใช้ 3000 รายสำหรับวิธีแก้ปัญหาอย่างรวดเร็วคือข้อดีฉันยอมรับว่าเราต้องสร้าง vlans เพื่อ รักษาความปลอดภัย

เซิร์ฟเวอร์ DHCP (Windows) จะต้องมีการ์ดนิคสองใบเชื่อมต่อกับสวิตช์เดียวกัน (ของเราเป็นเสมือนดังนั้นมันไม่สำคัญ) เพื่อที่จะส่ง IPS ให้กับเครือข่ายไร้สายคุณจะต้องใช้ IP แบบคงที่ใน "เครือข่ายเก่า" มันจะไม่ทำงานให้บริการสองขอบเขต dhcp ผ่านสวิตช์เดียวกัน

— JCMoreno
แหล่งที่มา

-3

ฉันเพิ่งใช้เวลาสองสามปีในการพยายามแก้ไขปัญหาทั้งระบบโทรศัพท์สาธารณะและเครือข่ายคอมพิวเตอร์ในสวิตช์ที่มีการจัดการเดียวกัน ใช่มันควรจะทำงานโดยไม่มี VLAN แต่ทุกเดือนหรืออย่างนั้นก็ไม่ได้และจะรีเซ็ตสวิตช์ทำให้เกิดปัญหาที่ไม่รู้จบกับอุปกรณ์ที่เชื่อมต่อ (รีเซ็ตระบบโทรศัพท์ตั้งค่าเราเตอร์และรีเซ็ตสวิตช์แบบสุ่ม) นี่เป็นฝันร้ายสำหรับเราเนื่องจากเรากำลังมองหาปัญหาฮาร์ดแวร์เนื่องจากส่วนใหญ่ยอมรับว่าสวิตช์สามารถจัดการได้ อาจเป็นสวิตช์ใบ้ แต่สวิตช์ที่จัดการไม่ได้ ฉันลองผู้ผลิตรายใหญ่หลายรายและพวกเขาจะรีเซ็ตแบบสุ่มภายในหนึ่งเดือน :(

เสมอ VLAN เสมอ!

— เน็ด
แหล่งที่มา