it-swarm-tr.com

Aynı anahtarda iki alt ağa sahip olmanın sonuçları nelerdir?

VLAN'lar değil kullanılıyorsa, aynı anahtarda iki farklı alt ağa sahip olmanın bazı etkilerinin ne olacağını bana söyleyebilir mi?

36
Kyle Brandt

Her şey beklediğiniz gibi çalışır. Bunun kalbinde, sadece bir yayın alanını paylaşıyorlar. Farklı alt ağlardaki bilgisayarlar, alt ağ boyunca ARP'ye sahip olmayacaklardır, bu yüzden birbirleriyle "konuşmak" için bir yönlendiriciye (veya anahtarda katıştırılmış katman-3 varlığına) ihtiyaç duyarlar.

Bir yayın etki alanını paylaştıkları için, VLAN kullanıyor olmanıza göre çok daha az (tartışmalı olarak hiçbiri) izolasyon yoktur. Her iki alt ağdan her iki alt ağdaki ARP ve MAC parodi ana bilgisayarlarına kolaylık sağlar.

Bunu sadece bir laboratuvar senaryosunda yapıyorsanız, muhtemelen iyidir. Üretim dağıtımında gerçekten izolasyona ihtiyacınız varsa, VLAN'ları veya ayrı fiziksel anahtarları kullanmalısınız.

25
Evan Anderson

VLAN kullanmıyorsanız, bir kişi arayüzlerine kolayca kolayca 2 IP ekleyebilir: 192.182.0.1/24 ve 172.16.0.1/24 ki her iki ağa da erişebilsin.

VLAN'ları kullanarak, yalnızca VLAN] 'dan trafik alacak şekilde yapılandırılmış herhangi bir bilgisayarın trafik alamayacağı şekilde (ona yönlendirilen ve doğru VLAN'a sahip olan) anahtar portlarını etiketleyebilirsiniz. yerel arabirimin nasıl yapılandırıldığına bakılmaksızın (arabirimde kaç IP vardır).

Özünde:

  • kullanıcılarınıza güveniyorsanız, VLAN'ları kullanmak için hiçbir neden yoktur (güvenlik açısından).
  • kullanıcılarınıza güvenmiyorsanız VLAN'lar belirli kullanıcı gruplarını birbirinden ayrı tutar
12
serverhorror
  1. güvenilmeyen kullanıcılarınız varsa, bazıları diğer alt ağlardan IP adreslerini taklit edebilir. bazı adres kuralları varsa - bunları atlayabilirler. alt ağ1'den bazı kullanıcılar ağ b'deki yönlendiricinin adresini taklit edebilir ve iletişimi [en azından bir kısmına] gizlice dinleyebilir.
  2. daha fazla 'çöp' yayınlayacaksınız [arp paketleri] - ancak birkaç düzine kullanıcınız ve 100 veya 1000 Mbit/s bağlantınız varsa endişeniz olmamalıdır.
3
pQd

İlk olarak, bunu neden kullanıcılar için yapacağınızdan emin değilim. Düşünebileceğim bir senaryo, şu anki kullanıcı alt ağınızdaki IP'lerin dışında olduğunuz ve mevcut alt ağınızı kolayca genişletemeyeceğinizdir. Bu durumda, başka bir alt ağ eklemenin iyi olacağını düşünüyorum. Her iki alt ağ da eşit olduğu için IP'leri bu şekilde kullanırken kimlik sahtekarlığı sorun olmaz, bu nedenle tek bir alt ağ veya birden çok kullanıldığında aynı kimlik sahtekarlığı riskine sahip olursunuz. Burada bir sorum DHCP'nin nasıl çalışacağı. DHCP kapsamlarınız bitişik değilse ve DHCP sunucusu yönlendiricinin "yardımcı" adresini temel alan IP'ler sunuyorsa, tüm istekler bir kapsama veya diğerine gitmez mi? DHCP sunucunuz doğrudan yayın etki alanında bulunuyorsa, bunun bir sorun olmayabileceğini düşünüyorum, ancak yine de keşfedilecek bir şey.

Tüm bunlar, aslında bunu uygulamalarımdan biri için üretimde yapıyorum. Coğrafi olarak çeşitli silolara sahip bir uygulama var, her silo kendi/27 vardır. Bu IP'ler altyapı IP'leri olduğunu düşündüğüm şeyler. Bu sunuculara aitler. Sonra bir ek/29'u aynı yayın alanına yönlendiriyorum. Bu alt ağ uygulamaya aittir. Bir sonraki donanımı yükselttiğimde, yeni/27 ile tamamen yeni bir silo inşa edeceğim, ardından uygulama/29 için rotayı değiştireceğim. Bu/29 ağ elemanları ile iletişimi gerçekleştirdiğinden, yeni donanım veya yeni yazılım alırsak tüm NE'leri yeniden programlamama izin verir ve aynı yayın alanını kullanmak, özel bir NIC olmadan bunu yapmamı sağlar.

3
jj33

Bunu okulumuzda uyguladık, çünkü ip adreslerimiz tükeniyordu ve kablosuz bölüme yeni bir alt ağ verdik, 3000 kullanıcı ağında iyi çalışıyor, hızlı bir çözüm için bir artı, vlans oluşturmak zorundayız. güvenliği korumak.

DHCP sunucusunda (Windows) aynı anahtara bağlı iki nic kart olmalıdır (bizim için sanaldır, bu yüzden farketmez), kablosuz ağa ips vermek için "eski ağ" üzerinde statik IP'ler kullanmanız gerekir , aynı anahtar üzerinden iki dhcp kapsamı sunmaya çalışmaz.

0
JCMoreno