it-swarm-vi.com

Ý nghĩa của việc có hai mạng con trên cùng một công tắc là gì?

Ai đó có thể cho tôi biết một số ý nghĩa của việc có hai mạng con khác nhau trên cùng một công tắc sẽ là gì nếu Vlan được không được sử dụng không?

36
Kyle Brandt

Mọi thứ sẽ hoạt động khá nhiều như bạn mong đợi. Tại trung tâm của nó, họ chỉ chia sẻ một miền phát sóng. Các máy tính trong các mạng con khác nhau sẽ không ARP trên toàn mạng con, vì vậy chúng sẽ vẫn cần một bộ định tuyến (hoặc thực thể lớp 3 nhúng trong chuyển đổi) để "nói chuyện" với nhau.

Bởi vì họ chia sẻ một miền phát sóng cách ly ít hơn (có thể nói là không có) so với khi bạn sử dụng Vlan. Sẽ dễ dàng để các máy chủ giả mạo ARP và MAC trong cả mạng con từ một mạng con.

Nếu bạn chỉ làm điều này trong một kịch bản phòng thí nghiệm thì có lẽ tốt. Tuy nhiên, nếu bạn thực sự cần cách ly, trong triển khai sản xuất, bạn nên sử dụng Vlan hoặc các công tắc vật lý riêng biệt.

25
Evan Anderson

Nếu bạn không sử dụng Vlan, một người có thể dễ dàng thêm 2 IP vào giao diện của họ, hãy nói 192.182.0.1/24172.16.0.1/24 để anh ấy hoặc cô ấy có thể truy cập cả hai mạng.

Bằng cách sử dụng Vlan, bạn có thể gắn thẻ các thiết bị chuyển mạch để bất kỳ máy tính nào được định cấu hình chỉ nhận lưu lượng truy cập từ VLAN sẽ không thể nhận được bất kỳ lưu lượng truy cập nào (ngoại trừ một lưu lượng truy cập đến nó và có Vlan chính xác) bất kể giao diện cục bộ được cấu hình như thế nào (có bao nhiêu IP trên giao diện).

Về bản chất:

  • nếu bạn tin tưởng người dùng của mình thì không có lý do nào để sử dụng Vlan (theo quan điểm bảo mật).
  • nếu bạn không tin tưởng người dùng của mình, Vlan sẽ giữ một số nhóm người dùng nhất định tách biệt với nhau
12
serverhorror
  1. nếu bạn có người dùng không tin cậy - một số người trong số họ có thể giả mạo địa chỉ IP của những người từ mạng con khác. nếu có một số quy tắc địa chỉ - họ có thể bỏ qua chúng. một số người dùng từ subnet1 có thể giả mạo địa chỉ của bộ định tuyến trong mạng b - và nghe lén [ít nhất là một phần] giao tiếp.
  2. bạn sẽ phát nhiều hơn 'rác' [gói arp] - nhưng đó không phải là mối quan tâm của bạn nếu bạn có vài chục người dùng và liên kết 100 hoặc 1000 Mbit/s.
3
pQd

Đầu tiên, tôi không chắc tại sao bạn lại làm điều này cho người dùng. Một kịch bản tôi có thể nghĩ đến là bạn hết IP trong mạng con người dùng hiện tại của bạn và không thể dễ dàng mở rộng mạng con hiện tại của bạn. Trong trường hợp này tôi nghĩ sẽ tốt hơn nếu thêm một mạng con khác. Điều giả mạo trở thành không thành vấn đề khi bạn sử dụng IP theo cách này vì cả hai mạng con đều bằng nhau, do đó bạn có cùng rủi ro giả mạo cho dù sử dụng một mạng con hay nhiều mạng con. Một câu hỏi tôi có ở đây là DHCP sẽ hoạt động như thế nào. Nếu phạm vi DHCP của bạn không liền kề và máy chủ DHCP phục vụ IP dựa trên địa chỉ "người trợ giúp" của bộ định tuyến, tất cả các yêu cầu sẽ chuyển sang phạm vi này hay phạm vi khác? Tôi cho rằng điều này có thể trở thành không vấn đề nếu máy chủ DHCP của bạn đang ngồi trực tiếp trong miền quảng bá, nhưng nó vẫn là thứ để khám phá.

Tất cả những gì đã nói, tôi thực sự làm điều này trong sản xuất cho một trong những ứng dụng của mình. Tôi có một ứng dụng có silo đa dạng về mặt địa lý, mỗi silo có riêng/27. Những IP đó là những gì tôi coi là IP cơ sở hạ tầng. Họ thuộc về những máy chủ đó. Sau đó, tôi định tuyến thêm/29 đến cùng một miền phát sóng. Mạng con này thuộc về ứng dụng. Khi tôi nâng cấp phần cứng tiếp theo, tôi sẽ xây dựng một silo hoàn toàn mới với mới/27, sau đó thay đổi tuyến đường cho ứng dụng/29 lên nó. Vì/29 này xử lý giao tiếp với các thành phần mạng, điều này cho phép tôi không phải lập trình lại tất cả các NE nếu chúng tôi có phần cứng mới hoặc phần mềm mới và sử dụng cùng một miền quảng bá cho phép tôi thực hiện điều đó mà không cần một NIC chuyên dụng.

3
jj33

Chúng tôi đã triển khai điều này ở trường vì chúng tôi đã hết địa chỉ IP và cung cấp một mạng con mới cho phần không dây, hoạt động tốt trên mạng 3000 người dùng, vì một giải pháp nhanh chóng là một lợi thế, tôi đồng ý chúng tôi phải tạo vlans để giữ gìn an ninh.

Máy chủ DHCP (Windows) phải có hai thẻ nic được kết nối với cùng một công tắc (chúng tôi là ảo nên không thành vấn đề) để cung cấp ips cho mạng không dây, bạn sẽ phải sử dụng IP tĩnh trên "mạng cũ" , nó sẽ không hoạt động khi phục vụ hai phạm vi dhcp trên cùng một công tắc.

0
JCMoreno