想象一个小型网络,其中有一个交换机(或集线器)和 10 个用户。
其中 5 个可能位于 192.168.1.0/24 网络中,而其余 5 个可能位于 192.168.2.0/24 网络中吗?
会发生什么冲突或问题吗?
一个物理网络一定意味着一个子网吗?
答案1
您可以继续在两个独立的“逻辑”网络之间共享同一个交换机或集线器。一个将使用 192.168.1.0/24,另一个将使用 192.168.2.0/24。有一些可能的注意事项:
您将需要使用静态 IP 地址或复杂的 DHCP 设置,因为一个网络上不能有两个 DHCP 服务器。
如果您有 100 多台计算机,而不是 10 台,那么最好将这些网络物理地或通过 VLAN 分开。但如果只有 10 台,广播就不会造成任何问题。
您需要一个路由器来在这两个网络之间进行路由,因为从逻辑上讲它们是分开的(尽管它们位于同一个物理网络上,但一个网络上的计算机不知道如何与另一个网络通信/找到另一个网络)。
同一物理网络意味着两个网络之间没有物理隔离。因此,如果您担心安全性,则需要使用支持 VLAN 的交换机(昂贵)或将它们分离到两个不同的物理网络上。
答案2
您可以使用支持 VLAN 的交换机(而不是集线器)将物理网络/广播域划分为多个子网/广播域。
虚拟局域网是支持的第 2 层技术IEEE 802.1Q。它会将一个标签添加到以太网帧中,该标签定义数据包的 VLAN ID。您需要某种类型的第 3 层交换机/路由器,以便 VLAN 之间可以相互通信。
VLAN 的常见网络设计称为单臂路由器。
交换机通过中继连接的路由器接口可以分为多个子接口,每个子接口都充当 VLAN 的默认网关。然后,路由器将每个子接口视为单独的接口,以进行路由和访问控制。
例如,如果您有 VLAN 2、3 和 4,则可以将路由器接口配置为具有接口fa0/0.2、fa0/0.3、fa0/0.4。
答案3
过去,当我想通过注入故障来测试服务器对 LAN 故障的响应而不失去从被测机器收集数据的能力时,我曾在单个物理网络或 VLAN 段上使用多个 IP 段。
您必须小心设置用于连接 IP 段的路由器;如果您允许路由器发送 ICMP 重定向数据包,那么机器将逐渐意识到它们实际上是在同一个物理网络上,并将停止通过路由器相互通信,这会很快破坏 WAN 模拟。
为了安全起见,将 IP 段分开也是没有意义的。LAN 上可见的数据包将对 LAN 上的所有接收器可见,无论它们是否位于同一 IP 段上。要确保单独的可见性,您需要使用适当的路由器硬件设置 VLAN。当然,智能路由器通常不会将没有广播以太网帧的数据包发送到除包含目标以太地址的端口之外的端口,但您不能真正依靠这一点来保证安全性,因为任何客户端都可以注入以太帧,这将使路由器混淆,从而转发发往另一台机器的数据包。