it-swarm.cn

在同一交换机上具有两个子网的含义是什么?

谁能告诉我,如果使用VLAN not,在同一台交换机上拥有两个不同的子网会有什么影响?

36
Kyle Brandt

事情将按预期运行。本质上,他们只是共享一个广播域。不同子网中的计算机不会跨子网ARP,因此它们仍然需要路由器(或交换机中的嵌入式第3层实体)才能彼此“对话”。

因为它们共享一个广播域,所以与使用VLAN相比,隔离少(可以说没有)。来自任一子网的任一子网中的ARP和MAC欺骗主机都将很容易。

如果您只是在实验室场景中进行此操作,那可能很好。但是,如果确实需要隔离,则在生产部署中,应使用VLAN或单独的物理交换机。

25
Evan Anderson

如果您不使用VLAN,那么一个人可以轻松地向其接口添加2个IP,例如192.182.0.1/24172.16.0.1/24,以便他或她可以访问两个网络。

通过使用VLAN,您可以标记交换端口,以便任何配置为仅从VLAN无论本地接口的配置方式如何(接口上有多少个IP)。

在本质上:

  • 如果您信任用户,则完全没有理由使用VLAN(从安全角度考虑)。
  • 如果您不信任用户,则VLAN将使某些用户组彼此分离
12
serverhorror
  1. 如果您拥有不受信任的用户-其中一些用户可能会欺骗其他子网中的IP地址。如果有一些地址规则-他们可能会绕过它们。子网1中的某些用户可能会欺骗网络b中路由器的地址-并监听到[至少一部分]通信。
  2. 您将拥有更多的广播“垃圾” [arp数据包]-但是,如果您有几十个用户以及100或1000 Mbit/s的链路,这不应该成为您的问题。
3
pQd

首先,我不确定为什么要为用户执行此操作。我能想到的一种情况是您当前用户子网中的IP不足,并且无法轻松扩展当前子网。在这种情况下,我认为添加另一个子网会很好。当您以这种方式使用IP时,欺骗事情就不会成为问题了,因为两个子网都相等,因此,无论使用单个子网还是多个子网,都存在相同的欺骗风险。我在这里的一个问题是DHCP如何工作。如果您的DHCP作用域不是连续的,并且DHCP服务器根据路由器的“帮助”地址提供IP,那么所有请求都不会发送到一个作用域还是另一个请求?我想如果您的DHCP服务器直接位于广播域中,这可能会成为问题,但这仍然值得探索。

综上所述,我实际上是在其中一个应用的生产环境中执行此操作的。我有一个应用程序,它在地理位置上有不同的筒仓,每个筒仓都有自己的/ 27。我认为这些IP是基础结构IP。它们属于那些服务器。然后,我将另一个/ 29路由到同一广播域。该子网属于应用程序。下次升级硬件时,我将使用/ 27建立一个全新的筒仓,然后将应用程序/ 29的路由更改到该筒仓。由于此/ 29处理与网络元素的通信,因此,如果我们获得新的硬件或新的软件,这使我不必重新编程所有的网元,并且使用相同的广播域使我无需专用的NIC就可以做到这一点。

3
jj33

我们在学校中实现了此功能,因为我们用完了IP地址,并为无线部分分配了一个新的子网,可以在3000个用户的网络上正常工作,因此快速解决方案是一个加号,我同意我们必须创建VLAN以保持安全性。

DHCP服务器(Windows)必须将两个网卡连接到同一交换机(我们是虚拟的,所以没关系),以便将ip分配给无线网络,您将不得不在“旧网络”上使用静态IP。 ,则无法在同一交换机上为两个dhcp范围提供服务。

0
JCMoreno