Was bedeutet es, wenn sich zwei Subnetze auf demselben Switch befinden?

36

Kann mir jemand sagen, welche Auswirkungen zwei unterschiedliche Subnetze auf denselben Switch haben, wenn VLANs nicht verwendet werden?

Kyle Brandt
quelle
In diesem Fall ist das Risiko von Spoofing kein Problem, über das ich mir Sorgen mache.
Kyle Brandt
2
Dies sind auch nützliche Informationen für Administratoren, die ein Netzwerk auf einen neuen IP-Bereich migrieren.
Terence Johnson
Beachten Sie, dass einige der folgenden Antworten ein wenig darauf hindeuten, dass alle Clients, sofern Sie kein VLAN oder keine statische IP-Adresse für Ihre Clients verwenden, DHCP aus dem "Standard" -Bereich ziehen.
Adam Nofsinger

Antworten:

25

Die Dinge werden so ziemlich wie erwartet funktionieren. Im Kern teilen sie sich nur eine Broadcast-Domain. Die Computer in den verschiedenen Subnetzen werden nicht über Subnetze hinweg ARP-fähig sein, sodass sie weiterhin einen Router (oder eine eingebettete Layer-3-Entität im Switch) benötigen, um miteinander zu "kommunizieren".

Da sie sich eine Broadcast-Domäne teilen, gibt es viel weniger (wohl keine) Isolation als bei Verwendung von VLANs. ARP- und MAC-gefälschte Hosts in beiden Subnetzen können problemlos von beiden Subnetzen aus gefälscht werden.

Wenn Sie dies nur in einem Laborszenario tun, ist es wahrscheinlich in Ordnung. Wenn Sie jedoch in der Produktionsbereitstellung wirklich eine Isolierung benötigen, sollten Sie VLANs oder separate physische Switches verwenden.

Evan Anderson
quelle
Es ist eine Produktionsumgebung, aber Spoofing ist in diesem Fall kein wirkliches Problem.
Kyle Brandt
1
Das sagst du, bis es ist. Aktualisieren Sie entweder auf Switches, die VLANs unterstützen, oder kaufen Sie einen anderen Switch. Ja wirklich.
Matt Simmons
Bekam einen anderen Schalter :-)
Kyle Brandt
12

Wenn Sie nicht leicht eine Person nur hinzufügen , verwenden VLANs könnte 2 IPs an ihre Schnittstelle sagen 192.182.0.1/24und 172.16.0.1/24so , dass er oder sie kann beiden Netzwerke zugreifen.

Durch die Verwendung von VLANs können Sie die Switchports mit Tags versehen, sodass jeder Computer, der so konfiguriert ist, dass er nur Datenverkehr vom VLAN empfängt, keinen Datenverkehr empfangen kann (mit Ausnahme desjenigen, der an ihn gerichtet ist und über das richtige VLAN verfügt), unabhängig davon, wie die lokale Schnittstelle konfiguriert ist ( wie viele IPs gibt es auf der Schnittstelle).

Im Wesentlichen:

  • Wenn Sie Ihren Benutzern vertrauen, gibt es aus Sicherheitsgründen überhaupt keinen Grund, VLANs zu verwenden.
  • Wenn Sie Ihren Benutzern nicht vertrauen, werden durch VLANs bestimmte Benutzergruppen voneinander getrennt
Serverhorror
quelle
8
VLANs sollten aus Sicherheitsgründen nicht verwendet werden. Sie dienen nur Verwaltungszwecken. Cisco hat ein hervorragendes Whitepaper veröffentlicht, in dem die Auswirkungen von VLANs auf die Sicherheit erörtert werden. Siehe: cisco.com/en/US/products/hw/switches/ps708/…
Joseph Kern,
2
@JosephKern Kannst du mir eine TLDR geben warum nicht?
Kevin Wheeler
3
@ KevinWheeler VLAN bietet Null-Authentifizierungsmechanismen. Hier ist ein SANS- Artikel
Joseph Kern
3

Erstens bin ich mir nicht sicher, warum Sie dies für Benutzer tun würden. Das einzige Szenario, an das ich denken kann, ist, dass Sie in Ihrem aktuellen Benutzersubnetz keine IP-Adressen mehr haben und Ihr aktuelles Subnetz nicht einfach erweitern können. In diesem Fall wäre es meiner Meinung nach in Ordnung, ein weiteres Subnetz hinzuzufügen. Wenn Sie die IPs auf diese Weise verwenden, ist das Spoofing kein Problem, da beide Subnetze gleich sind, sodass Sie das gleiche Spoofing-Risiko haben, unabhängig davon, ob Sie ein einzelnes oder mehrere Subnetze verwenden. Eine Frage, die ich hier habe, ist, wie DHCP arbeiten würde. Wenn Ihre DHCP-Bereiche nicht zusammenhängend sind und der DHCP-Server IP-Adressen basierend auf der "Helfer" -Adresse des Routers bereitstellt, gehen dann nicht alle Anforderungen an den einen oder den anderen Bereich? Ich nehme an, dass dies kein Problem sein kann, wenn Ihr DHCP-Server direkt in der Broadcast-Domäne sitzt, aber es ist noch etwas zu erforschen.

Trotzdem mache ich das in der Produktion für eine meiner Apps. Ich habe eine App, die geografisch unterschiedliche Silos hat, jedes Silo hat sein eigenes / 27. Diese IPs sind meiner Meinung nach Infrastruktur-IPs. Sie gehören zu diesen Servern. Dann route ich eine zusätzliche / 29 auf die gleiche Broadcast-Domain. Dieses Subnetz gehört zur Anwendung. Wenn ich die Hardware das nächste Mal aktualisiere, baue ich ein komplett neues Silo mit einer neuen / 27 und ändere dann die Route für die Anwendung / 29 darauf. Da diese / 29 die Kommunikation mit Netzwerkelementen verwaltet, muss ich nicht alle NEs neu programmieren, wenn wir neue Hardware oder Software erhalten. Die Verwendung derselben Broadcast-Domäne ermöglicht es mir, auf eine dedizierte Netzwerkkarte zu verzichten.

jj33
quelle
Das "Warum" ist, dass unser beschissenes altes POS-ERP-System, das verschoben wird, die IPs nicht ändern kann, ohne jeden einzelnen Client neu zu installieren (und andere AD-Probleme). Vielen Dank für die DHCP-Idee, ich muss dieses Problem untersuchen.
Kyle Brandt
3
  1. Wenn Sie nicht vertrauenswürdigen Benutzern vertrauen, können einige von ihnen IP-Adressen von Benutzern aus anderen Subnetzen fälschen. Wenn es einige Adressregeln gibt, werden diese möglicherweise umgangen. Einige Benutzer aus Subnetz 1 könnten die Adresse des Routers in Netzwerk b fälschen und [zumindest einen Teil] der Kommunikation mithören.
  2. Sie werden mehr Broadcast-Garbage-Pakete haben - aber das sollte Sie nicht interessieren, wenn Sie nur wenige Dutzend Benutzer und einen 100- oder 1000-Mbit / s-Link haben.
pQd
quelle
0

Wir haben dies in unserer Schule implementiert, weil uns die IP-Adressen ausgegangen sind und wir dem Wireless-Bereich ein neues Subnetz zugewiesen haben. Funktioniert in einem Netzwerk mit 3000 Benutzern einwandfrei. Eine schnelle Lösung ist von Vorteil Sicherheit bewahren.

Auf dem DHCP-Server (Windows) müssen zwei Netzwerkkarten mit demselben Switch verbunden sein (unser ist virtuell, es spielt also keine Rolle). Um IPs an das drahtlose Netzwerk weiterzugeben, müssen Sie statische IPs im "alten Netzwerk" verwenden. funktioniert es nicht, wenn zwei DHCP-Bereiche über denselben Switch bedient werden.

JCMoreno
quelle
-3

Ich habe gerade ein paar Jahre damit verbracht, ein Problem mit einem Poe-Telefonsystem und einem Computernetzwerk auf demselben verwalteten Switch zu lösen. Ja, es sollte ohne VLAN funktionieren, aber jeden Monat oder jeden Monat wird der Switch zurückgesetzt, was zu endlosen Problemen mit angeschlossenen Geräten führt. (Zurücksetzen des Telefonsystems, Zurücksetzen des Routers und Zurücksetzen des zufälligen Switches) Dies war ein Albtraum für uns, da wir nach einem Hardwareproblem suchten, da die meisten akzeptieren, dass ein Switch damit umgehen kann. Ein dummer Switch vielleicht, aber ein verwalteter Switch nicht. Ich habe mehrere große Hersteller ausprobiert, die alle innerhalb eines Monats nach dem Zufallsprinzip zurückgesetzt wurden :(

IMMER VLAN IMMER!

Ned
quelle