Apa implikasi dari memiliki dua subnet pada switch yang sama?

36

Adakah yang bisa memberi tahu saya apa implikasi dari memiliki dua subnet yang berbeda pada switch yang sama jika VLAN tidak digunakan?

Kyle Brandt
sumber
Dalam hal ini, risiko spoofing bukan masalah yang saya khawatirkan.
Kyle Brandt
2
Ini juga informasi yang berguna untuk admin yang memigrasikan jaringan ke rentang IP baru.
Terence Johnson
Satu hal yang perlu diperhatikan, yang sedikit mengenai beberapa jawaban di bawah, adalah bahwa kecuali Anda menggunakan VLAN atau pengalamatan IP statis pada klien Anda, mereka semua akan menarik DHCP dari semacam lingkup "default".
Adam Nofsinger

Jawaban:

25

Hal-hal akan bekerja cukup banyak seperti yang Anda harapkan. Pada intinya, mereka hanya berbagi domain siaran. Komputer dalam subnet yang berbeda tidak akan ARP lintas-subnet sehingga mereka masih akan membutuhkan router (atau entitas layer-3 yang tertanam di sakelar) untuk "berbicara" satu sama lain.

Karena mereka berbagi domain siaran ada jauh lebih sedikit (bisa dibilang, tidak ada) isolasi daripada jika Anda menggunakan VLAN. Akan mudah untuk host spoof ARP dan MAC di salah satu subnet dari salah satu subnet.

Jika Anda hanya melakukan ini dalam skenario lab mungkin baik-baik saja. Jika Anda benar-benar membutuhkan isolasi, dalam penyebaran produksi, Anda harus menggunakan VLAN atau sakelar fisik terpisah.

Evan Anderson
sumber
Ini adalah lingkungan produksi, tetapi spoofing tidak benar-benar menjadi masalah dalam kasus ini.
Kyle Brandt
1
Anda mengatakan itu sampai itu terjadi. Tingkatkan ke switch yang melakukan VLAN atau membeli switch lain. Sangat.
Matt Simmons
Punya Switch lain :-)
Kyle Brandt
12

Jika Anda tidak menggunakan VLAN seseorang dapat dengan mudah hanya menambahkan 2 IP ke antarmuka mereka katakan 192.182.0.1/24dan 172.16.0.1/24sehingga ia dapat mengakses kedua jaringan.

Dengan menggunakan VLAN, Anda dapat memberi tag pada switchports sehingga komputer mana pun yang dikonfigurasikan untuk hanya menerima lalu lintas dari VLAN tidak akan dapat memperoleh lalu lintas apa pun (kecuali yang diarahkan ke sana dan memiliki VLAN yang benar) terlepas dari bagaimana antarmuka lokal dikonfigurasikan ( berapa banyak IP yang ada di antarmuka).

Intinya:

  • jika Anda mempercayai pengguna Anda, tidak ada alasan sama sekali untuk menggunakan VLAN (dari sudut pandang keamanan).
  • jika Anda tidak mempercayai pengguna Anda, VLAN akan membuat kelompok pengguna tertentu terpisah satu sama lain
serverhorror
sumber
8
VLAN seharusnya tidak digunakan untuk keamanan. Mereka hanya untuk tujuan manajemen. Cisco memiliki buku putih yang luar biasa membahas implikasi keamanan VLAN. Lihat: cisco.com/en/US/products/hw/switches/ps708/…
Joseph Kern
2
@ JosephKern Dapatkah Anda memberi saya TLDR mengapa tidak?
Kevin Wheeler
3
@KevinWheeler VLAN menawarkan nol mekanisme otentikasi. Berikut makalah SANS dengan penjelasan yang lebih panjang: sans.org/reading-room/whitepapers/networkdevs/…
Joseph Kern
3

Pertama, saya tidak yakin mengapa Anda melakukan ini untuk pengguna. Satu skenario yang dapat saya pikirkan adalah bahwa Anda kehabisan IP di subnet pengguna Anda saat ini dan tidak dapat dengan mudah memperpanjang Anda subnet saat ini. Dalam hal ini saya pikir akan lebih baik untuk menambahkan subnet lain. Hal spoofing menjadi non-masalah ketika Anda menggunakan IP dengan cara ini karena kedua subnet sama, sehingga Anda memiliki risiko spoofing yang sama apakah menggunakan subnet tunggal atau banyak. Satu pertanyaan yang saya miliki di sini adalah bagaimana DHCP akan bekerja. Jika cakupan DHCP Anda tidak bersebelahan, dan server DHCP menyajikan IP berdasarkan alamat "helper" router, bukankah semua permintaan akan pergi ke satu cakupan atau yang lain? Saya kira ini bisa menjadi non-masalah jika server DHCP Anda duduk langsung di domain broadcast, tetapi masih ada sesuatu yang harus dieksplorasi.

Semua yang dikatakan, saya benar-benar melakukan ini dalam produksi untuk salah satu aplikasi saya. Saya memiliki aplikasi yang memiliki silo yang beragam secara geografis, masing-masing silo memiliki / 27 sendiri. IP-IP itu yang saya anggap IP infrastruktur. Mereka milik server-server itu. Lalu saya rute tambahan / 29 ke domain siaran yang sama. Subnet ini milik aplikasi. Ketika saya meng-upgrade perangkat keras berikutnya, saya akan membangun silo yang sama sekali baru dengan yang baru / 27, kemudian mengubah rute untuk aplikasi / 29 ke atasnya. Karena ini / 29 menangani komunikasi dengan elemen jaringan, ini memungkinkan saya untuk tidak harus memprogram ulang semua NEs jika kita mendapatkan perangkat keras baru atau perangkat lunak baru, dan menggunakan domain siaran yang sama memungkinkan saya untuk melakukannya tanpa NIC khusus.

jj33
sumber
Yang 'mengapa' adalah bahwa sistem ERP pos lama jelek kami yang sedang dipindahkan tidak dapat mengubah IP tanpa menginstal ulang setiap klien tunggal (dan masalah AD lainnya). Terima kasih atas ide DHCP, saya harus menjelajahi masalah itu.
Kyle Brandt
3
  1. jika Anda memiliki pengguna yang tidak tepercaya - beberapa dari mereka mungkin memalsukan alamat ip orang-orang dari subnet lain. jika ada beberapa aturan alamat - mereka mungkin mengabaikannya. beberapa pengguna dari subnet1 mungkin memalsukan alamat router di jaringan b - dan menguping ke [setidaknya bagian dari] komunikasi.
  2. Anda akan memiliki lebih banyak siaran 'sampah' [paket arp] - tetapi itu seharusnya tidak menjadi perhatian Anda jika Anda memiliki beberapa lusinan pengguna dan tautan 100 atau 1000 Mbit / s.
pQd
sumber
0

Kami menerapkan ini di sekolah kami karena kami kehabisan alamat ip dan memberikan subnet baru ke bagian nirkabel, berfungsi dengan baik pada jaringan 3000 pengguna, untuk solusi cepat adalah nilai tambah, saya setuju kita harus membuat vlan untuk menjaga keamanan.

Server DHCP (Windows) harus memiliki dua kartu nic yang terhubung ke switch yang sama (kami adalah virtual sehingga tidak masalah) untuk memberikan ips ke jaringan nirkabel, Anda harus menggunakan IP statis pada "jaringan lama" , itu tidak akan berfungsi melayani dua cakupan dhcp pada saklar yang sama.

JCMoreno
sumber
-3

Saya baru saja menghabiskan beberapa tahun mencoba menyelesaikan masalah dengan sistem telepon poe dan jaringan komputer pada sakelar yang dikelola sama. Ya itu harus bekerja tanpa VLAN tetapi setiap bulan atau lebih tidak dan akan me-reset switch, menyebabkan masalah tanpa akhir dengan peralatan yang terhubung. (reset sistem telepon, reset router dan reset switch acak) Ini adalah mimpi buruk bagi kami karena kami sedang mencari masalah perangkat keras karena kebanyakan menerima bahwa switch dapat menangani ini. Switch bodoh mungkin, tetapi switch berhasil tidak. Saya mencoba beberapa manufaktur besar dan mereka semua akan mereset secara acak dalam waktu sebulan :(

SELALU VLAN SELALU!

Ned
sumber