web-dev-qa-db-ja.com

同じスイッチに2つのサブネットがあることの意味は何ですか?

VLANがnotが使用されている場合、同じスイッチ上に2つの異なるサブネットがあることの影響はどのようなものでしょうか?

36
Kyle Brandt

あなたが期待するように物事はかなり機能します。その中心には、ブロードキャストドメインを共有しているだけです。異なるサブネットのコンピューターはサブネットを越えてARPを実行しないため、相互に「通信」するためにルーター(またはスイッチに埋め込まれたレイヤー3エンティティ)が必要です。

ブロードキャストドメインを共有しているため、VLANを使用している場合よりも(おそらく、1つも)分離がはるかに少なくなります。どちらのサブネットからでも、どちらのサブネットのホストでもARPおよびMACスプーフィングは簡単です。

ラボのシナリオでこれを実行しているだけであれば、おそらく問題ありません。ただし、実際に分離が必要な場合は、本番環境の展開では、VLANまたは個別の物理スイッチを使用する必要があります。

25
Evan Anderson

VLANを使用しない場合、人はインターフェースに2つのIPを簡単に追加できます192.182.0.1/24および172.16.0.1/24そのため、彼または彼女は両方のネットワークにアクセスできました。

VLANを使用することで、スイッチポートにタグを付けることができ、VLANからのトラフィックのみを受信するように構成されたコンピューターは、トラフィックを取得できなくなります(それに向けられ、正しいVLANを持つものを除く)ローカルインターフェイスの構成方法(インターフェイス上にあるIPの数)に関係なく。

本質的に:

  • ユーザーを信頼する場合、VLANを使用する理由はまったくありません(セキュリティの観点から)。
  • ユーザーを信頼しない場合、VLANは特定のユーザーグループを互いに分離したままにします
12
serverhorror
  1. 信頼できないユーザーがいる場合-一部のユーザーは他のサブネットのユーザーのIPアドレスを偽装する可能性があります。いくつかのアドレス規則がある場合-それらはそれらをバイパスするかもしれません。 subnet1の一部のユーザーは、ネットワークbのルーターのアドレスを偽装し、通信の[少なくとも一部]を盗聴する可能性があります。
  2. より多くのブロードキャスト「ガベージ」[arpパケット]が発生しますが、数十人のユーザーと100または1000 Mbit/sのリンクを使用している場合は、これは問題になりません。
3
pQd

まず、ユーザーに対してこれを行う理由がわかりません。私が考えることができる1つのシナリオは、現在のユーザーサブネットのIPが不足していて、現在のサブネットを簡単に拡張できないことです。この場合、別のサブネットを追加しても問題ないと思います。この方法でIPを使用している場合、両方のサブネットが等しいため、なりすましは問題にならず、単一のサブネットを使用する場合でも複数のサブネットを使用する場合でも、同じなりすましのリスクがあります。ここでの質問の1つは、DHCPがどのように機能するかです。 DHCPスコープが隣接しておらず、DHCPサーバーがルーターの「ヘルパー」アドレスに基づいてIPを提供している場合、すべてのリクエストが一方または他方のスコープに行きませんか? DHCPサーバーがブロードキャストドメインに直接配置されている場合、これは問題にならないかもしれませんが、それでも調査する必要があります。

そうは言っても、私は実際にこれを自分のアプリの1つをプロダクションで行います。私は地理的に多様なサイロを持つアプリを持っています。各サイロには独自の/ 27があります。これらのIPは、インフラストラクチャIPと私が考えるものです。それらはそれらのサーバーに属しています。次に、追加の/ 29を同じブロードキャストドメインにルーティングします。このサブネットはアプリケーションに属しています。次にハードウェアをアップグレードするときに、新しい/ 27を使用してまったく新しいサイロを構築し、アプリケーション/ 29のルートをそのサイロに変更します。この/ 29はネットワーク要素との通信を処理するため、新しいハードウェアまたは新しいソフトウェアを入手した場合にすべてのNEを再プログラムする必要がなくなり、同じブロードキャストドメインを使用することで専用NICなしでそれを実行できます。

3
jj33

私たちはこれを学校に実装しました。IPアドレスが不足し、ワイヤレスセクションに新しいサブネットを割り当てたためです。3000ユーザーのネットワークで問題なく機能します。迅速な解決策はプラスです。そのためには、VLANを作成する必要があります。セキュリティを維持します。

DHCPサーバー(Windows)は、同じスイッチに接続された2つのNICカードを持っている必要があります(私たちが仮想であるため、問題ではありません)。ワイヤレスネットワークにIPを提供するには、「古いネットワーク」で静的IPを使用する必要があります。 、同じスイッチ上で2つのdhcpスコープを処理することはできません。

0
JCMoreno