Ý nghĩa của việc có hai mạng con trên cùng một công tắc là gì?


36

Ai đó có thể cho tôi biết một số ý nghĩa của việc có hai mạng con khác nhau trên cùng một công tắc sẽ là gì nếu Vlan không được sử dụng không?


Trong trường hợp này, nguy cơ giả mạo không phải là vấn đề tôi lo lắng.
Kyle Brandt

2
Đây cũng là thông tin hữu ích cho quản trị viên di chuyển mạng sang dải IP mới.
Terence Johnson

Một điều cần lưu ý, đó là một chút trong một số câu trả lời dưới đây, là trừ khi bạn sử dụng Vlan hoặc địa chỉ IP tĩnh trên máy khách của mình, tất cả chúng sẽ kéo DHCP từ phạm vi "mặc định".
Adam Nofsinger

Câu trả lời:


25

Mọi thứ sẽ hoạt động khá nhiều như bạn mong đợi. Tại trung tâm của nó, họ chỉ chia sẻ một miền phát sóng. Các máy tính trong các mạng con khác nhau sẽ không ARP trên toàn mạng con, vì vậy chúng sẽ vẫn cần một bộ định tuyến (hoặc thực thể lớp 3 nhúng trong chuyển đổi) để "nói chuyện" với nhau.

Bởi vì họ chia sẻ một miền phát sóng cách ly ít hơn (có thể nói là không có) so với khi bạn sử dụng Vlan. Sẽ dễ dàng để các máy chủ giả mạo ARP và MAC trong cả mạng con từ một mạng con.

Nếu bạn chỉ làm điều này trong một kịch bản phòng thí nghiệm thì có lẽ tốt. Tuy nhiên, nếu bạn thực sự cần cách ly, trong triển khai sản xuất, bạn nên sử dụng Vlan hoặc các công tắc vật lý riêng biệt.


Đó là một môi trường sản xuất, nhưng giả mạo không thực sự là một vấn đề trong trường hợp này.
Kyle Brandt

1
Bạn nói rằng cho đến khi nó được. Nâng cấp lên các thiết bị chuyển mạch làm Vlan hoặc mua một công tắc khác. Có thật không.
Matt Simmons

Có một chuyển đổi khác :-)
Kyle Brandt

12

Nếu bạn không sử dụng Vlan, một người có thể dễ dàng thêm 2 IP vào giao diện của họ 192.182.0.1/24172.16.0.1/24để người đó có thể truy cập cả hai mạng.

Bằng cách sử dụng Vlan, bạn có thể gắn thẻ các thiết bị chuyển mạch để bất kỳ máy tính nào được định cấu hình chỉ nhận lưu lượng truy cập từ Vlan sẽ không thể nhận được bất kỳ lưu lượng truy cập nào (ngoại trừ lưu lượng truy cập đến nó và có Vlan chính xác) bất kể giao diện cục bộ được định cấu hình như thế nào ( Có bao nhiêu IP trên giao diện).

Về bản chất:

  • nếu bạn tin tưởng người dùng của mình thì không có lý do nào để sử dụng Vlan (theo quan điểm bảo mật).
  • nếu bạn không tin tưởng người dùng của mình, Vlan sẽ giữ một số nhóm người dùng nhất định tách biệt với nhau

8
Vlan không nên được sử dụng để bảo mật. Chúng chỉ dành cho mục đích quản lý. Cisco có một tờ giấy trắng tuyệt vời thảo luận về ý nghĩa bảo mật của Vlan. Xem: cisco.com/en/US/products/hw/switches/ps708/ory
Joseph Kern

2
@JosephKern Bạn có thể cho tôi một TLDR tại sao không?
Kevin Wheeler

3
@KevinWheeler Vlan cung cấp các cơ chế xác thực bằng không. Đây là một bài báo Sans với lời giải thích dài hơn: sans.org/reading-room/whitepapers/networkdevs/ Kẻ
Joseph Kern

3

Đầu tiên, tôi không chắc tại sao bạn lại làm điều này cho người dùng. Một kịch bản tôi có thể nghĩ đến là bạn hết IP trong mạng con người dùng hiện tại của bạn và không thể dễ dàng mở rộng mạng con hiện tại của bạn. Trong trường hợp này tôi nghĩ sẽ tốt hơn nếu thêm một mạng con khác. Điều giả mạo trở thành không thành vấn đề khi bạn sử dụng IP theo cách này vì cả hai mạng con đều bằng nhau, do đó bạn có cùng rủi ro giả mạo cho dù sử dụng một mạng con hay nhiều mạng con. Một câu hỏi tôi có ở đây là DHCP sẽ hoạt động như thế nào. Nếu phạm vi DHCP của bạn không liền kề và máy chủ DHCP phục vụ IP dựa trên địa chỉ "người trợ giúp" của bộ định tuyến, tất cả các yêu cầu sẽ chuyển sang phạm vi này hay phạm vi khác? Tôi cho rằng điều này có thể trở thành không thành vấn đề nếu máy chủ DHCP của bạn đang ngồi trực tiếp trong miền quảng bá, nhưng nó vẫn là thứ để khám phá.

Tất cả những gì đã nói, tôi thực sự làm điều này trong sản xuất cho một trong những ứng dụng của mình. Tôi có một ứng dụng có silo đa dạng về mặt địa lý, mỗi silo có riêng / 27. Những IP đó là những gì tôi coi là IP cơ sở hạ tầng. Họ thuộc về những máy chủ đó. Sau đó, tôi định tuyến thêm / 29 đến cùng một miền phát sóng. Mạng con này thuộc về ứng dụng. Khi tôi nâng cấp phần cứng tiếp theo, tôi sẽ xây dựng một silo hoàn toàn mới với 27 / mới, sau đó thay đổi tuyến đường cho ứng dụng / 29 lên nó. Vì / 29 này xử lý giao tiếp với các thành phần mạng, điều này cho phép tôi không phải lập trình lại tất cả các NE nếu chúng tôi có phần cứng mới hoặc phần mềm mới và sử dụng cùng một miền quảng bá cho phép tôi thực hiện điều đó mà không cần một NIC chuyên dụng.


"Tại sao" là hệ thống ERP pos cũ kỹ xảo quyệt của chúng ta đang bị di chuyển không thể thay đổi IP mà không cần cài đặt lại mọi máy khách (và các vấn đề về AD khác). Cảm ơn bạn về ý tưởng DHCP, tôi sẽ phải khám phá vấn đề đó.
Kyle Brandt

3
  1. nếu bạn có người dùng không tin cậy - một số người trong số họ có thể giả mạo địa chỉ IP của những người từ mạng con khác. nếu có một số quy tắc địa chỉ - họ có thể bỏ qua chúng. một số người dùng từ subnet1 có thể giả mạo địa chỉ của bộ định tuyến trong mạng b - và nghe lén [ít nhất là một phần] giao tiếp.
  2. bạn sẽ phát nhiều hơn 'rác' [gói arp] - nhưng đó không phải là mối quan tâm của bạn nếu bạn có vài chục người dùng và liên kết 100 hoặc 1000 Mbit / s.

0

Chúng tôi đã triển khai điều này ở trường vì chúng tôi đã hết địa chỉ IP và cung cấp một mạng con mới cho phần không dây, hoạt động tốt trên mạng 3000 người dùng, vì một giải pháp nhanh chóng là một lợi thế, tôi đồng ý chúng tôi phải tạo vlans để giữ gìn an ninh.

Máy chủ DHCP (Windows) phải có hai thẻ nic được kết nối với cùng một công tắc (chúng tôi là ảo nên không thành vấn đề) để cung cấp ips cho mạng không dây, bạn sẽ phải sử dụng IP tĩnh trên "mạng cũ" , nó sẽ không hoạt động khi phục vụ hai phạm vi dhcp trên cùng một công tắc.


-3

Tôi vừa trải qua một vài năm cố gắng giải quyết vấn đề với cả hệ thống điện thoại poe và mạng máy tính trên cùng một công tắc được quản lý. Có, nó sẽ hoạt động mà không có Vlan nhưng mỗi tháng hoặc lâu hơn thì không và sẽ thiết lập lại công tắc, gây ra sự cố vô tận với thiết bị được kết nối. (đặt lại hệ thống điện thoại, đặt lại bộ định tuyến và đặt lại bộ chuyển đổi ngẫu nhiên) Đây là một cơn ác mộng đối với chúng tôi khi chúng tôi đang tìm kiếm một vấn đề phần cứng vì hầu hết chấp nhận rằng một công tắc có thể xử lý việc này. Một công tắc câm có thể, nhưng một công tắc được quản lý thì không. Tôi đã thử một số nhà sản xuất lớn và tất cả họ sẽ đặt lại ngẫu nhiên trong vòng một tháng :(

LUÔN LUÔN LUÔN LUÔN!

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.