Aynı anahtar üzerinde iki alt ağa sahip olmanın etkileri nelerdir?

Herkes VLAN eğer aynı anahtarı iki farklı alt ağa sahip olmak bazı sonuçlarını ne olacağını söyleyebilir değil kullanılıyor?

İşler beklediğiniz gibi çalışacak. Onun kalbinde, sadece bir yayın alanını paylaşıyorlar. Farklı alt ağlardaki bilgisayarlar, alt ağ boyunca ARP kullanmaz, bu nedenle birbirleriyle "konuşmak" için yönlendiriciye (veya anahtara gömülü katman-3 varlığı) ihtiyaç duyacaklardır.

Bir yayın alanını paylaştıkları için VLAN kullandığınızdan çok daha az (tartışmalı, hiçbiri) yalıtım yoktur. Her iki alt ağdaki ARP ve MAC parola ana makinelerinin her iki alt ağdan da kullanımı kolay olacaktır.

Bunu sadece laboratuar senaryosunda yapıyorsanız, sorun değil. Gerçekten de izolasyona ihtiyacınız varsa, üretim dağıtımında VLAN veya ayrı fiziksel anahtarlar kullanmalısınız.

Eğer VLAN kullanmıyorsanız, bir kişi kolayca arayüzüne 2 IP ekleyebilir 192.182.0.1/24ve 172.16.0.1/24böylece her iki ağa da erişebilir.

VLAN'ları kullanarak geçiş noktalarını, VLAN'dan yalnızca trafik almak üzere yapılandırılmış herhangi bir bilgisayar, yerel arabirimin nasıl yapılandırıldığına bakılmaksızın (kendisine yönlendirilen ve doğru VLAN'a sahip olan) herhangi bir trafik alamayacak şekilde etiketleyebilirsiniz. Arabirimde kaç tane IP var).

Özünde:

• Kullanıcılarınıza güveniyorsanız, VLAN'ları kullanmak için hiçbir neden yoktur (güvenlik açısından).
• kullanıcılarınıza güvenmiyorsanız VLAN belirli kullanıcı gruplarını birbirinden ayrı tutacaktır

İlk olarak, bunu neden kullanıcılar için yaptığınızdan emin değilim. Aklıma gelen tek senaryo, geçerli kullanıcı alt ağınızdaki IP’lerin dışında olduğunuzu ve sizi mevcut alt ağınızı kolayca uzatamayacağınızdır. Bu durumda, başka bir alt ağ eklemek iyi olur diye düşünüyorum. Her iki alt ağ da eşit olduğundan, IP'leri bu şekilde kullanırken sahtekarlık meselesi sorun olmaz, bu nedenle tek bir alt ağ veya çoklu kullandığınızda aynı sahtekarlık riskine sahip olursunuz. Burada sahip olduğum tek soru DHCP'nin nasıl çalışacağı. DHCP kapsamlarınız bitişik değilse ve DHCP sunucusu yönlendiricinin "yardımcı" adresine dayanarak IP'ler sunarsa, tüm istekler bir kapsam veya diğerine gitmez mi? DHCP sunucunuz doğrudan yayın etki alanında oturuyorsa, bunun bir sorun haline gelebileceğini düşünüyorum, ancak hala araştırılması gereken bir şey var.

Bütün bunlar, aslında uygulamalarımdan biri için üretimde yapıyorum. Coğrafi olarak çeşitli silolara sahip bir uygulamam var, her silo kendi / 27'sine sahip. Bu IP'ler, altyapı IP'leri olarak düşündüğüm şeydir. Onlar bu sunuculara aittir. Sonra aynı yayın alanına bir ek / 29 yönlendiriyorum. Bu alt ağ uygulamaya aittir. Bir sonraki donanım yükseltdiğimde, yeni / 27 ile tamamen yeni bir silo oluşturacağım, ardından uygulama / 29 için rotayı değiştireceğim. Bu / 29 ağ elemanları ile iletişimi sağladığı için, yeni donanım veya yeni yazılımlar alırsak tüm NE'leri yeniden programlamama gerek kalmamasına ve aynı yayın alanını kullanmamın özel bir NIC olmadan yapmamı sağlıyor.

1. Güvenilmeyen kullanıcılarınız varsa, bazıları diğer alt ağlardan gelen ip adreslerini taklit edebilir. bazı adres kuralları varsa - bunları atlayabilirler. alt ağ1’daki bazı kullanıcılar ağdaki yönlendiricinin adresini bozabilir - ve iletişimin en azından bir kısmını gizlice dinleyebilir.
2. daha fazla 'çöp' yayınına sahip olacaksınız [arp paketleri] - ancak birkaç düzine kullanıcı ve 100 veya 1000 Mbit / s bağlantınız varsa bu sizin endişeniz olmamalıdır.

Bunu okulumuzda uyguladık, çünkü ip adresleri tükeniyordu ve kablosuz bölümüne yeni bir alt ağ verdi, 3000 kullanıcı ağında iyi çalışıyor, hızlı bir çözüm için bir artı; güvenliği korumak.

DHCP sunucusu (Windows), kablosuz ağa ips vermek için aynı anahtara (bizim sanaldır, bu yüzden farketmez) bağlı iki adet güzel karta sahip olmalı, "eski ağ" da statik IP kullanmanız gerekecektir. , aynı anahtar üzerinde iki dhcp kapsamı sunmaya çalışmaz.

Sadece birkaç yıl boyunca, hem Poe telefon sistemi hem de aynı yönetilen anahtardaki bir bilgisayar ağındaki bir sorunu çözmeye çalışmakla geçirdim. Evet, bir VLAN'sız çalışması gerekir, ancak her ay ya da öylesine çalışır ve anahtarı sıfırlar ve bağlı cihazlarda sonsuz sorunlara neden olur. (telefon sistemi sıfırlar, yönlendirici sıfırlar ve rastgele anahtar sıfırlar) Bu, bizim için bir kabustu, çünkü bir donanımın bir anahtarla başa çıkabileceğini kabul ettiğimiz için bir donanım sorunu arıyorduk. Aptal bir anahtar belki de, ancak yönetilen bir anahtar değil. Birkaç büyük üreticiyi denedim ve hepsi bir ay içinde rastgele sıfırlanır :(

HER ZAMAN VLAN HER ZAMAN!