同じスイッチ上に2つのサブネットを持つことの意味は何ですか?


36

VLANが使用されていない場合、同じスイッチ上に2つの異なるサブネットを持つことの意味を教えてください。


この場合、なりすましのリスクは私が心配している問題ではありません。
カイルブラント

2
これは、ネットワークを新しいIP範囲に移行する管理者にとっても有用な情報です。
テレンスジョンソン

以下の回答のいくつかで少し注意が必要なのは、クライアントでVLANまたは静的IPアドレスを使用しない限り、それらはすべて「デフォルト」スコープの種類からDHCPをプルすることです。
アダムノフシンガー

回答:


25

物事はあなたが期待するようにほとんど動作します。その中心にあるのは、ブロードキャストドメインを共有しているだけです。異なるサブネットのコンピューターはサブネット間でARPを実行しないため、相互に「通信」するためにルーター(またはスイッチ内の組み込みレイヤー3エンティティ)が必要になります。

ブロードキャストドメインを共有しているため、VLANを使用している場合よりもはるかに少ない(ほぼ間違いなく)分離があります。いずれかのサブネットからいずれかのサブネットのホストをARPおよびMACスプーフィングするのは簡単です。

ラボシナリオでこれを行っているだけであれば、おそらく問題ありません。ただし、実稼働環境での分離が本当に必要な場合は、VLANまたは個別の物理スイッチを使用する必要があります。


これは実稼働環境ですが、この場合、スプーフィングは実際には問題ではありません。
カイルブラント

1
そうなるまでそれを言う。VLANを実行するスイッチにアップグレードするか、別のスイッチを購入します。本当に。
マットシモンズ

別のスイッチを手に入れました:
カイルブラント

12

VLANを使用しない場合は、人だけで簡単にそれらのインタフェースと言って2つのIPアドレスを追加することができます192.182.0.1/24し、172.16.0.1/24彼または彼女は、両方のネットワークにアクセスすることができること。

VLANを使用することにより、VLANからのトラフィックのみを受信するように構成されたコンピューターが、ローカルインターフェイスの構成に関係なく、トラフィックを取得できないようにスイッチポートにタグを付けることができます。インターフェイス上にあるIPの数)。

本質的に:

  • ユーザーを信頼する場合、VLANを使用する理由はまったくありません(セキュリティの観点から)。
  • ユーザーが信頼できない場合、VLANは特定のユーザーグループを相互に分離します。

8
VLANをセキュリティに使用しないでください。管理目的のみです。シスコには、VLANのセキュリティへの影響について説明した優れたホワイトペーパーがあります。参照:cisco.com/en/US/products/hw/switches/ps708/...
ジョセフ・カーン

2
@JosephKernなぜそうなのかTLDRを教えてもらえますか?
ケビンウィーラー

3
@KevinWheeler VLANはゼロ認証メカニズムを提供します。長い説明を含むSANSの論文を次に示し
ジョセフカーン

3

まず、なぜユーザーのためにこれを行うのか分かりません。私が考えることができる1つのシナリオは、現在のユーザーサブネットのIPが不足しており、現在のサブネットを簡単に拡張できないことです。この場合、別のサブネットを追加しても問題ないと思います。両方のサブネットが等しいため、この方法でIPを使用する場合、スプーフィングの問題は問題にならず、単一のサブネットを使用しても複数のサブネットを使用しても、同じスプーフィングのリスクがあります。私がここで疑問に思うのは、DHCPがどのように機能するかです。DHCPスコープが連続しておらず、DHCPサーバーがルーターの「ヘルパー」アドレスに基づいてIPを提供している場合、すべての要求はいずれかのスコープに送られませんか?DHCPサーバーがブロードキャストドメインに直接置かれている場合、これは問題にならないかもしれませんが、まだ検討する必要があります。

とは言っても、実際には私のアプリの1つで本番環境でこれを行います。地理的に多様なサイロを持つアプリがあり、各サイロには独自の/ 27があります。これらのIPは、インフラストラクチャIPと見なされます。それらはそれらのサーバーに属します。次に、追加の/ 29を同じブロードキャストドメインにルーティングします。このサブネットはアプリケーションに属します。次にハードウェアをアップグレードするときに、新しい/ 27を使用して完全に新しいサイロを構築し、アプリケーション/ 29のルートをその上に変更します。この/ 29はネットワーク要素との通信を処理するため、新しいハードウェアまたは新しいソフトウェアを入手した場合、すべてのNEを再プログラミングする必要がなく、同じブロードキャストドメインを使用すると専用のNICなしで実行できます。


「理由」は、移動中の古いpos ERPシステムがすべてのクライアントを再インストールしない限りIPを変更できないことです(およびその他のADの問題)。DHCPのアイデアをありがとう、その問題を探る必要があります。
カイルブラント

3
  1. 信頼できないユーザーがいる場合-一部のユーザーは、他のサブネットからのユーザーのIPアドレスを偽装する可能性があります。いくつかのアドレス規則がある場合-それらはそれらをバイパスするかもしれません。subnet1からの一部のユーザーは、ネットワークbのルーターのアドレスをスプーフィングし、通信の[少なくとも一部]を盗聴する可能性があります。
  2. より多くのブロードキャスト「ガベージ」[arp packets]がありますが、数十人のユーザーと100または1000 Mbit / sリンクがある場合、それは心配する必要はありません。

0

IPアドレスが不足し、ワイヤレスセクションに新しいサブネットを与え、3000ユーザーネットワークで正常に動作するため、これを学校に実装しました。迅速な解決策はプラスであり、VLANを作成する必要があることに同意します。セキュリティを保持します。

DHCPサーバー(Windows)には、ワイヤレスネットワークにIPを提供するために、同じスイッチに2つのNICカードが接続されている必要があります(仮想であるため重要ではありません)。「古いネットワーク」で静的IPを使用する必要があります、同じスイッチで2つのdhcpスコープを提供することはできません。


-3

同じマネージドスイッチ上のpoe電話システムとコンピューターネットワークの両方の問題を解決するために数年を費やしました。はい、VLANなしで動作するはずですが、毎月かそこらでスイッチがリセットされず、接続された機器で無限の問題が発生します。(電話システムのリセット、ルーターのリセット、ランダムなスイッチのリセット)これは私たちにとって悪夢でした。スイッチがこれを処理できることをほとんどが受け入れているため、ハードウェアの問題を探していたからです。ダムスイッチかもしれませんが、マネージドスイッチはそうではありません。私はいくつかの主要なメーカーを試しましたが、それらはすべて1か月以内にランダムにリセットされました:(

常にVLAN!

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.