在同一个交换机上有两个子网会有什么影响?

任何人都可以告诉我,如果VLAN 被使用,在同一个交换机上有两个不同的子网会有什么影响?

事情会像你所期望的那样工作。 它的核心就是共享一个广播域。 不同子网中的计算机将不会跨越子网,所以它们仍然需要一个路由器(或交换机中的embedded式三层实体)才能相互“通话”。

因为他们共享一个广播域,所以与使用VLAN相比,有更less的(可以说是没有)隔离。 从任一子网的任一子网中的ARP和MAC欺骗主机都很容易。

如果你只是在实验室的情况下这样做,这可能是好的。 但是,如果真的需要隔离,则在生产部署中,应该使用VLAN或单独的物理交换机。

如果你不使用VLAN,那么一个人就可以简单地在它们的接口上添加两个IP地址192.182.0.1/24172.16.0.1/24以便他或她可以访问这两个networking。

通过使用VLAN,您可以标记交换机端口,以便任何configuration为只接收来自VLAN的stream量的计算机将无法获得任何stream量(除了指向它的VLAN具有正确的VLAN),而不pipe本地接口如何configuration界面上有多less个IP地址)。

在本质上:

  • 如果你信任你的用户,从安全的angular度来看,根本没有理由使用VLAN。
  • 如果你不信任你的用户,VLAN将保持某些用户组彼此分离

首先,我不确定为什么你会这样做的用户。 我能想到的一种情况是,您在当前的用户子网中没有IP,并且无法轻松扩展您当前的子网。 在这种情况下,我认为可以添加另一个子网。 当你以这种方式使用IP时,欺骗性的东西就变成了一个非问题,因为这两个子网是平等的,所以无论是使用一个子网还是多个子网,你都有相同的欺骗风险。 我在这里有一个问题是DHCP如何工作。 如果您的DHCP作用域不是连续的,并且DHCP服务器根据路由器的“帮助程序”地址提供IP,是不是所有的请求都会到一个作用域或另一个作用域? 如果你的DHCP服务器直接位于广播域,我想这可能会成为一个问题,但这仍然是一个值得探讨的问题。

所有这一切,我实际上是在为我的一个应用程序生产。 我有一个具有不同地理位置的应用程序,每个筒仓都有自己的/ 27。 这些IP是我认为是基础设施的IP。 他们属于那些服务器。 然后,我将另外一个/ 29路由到同一个广播域。 这个子网属于应用程序。 当我下一次升级硬件时,我将用新的/ 27构build一个全新的筒仓,然后将应用程序/ 29的路线改为它。 由于这个/ 29处理与networking元素的通信,这使我不必重新编程所有的网元,如果我们得到新的硬件或新的软件,并使用相同的广播域允许我没有专用的网卡。

  1. 如果你有不信任的用户 – 他们中的一些可能欺骗来自其他子网的IP地址。 如果有一些地址规则 – 他们可能会绕过它们。 来自子网1的一些用户可能欺骗networkingb中的路由器的地址 – 并且窃听到至less部分通信。
  2. 你会有更多的广播“垃圾”[arp包] – 但是如果你有几十个用户和100或者1000Mbit / s链路,那么你就不应该担心这个问题。

我们在我们的学校实施了这个,因为我们用尽了IP地址,并给了无线部分一个新的子网,在3000个用户networking上正常工作,为了快速解决scheme,我认为我们必须创buildvlans保护安全。

DHCP服务器(Windows)必须有两个网卡连接到同一台交换机(我们是虚拟的,所以没关系),以便发送到无线networking,您将不得不使用静态IP在“旧networking” ,它将不能在同一个交换机上为两个dhcp作用域服务。

我刚花了几年的时间试图解决同一台pipe理型交换机上的poe电话系统和计算机networking的问题。 是的,它应该工作没有VLAN,但每个月左右,它不会,并会重置交换机,导致连接设备无尽的问题。 (电话系统重置,路由器重置和随机开关重置)这对我们来说是一场噩梦,因为我们正在寻找一个硬件问题,因为大多数人都认为交换机可以处理这个问题。 哑巴交换机可能是,但pipe理交换机不。 我尝试了几个主要制造商,他们将在一个月内随机重置:(

总是VLAN总是!