有人能告诉我,如果 VLAN 在同一交换机上有两个不同的子网,会有什么影响吗?不是正在使用?
答案1
主机将发送 ARP 请求,请求其接口本地子网中的地址。通常,这将是子网(或子网(如果为接口分配了多个地址),其中接口的 IP 地址(或地址) 的位置。您可以添加路由表条目,以使其他子网也出现在主机接口的本地。
两个主机,每个都配置了一个 IP 地址,并且每个位于不同的子网中,不会对对方的 IP 地址发出 ARP 请求。
假设主机具有指定的网关(默认网关或到另一个子网的特定网关),它们将对适用的网关发出 ARP 请求,并将另一个子网的流量发送到该网关进行路由。
以这种方式配置两台主机将提供逻辑隔离。但是,由于主机共享一个广播域,因此实际上并未实现隔离(如果使用 VLAN 则会出现隔离)。很容易通过 ARP 和 MAC 欺骗将任一子网中的主机与连接的主机区分开来。
如果您在实验室场景中执行此操作,则这是一种很好的配置。但是,如果您确实需要隔离(例如在生产部署中),则应使用 VLAN 或单独的物理交换机。
答案2
如果不使用 VLAN,则人们可以轻松地在其接口上添加 2 个 IP 192.182.0.1/24
,172.16.0.1/24
这样他或她就可以访问两个网络。
通过使用 VLAN,您可以标记交换机端口,这样任何配置为仅接收来自 VLAN 的流量的计算机都将无法获取任何流量(除了定向到它并具有正确 VLAN 的流量),无论本地接口如何配置(接口上有多少个 IP)。
在本质上:
- 如果您信任您的用户,那么就没有理由使用 VLAN(从安全角度来看)。
- 如果你不信任你的用户,VLAN 会将某些用户组彼此隔离
答案3
首先,我不确定你为什么要为用户这样做。我能想到的一种情况是,你当前用户子网中的 IP 已经用完,并且无法轻松扩展当前子网。在这种情况下,我认为添加另一个子网是可以的。当你以这种方式使用 IP 时,欺骗问题就不再是问题,因为两个子网是相等的,所以无论使用单个子网还是多个子网,欺骗风险都是相同的。我在这里有一个问题是 DHCP 将如何工作。如果你的 DHCP 作用域不连续,并且 DHCP 服务器根据路由器的“帮助程序”地址提供 IP,那么所有请求不是都会转到一个作用域还是另一个作用域吗?我想如果你的 DHCP 服务器直接位于广播域中,这可能就不再是问题了,但这仍然需要探索。
话虽如此,我实际上在生产中为我的一个应用程序做了这件事。我有一个应用程序,它有地理上不同的孤岛,每个孤岛都有自己的 /27。这些 IP 就是我认为的基础设施 IP。它们属于那些服务器。然后,我将另一个 /29 路由到同一个广播域。这个子网属于应用程序。下次升级硬件时,我将用新的 /27 构建一个全新的孤岛,然后将应用程序的路由 /29 更改为它。由于这个 /29 处理与网络元素的通信,如果我们获得新硬件或新软件,这样我就不必重新编程所有 NE,而使用同一个广播域让我可以在没有专用 NIC 的情况下做到这一点。
答案4
我们在学校实施了这个,因为我们的 IP 地址用完了,并为无线部分提供了一个新的子网,在 3000 个用户的网络上运行良好,对于快速解决方案来说是一个加分项,我同意我们必须创建 VLAN 以保证安全。
DHCP 服务器(Windows)必须有两个网卡连接到同一个交换机(我们的是虚拟的,所以没关系)为了向无线网络提供 IP,您必须在“旧网络”上使用静态 IP,它无法通过同一个交换机为两个 dhcp 范围提供服务。