Каковы последствия наличия двух подсетей на одном коммутаторе?

Может кто-нибудь сказать мне, что некоторые из последствий наличия двух разных подсетей на одном коммутаторе будут, если VLAN не используются?

Все будет работать так, как вы ожидаете. По сути, они просто делят домен вещания. Компьютеры в разных подсетях не будут ARP через подсеть, поэтому им все равно потребуется маршрутизатор (или встроенный объект 3-го уровня в коммутаторе), чтобы «общаться» друг с другом.

Поскольку они совместно используют широковещательный домен, существует гораздо меньшая (возможно, нет) изоляция, чем если бы вы использовали VLAN. Было бы легко подделать хосты ARP и MAC в любой подсети из любой подсети.

Если вы просто делаете это в лабораторном сценарии, это, вероятно, хорошо. Если вы действительно нуждаетесь в изоляции, то при производственном развертывании вы должны использовать VLAN или отдельные физические коммутаторы.

Если вы не используете сети VLAN человек может легко просто добавить 2 IP - адреса их интерфейс говорят 192.182.0.1/24и 172.16.0.1/24так , что он или она может получить доступ к обеим сетям.

Используя VLAN, вы можете пометить порты коммутатора так, чтобы любой компьютер, настроенный на получение трафика только от VLAN, не мог получать трафик (кроме того, который направлен на него и имеет правильную VLAN) независимо от того, как настроен локальный интерфейс ( сколько IP-адресов на интерфейсе).

По сути:

• если вы доверяете своим пользователям, нет никакой причины использовать VLAN (с точки зрения безопасности).
• если вы не доверяете своим пользователям, виртуальные локальные сети будут держать определенные группы пользователей отделенными друг от друга

Во-первых, я не уверен, почему вы сделали бы это для пользователей. Единственный сценарий, о котором я могу подумать, это то, что у вас нет IP-адресов в вашей текущей пользовательской подсети, и вы не можете легко расширить вашу текущую подсеть. В этом случае я думаю, что было бы хорошо добавить еще одну подсеть. Подделка становится не проблема, когда вы используете IP-адреса таким образом, потому что обе подсети равны, поэтому вы имеете одинаковый риск подделки, будь то одна подсеть или несколько. У меня есть один вопрос: как будет работать DHCP? Если ваши области DHCP не являются смежными, а сервер DHCP обслуживает IP-адреса на основе «вспомогательного» адреса маршрутизатора, не все ли запросы будут направлены в одну или в другую область? Я полагаю, что это может стать проблемой, если ваш DHCP-сервер находится непосредственно в домене широковещательной рассылки, но это еще кое-что для изучения.

Все это говорит о том, что я делаю это на производстве для одного из своих приложений. У меня есть приложение, которое имеет географически разнообразные бункеры, каждый из которых имеет свои собственные / 27. Эти IP-адреса - это то, что я считаю инфраструктурными IP-адресами. Они принадлежат этим серверам. Затем я направляю дополнительные / 29 к тому же широковещательному домену. Эта подсеть принадлежит приложению. Когда я в следующий раз модернизирую аппаратное обеспечение, я создам совершенно новый бункер с новым / 27, а затем изменим маршрут для приложения / 29 на него. Так как этот / 29 обрабатывает связь с сетевыми элементами, это позволяет мне не перепрограммировать все NE, если мы получаем новое оборудование или новое программное обеспечение, а использование того же широковещательного домена позволяет мне делать это без выделенного сетевого адаптера.

1. если у вас есть ненадежные пользователи - некоторые из них могут подделывать IP-адреса из других подсетей. если есть какие-то правила адресов - они могут их обойти. некоторые пользователи из подсети1 могут подделать адрес маршрутизатора в сети b и подслушать [хотя бы часть] связи.
2. у вас будет больше широковещательного мусора [arp-пакетов], но это не должно вас беспокоить, если у вас несколько десятков пользователей и 100 или 1000 Мбит / с.

Мы внедрили это в нашей школе, потому что у нас заканчивались IP-адреса и мы выделили новую подсеть для беспроводной секции, она отлично работает в сети на 3000 пользователей, для быстрого решения это плюс, я согласен, что мы должны создать VLAN для того, чтобы сохранить безопасность.

DHCP-сервер (Windows) должен иметь две никель-карты, подключенные к одному коммутатору (наш виртуальный, поэтому это не имеет значения), чтобы выдавать ips беспроводной сети, вам придется использовать статические IP-адреса в «старой сети» , он не будет работать, обслуживая две области DHCP по одному и тому же коммутатору.

Я только что провел пару лет, пытаясь решить проблему как с системой Poe Phone, так и с компьютерной сетью на одном и том же управляемом коммутаторе. Да, он должен работать без VLAN, но каждый месяц или около того он не работает и будет сбрасывать коммутатор, вызывая бесконечные проблемы с подключенным оборудованием. (перезагрузка телефонной системы, перезагрузка маршрутизатора и случайный сброс коммутатора) Для нас это был кошмар, так как мы искали аппаратную проблему, так как большинство соглашается, что коммутатор может справиться с этим. Возможно, тупой переключатель, но управляемый - нет. Я перепробовал несколько крупных производителей, и все они случайно сбрасывались в течение месяца :(

ВСЕГДА VLAN ВСЕГДА!