Quelles sont les implications d'avoir deux sous-réseaux sur le même commutateur?

36

Quelqu'un peut-il me dire quelles seraient les conséquences d'avoir deux sous-réseaux différents sur le même commutateur si les réseaux VLAN n'étaient pas utilisés?

Kyle Brandt
la source
Dans ce cas, le risque d'usurpation d'identité n'est pas un problème qui m'inquiète.
Kyle Brandt
2
C'est également une information utile pour les administrateurs migrant un réseau vers une nouvelle plage IP.
Terence Johnson
Une chose à noter, qui est un peu prise dans certaines des réponses ci-dessous, est que, sauf si vous utilisez un adressage VLAN ou IP statique sur vos clients, ils tireront tous DHCP de la sorte de la portée "par défaut".
Adam Nofsinger

Réponses:

25

Les choses vont marcher à peu près comme vous le souhaitiez. Au cœur de cela, ils ne font que partager un domaine de diffusion. Les ordinateurs des différents sous-réseaux n'ARP pas entre sous-réseaux, ils auront donc toujours besoin d'un routeur (ou d'une entité de couche 3 intégrée dans le commutateur) pour pouvoir se "parler" les uns aux autres.

Comme ils partagent un domaine de diffusion, l'isolation est beaucoup moins (sans doute discutable) que si vous utilisiez des VLAN. Il serait facile d'arborer des hôtes ARP et MAC dans l'un ou l'autre sous-réseau de l'un ou l'autre sous-réseau.

Si vous ne faites que cela dans un scénario de laboratoire, c'est probablement bien. Si vous avez réellement besoin d'isolement dans le déploiement en production, vous devez utiliser des VLAN ou des commutateurs physiques distincts.

Evan Anderson
la source
C'est un environnement de production, mais l'usurpation d'identité n'est pas vraiment un problème dans ce cas.
Kyle Brandt
1
Vous dites ça jusqu'à ce que ce soit. Mettez à niveau les commutateurs VLAN ou achetez-en un autre. Vraiment.
Matt Simmons
Vous avez un autre commutateur :-)
Kyle Brandt Le
12

Si vous n'utilisez pas de VLAN, une personne peut facilement ajouter 2 adresses IP à son interface 192.182.0.1/24, 172.16.0.1/24afin de pouvoir accéder aux deux réseaux.

En utilisant des VLAN, vous pouvez baliser les switchports de sorte que tout ordinateur configuré pour recevoir uniquement du trafic du VLAN ne puisse obtenir aucun trafic (sauf celui qui lui est destiné et qui possède le bon VLAN), quelle que soit la configuration de l'interface locale ( combien d’adresses IP sur l’interface).

En substance:

  • si vous faites confiance à vos utilisateurs, il n'y a aucune raison d'utiliser des VLAN (du point de vue de la sécurité).
  • si vous ne faites pas confiance à vos utilisateurs, les VLAN maintiendront certains groupes d'utilisateurs séparés les uns des autres
serveurhorror
la source
8
Les VLAN ne doivent pas être utilisés pour la sécurité. Ils sont à des fins de gestion seulement. Cisco a publié un excellent livre blanc sur les implications des réseaux VLAN pour la sécurité. Voir: cisco.com/en/US/products/hw/switches/ps708/...
Joseph Kern
2
@JosephKern Pouvez-vous me donner un TLDR de pourquoi pas?
Kevin Wheeler
3
@KevinWheeler Le VLAN n'offre aucun mécanisme d'authentification. Voici un article SANS avec une explication plus longue: sans.org/reading-room/whitepapers/networkdevs/…
Joseph Kern
3

Premièrement, je ne suis pas sûr de savoir pourquoi vous feriez cela pour les utilisateurs. Le seul scénario auquel je puisse penser est que vous n’avez plus d’IP dans votre sous-réseau utilisateur actuel et que vous ne pouvez pas facilement étendre votre sous-réseau actuel. Dans ce cas, je pense que ce serait bien d'ajouter un autre sous-réseau. Le problème d'usurpation d'identité ne pose plus aucun problème lorsque vous utilisez les adresses IP de cette manière, car les deux sous-réseaux sont égaux. Vous avez donc le même risque d'usurpation d'identité, que vous utilisiez un seul ou plusieurs sous-réseaux. Une question que j'ai ici est de savoir comment DHCP fonctionnerait. Si vos portées DHCP ne sont pas contiguës et que le serveur DHCP gère les adresses IP en fonction de l'adresse "auxiliaire" du routeur, toutes les demandes ne vont-elles pas à une portée ou à une autre? Je suppose que cela pourrait ne pas poser de problème si votre serveur DHCP est situé directement dans le domaine de la diffusion, mais cela reste une piste à explorer.

Cela dit, je le fais en production pour l'une de mes applications. J'ai une application qui a des silos géographiquement diversifiés, chaque silo a son propre / 27. Ces IP sont ce que je considère être des IP d’infrastructure. Ils appartiennent à ces serveurs. Ensuite, je route un / 29 supplémentaire vers le même domaine de diffusion. Ce sous-réseau appartient à l'application. Lors de la prochaine mise à niveau du matériel, je construirai un silo entièrement nouveau avec un nouveau / 27, puis changerai le chemin pour l'application / 29. Puisque ceci / 29 gère la communication avec les éléments de réseau, cela me permet de ne pas avoir à reprogrammer tous les NE si nous obtenons un nouveau matériel ou un nouveau logiciel, et utiliser le même domaine de diffusion me permet de le faire sans carte réseau dédiée.

jj33
la source
Le "pourquoi" est que notre vieux système ERP pos qui est déplacé ne peut pas changer d'adresse IP sans réinstaller chaque client (et d'autres problèmes AD). Merci pour l’idée DHCP, je vais devoir explorer cette question.
Kyle Brandt
3
  1. Si vous avez des utilisateurs non fiables, certains risquent d'usurper les adresses IP de ceux d'autres sous-réseaux. s'il existe des règles d'adresse, elles pourraient les contourner. Certains utilisateurs du sous-réseau 1 pourraient usurper l’adresse du routeur du réseau b et espionner au moins une partie de la communication.
  2. vous aurez plus de «déchets» de diffusion [paquets arp] - mais cela ne devrait pas vous préoccuper si vous avez quelques dizaines d'utilisateurs et un lien à 100 ou 1000 Mbit / s.
pQd
la source
0

Nous avons implémenté cela dans notre école parce que nous manquions d'adresses IP et avons créé un nouveau sous-réseau pour la section sans fil, fonctionne parfaitement sur un réseau de 3 000 utilisateurs, car une solution rapide est un avantage, je suis d'accord pour dire que nous devons créer préserver la sécurité.

Le serveur DHCP (Windows) doit avoir deux cartes réseau connectées au même commutateur (virtuel donc peu importe) pour pouvoir transmettre des ips au réseau sans fil, vous devrez utiliser des adresses IP statiques sur le "vieux réseau". , cela ne fonctionnera pas en desservant deux portées DHCP sur le même commutateur.

JCMoreno
la source
-3

Je viens de passer quelques années à essayer de résoudre un problème avec un système téléphonique Poe et un réseau informatique sur le même commutateur géré. Oui, il devrait fonctionner sans VLAN, mais tous les mois environ, il ne le ferait pas et réinitialiserait le commutateur, ce qui causerait de nombreux problèmes avec les équipements connectés. (réinitialisation du système téléphonique, réinitialisation du routeur et réinitialisation aléatoire du commutateur). C’était un cauchemar pour nous, car nous recherchions un problème matériel, car la plupart acceptent qu’un commutateur puisse le gérer. Un commutateur bête peut-être, mais pas un commutateur géré. J'ai essayé plusieurs grands fabricants et ils seraient tous réinitialiser au hasard dans un mois :(

TOUJOURS VLAN TOUJOURS!

Ned
la source