¿Cuáles son las implicaciones de tener dos subredes en el mismo conmutador?

36

¿Alguien puede decirme cuáles serían algunas de las implicaciones de tener dos subredes diferentes en el mismo conmutador si no se utilizan VLAN ?

Kyle Brandt
fuente
En este caso, el riesgo de falsificación no es un problema que me preocupe.
Kyle Brandt
2
Esta también es información útil para los administradores que migran una red a un nuevo rango de IP.
Terence Johnson
Una cosa a tener en cuenta, que se ve un poco en algunas de las respuestas a continuación, es que a menos que use VLAN o direcciones IP estáticas en sus clientes, todos extraerán DHCP del tipo de alcance "predeterminado".
Adam Nofsinger

Respuestas:

25

Las cosas funcionarán más o menos como cabría esperar. En el fondo, solo comparten un dominio de difusión. Las computadoras en las diferentes subredes no ARP a través de la subred, por lo que aún necesitarán un enrutador (o una entidad de capa 3 incrustada en el conmutador) para "hablar" entre sí.

Debido a que comparten un dominio de difusión, hay mucho menos aislamiento (posiblemente, ninguno) que si estuviera usando VLAN. Sería fácil ARP y MAC falsos hosts en cualquier subred desde cualquier subred.

Si solo está haciendo esto en un escenario de laboratorio, probablemente esté bien. Sin embargo, si realmente necesita aislamiento en la implementación de producción, debe usar VLAN o conmutadores físicos separados.

Evan Anderson
fuente
Es un entorno de producción, pero la falsificación no es realmente un problema en este caso.
Kyle Brandt
1
Lo dices hasta que lo sea. Actualice a los conmutadores que hacen VLAN o compre otro conmutador. De Verdad.
Matt Simmons
Tengo otro Switch :-)
Kyle Brandt
12

Si no se utiliza VLAN que una persona podría fácilmente con sólo añadir 2 IPs a expresar su opinión interfaz 192.182.0.1/24y 172.16.0.1/24para que él o ella podría tener acceso a ambas redes.

Al usar las VLAN, puede etiquetar los puertos de conmutación para que cualquier computadora configurada para recibir solo tráfico de la VLAN no pueda obtener ningún tráfico (excepto el que se dirige a ella y que tenga la VLAN correcta) independientemente de cómo esté configurada la interfaz local ( cuántas IP hay en la interfaz).

En esencia:

  • Si confía en sus usuarios, no hay ninguna razón para usar VLAN (desde un punto de vista de seguridad).
  • si no confía en sus usuarios, las VLAN mantendrán a ciertos grupos de usuarios separados entre sí
servidorhorror
fuente
8
Las VLAN no deben usarse para seguridad. Son solo para fines de gestión. Cisco tiene un excelente documento técnico sobre las implicaciones de seguridad de las VLAN. Ver: cisco.com/en/US/products/hw/switches/ps708/…
Joseph Kern
2
@JosephKern ¿Me puede dar un TLDR de por qué no?
Kevin Wheeler
3
@KevinWheeler VLAN ofrece cero mecanismos de autenticación. Aquí hay un artículo de SANS con una explicación más larga: sans.org/reading-room/whitepapers/networkdevs/…
Joseph Kern
3

Primero, no estoy seguro de por qué harías esto para los usuarios. El único escenario en el que puedo pensar es que no tiene IP en su subred de usuario actual y no puede extender fácilmente su subred actual. En este caso, creo que estaría bien agregar otra subred. La suplantación de identidad se convierte en un problema cuando utiliza las IP de esta manera porque ambas subredes son iguales, por lo que tiene el mismo riesgo de suplantación de identidad ya sea que use una subred o múltiples. Una pregunta que tengo aquí es cómo funcionaría DHCP. Si sus ámbitos DHCP no son contiguos, y el servidor DHCP sirve direcciones IP basadas en la dirección "auxiliar" del enrutador, ¿no irían todas las solicitudes a un ámbito u otro? Supongo que esto podría no ser un problema si su servidor DHCP se encuentra directamente en el dominio de transmisión, pero todavía es algo para explorar.

Dicho todo esto, en realidad hago esto en producción para una de mis aplicaciones. Tengo una aplicación que tiene silos geográficamente diversos, cada silo tiene su propio / 27. Esas IP son lo que considero como IP de infraestructura. Pertenecen a esos servidores. Luego enruto un / 29 adicional al mismo dominio de difusión. Esta subred pertenece a la aplicación. La próxima vez que actualice el hardware, construiré un silo completamente nuevo con un nuevo / 27, luego cambiaré la ruta para la aplicación / 29. Dado que este / 29 maneja la comunicación con elementos de red, esto me permite no tener que reprogramar todos los NEs si obtenemos nuevo hardware o nuevo software, y el uso del mismo dominio de difusión me permite hacerlo sin una NIC dedicada.

jj33
fuente
El "por qué" es que nuestro viejo sistema ERP pos que se está moviendo no puede cambiar las direcciones IP sin reinstalar cada cliente (y otros problemas de AD). Gracias por la idea de DHCP, tendré que explorar ese tema.
Kyle Brandt
3
  1. Si tiene usuarios que no son de confianza, algunos de ellos pueden falsificar las direcciones IP de las de otra subred. si hay algunas reglas de dirección, pueden pasarlas por alto. algunos usuarios de la subred1 pueden suplantar la dirección del enrutador en la red b y espiar [al menos parte de] la comunicación.
  2. tendrá más 'basura' de transmisión [paquetes arp], pero eso no debería ser su preocupación si tiene pocas docenas de usuarios y un enlace de 100 o 1000 Mbit / s.
pQd
fuente
0

Implementamos esto en nuestra escuela porque nos estábamos quedando sin direcciones IP y le dimos una nueva subred a la sección inalámbrica, funciona bien en una red de 3000 usuarios, para una solución rápida es una ventaja, estoy de acuerdo en que tenemos que crear vlans para poder preservar la seguridad.

El servidor DHCP (Windows) debe tener dos tarjetas nic conectadas al mismo conmutador (el nuestro es virtual, por lo que no importa) para dar ips a la red inalámbrica, deberá usar IP estáticas en la "red anterior" , no funcionará sirviendo dos ámbitos dhcp sobre el mismo conmutador.

JCMoreno
fuente
-3

Acabo de pasar un par de años tratando de resolver un problema con un sistema telefónico poe y una red informática en el mismo conmutador administrado. Sí, debería funcionar sin una VLAN, pero cada mes más o menos no lo hace y restablecería el interruptor, causando un sinfín de problemas con el equipo conectado. (reinicio del sistema telefónico, reinicio del enrutador y reinicio del interruptor aleatorio) Esto fue una pesadilla para nosotros ya que estábamos buscando un problema de hardware ya que la mayoría acepta que un interruptor puede manejar esto. Un interruptor tonto tal vez, pero un interruptor administrado no. Probé varios fabricantes importantes y todos se reiniciaron aleatoriamente en un mes :(

¡SIEMPRE VLAN SIEMPRE!

Ned
fuente