使用子网掩码:IP 10.15.1.1 和掩码 255.255.0.0 将无法看到 IP 10.17.1.1 和掩码 255.255.0.0,对吗?
那么,除非我需要分离插入同一交换机且具有相同 IP 地址的两台服务器,否则我为什么要对交换机进行 VLAN 呢?
我不明白 VLAN 交换机有什么意义。
答案1
因为系统可以修改其 IP 和/或子网以查看同一交换机上其他网络上的广播流量。
举一个实际的例子:假设在您的场景中,10.17.0.0 是高价值网络,而攻击者控制着交换机上当前 IP 为 10.15.1.96 的系统
攻击者为 10.17.1.96 设置网络别名,然后继续对所有流量执行 MiTM ARP 中毒攻击。
如果您使用 VLAN 而不是交换机,他们就不可能转向 10.17.0.0 网络。
答案2
每个子网上的机器无法在第 3 层(IP)直接“看到”彼此,但可以在第 2 层(以太网)看到彼此。
泛洪的 L3 或 L2 流量(广播、多播、未知单播)将点亮所有端口。不同子网中的机器可能不会响应泛洪流量,但它们可能会受到影响,尤其是当有足够的流量来拥塞接口时。您有一个广播域以及更大的冲突域。
一台机器可以改变其地址/掩码并与非预期的子网通信,这可能会带来安全隐患。
即使位于不同的子网,其他第 2 层或非 IP 第 3 层协议也可以在设备之间顺利传递。
当您需要第 2 层分离(较低级别且不受第 3 层配置更改的影响)时,通常会出于性能或安全性的原因,使用 VLAN。
如果您信任网络上的每台机器,并且不担心 L2 域被淹没,那么您可以使用子网来分割您的网络(如果您觉得这样更简单的话)。