it-swarm-pt.tech

Quais são as implicações de ter duas sub-redes no mesmo switch?

Alguém pode me dizer quais seriam algumas das implicações de ter duas sub-redes diferentes no mesmo switch se as VLANs estivessem não sendo usadas?

36
Kyle Brandt

As coisas vão funcionar da maneira que você esperaria. No centro, eles estão apenas compartilhando um domínio de transmissão. Os computadores nas diferentes sub-redes não ARP na sub-rede, então eles ainda precisarão de um roteador (ou entidade de camada 3 incorporada no switch) para "conversar" entre si.

Como eles compartilham um domínio de broadcast, há muito menos (sem dúvida nenhum) isolamento do que se você estivesse usando VLANs. Seria fácil hospedar ARP e MAC spoof em qualquer uma das sub-redes.

Se você está apenas fazendo isso em um cenário de laboratório, provavelmente está bem. Porém, se você realmente precisa de isolamento na implantação de produção, use VLANs ou switches físicos separados.

25
Evan Anderson

Se você não usa VLANs, uma pessoa pode facilmente adicionar 2 IPs à interface, digitar 192.182.0.1/24 e 172.16.0.1/24 para que ele ou ela possa acessar as duas redes.

Ao usar VLANs, você pode marcar as portas de switch para que qualquer computador configurado para receber apenas tráfego do VLAN não consiga obter nenhum tráfego (exceto aquele direcionado a ele e com a VLAN correta)) independentemente de como a interface local está configurada (quantos IPs existem na interface).

Em essência:

  • se você confia nos seus usuários, não há motivo para usar VLANs (do ponto de vista da segurança).
  • se você não confiar em seus usuários, as VLANs manterão determinados grupos de usuários separados um do outro
12
serverhorror
  1. se você tiver usuários não confiáveis ​​- alguns deles podem falsificar endereços IP daqueles de outras sub-redes. se houver algumas regras de endereço - elas podem ignorá-las. alguns usuários da sub-rede1 podem falsificar o endereço do roteador na rede b - e espionar [pelo menos parte da] comunicação.
  2. você terá mais 'lixo' de transmissão [pacotes arp] - mas isso não deve ser sua preocupação se você tiver poucas dezenas de usuários e um link de 100 ou 1000 Mbit/s.
3
pQd

Primeiro, não sei por que você faria isso com os usuários. O único cenário em que consigo pensar é que você está sem IPs na sua sub-rede de usuário atual e não pode estender facilmente sua sub-rede atual. Nesse caso, acho que seria bom adicionar outra sub-rede. A questão da falsificação se torna um problema quando você está usando os IPs dessa maneira, porque ambas as sub-redes são iguais; portanto, você tem o mesmo risco de falsificação, usando uma única sub-rede ou várias. Uma pergunta que tenho aqui é como o DHCP funcionaria. Se seus escopos DHCP não forem contíguos e o servidor DHCP fornecer IPs com base no endereço "auxiliar" do roteador, todas as solicitações não serão direcionadas para um escopo ou outro? Suponho que isso possa se tornar um problema se o servidor DHCP estiver diretamente no domínio de transmissão, mas ainda há algo a explorar.

Tudo isso dito, eu realmente faço isso em produção para um dos meus aplicativos. Eu tenho um aplicativo que possui silos geograficamente diversos, cada silo tem seu/27. Esses IPs são o que considero ser IPs de infraestrutura. Eles pertencem a esses servidores. Em seguida, direciono um/29 adicional para o mesmo domínio de broadcast. Esta sub-rede pertence ao aplicativo. Na próxima atualização de hardware, construirei um silo totalmente novo com um/27 novo e depois alterarei a rota do aplicativo/29 para ele. Como este/29 lida com a comunicação com elementos de rede, isso não permite reprogramar todos os NEs se obtivermos novo hardware ou novo software, e usar o mesmo domínio de broadcast permite que eu faça isso sem uma NIC dedicada.

3
jj33

Implementamos isso em nossa escola porque estávamos ficando sem endereços IP e demos uma nova sub-rede à seção sem fio, funciona bem em uma rede de 3.000 usuários, pois uma solução rápida é uma vantagem, concordo que precisamos criar vlans para preservar a segurança.

O servidor DHCP (Windows) deve ter duas placas de rede conectadas ao mesmo comutador (a nossa é virtual para que não importe) para fornecer ips à rede sem fio, você precisará usar IPs estáticos na "rede antiga" , ele não funcionará servindo dois escopos dhcp no mesmo comutador.

0
JCMoreno