暂时不要考虑以下内容是否典型或容易解释,它是否安全可靠?
Internet
|
ISP supplied router x.x.x.1 (public subnet)
|
switch-------------------------------------+
| (public subnet) | (public subnet)
BVI router (switch with an access list) NAT router
| (public subnet) | (private subnet 192.168.50.1)
+--------------------------------switch----+ (both subnets)
| |
computer with IP 192.168.50.2 ------+ +----computer with IP x.x.x.2
我不打算实现这个设置,但我对此很好奇。
- 50.2 计算机可能会向 x.2 计算机发送数据包,但它将使用 50.1 作为路由器,因为 50.2 知道子网不同。这是否会导致 x.2 计算机两次接收数据包,第一次直接通过交换机,第二次通过两个路由器?
- 除了它有多令人困惑以及用一个交换机来完成两个子网的工作之外,你还发现有什么问题吗?
额外细节:
- 不会涉及 DHCP。(否则会非常令人困惑)
- 我知道我已经完全消除了通常在
x.x.x.*
和之间所具有的任何安全感/分离感192.168.50.*
。 x.x.x.*
我对实现和之间的直接链接不感兴趣192.168.50.*
。我只对防止无限循环或所有数据包的双重传送感兴趣。- 我的交换机是非托管/哑交换机 - 除了 BVI 路由器。“路由器”使用 BVI 设置(类似于桥接路由)。它的工作原理与交换机一样,只是它会根据源和目标 IP 地址和端口丢弃数据包。
答案1
这是否会导致数据包被 x.2 机器接收两次,第一次直接通过交换机,第二次通过两个路由器?
不是,因为交换机不是集线器。交换机只向已注册接收 MAC 地址的端口发送单播数据包。
•除了造成混淆以及用一个交换机来完成两个子网的工作之外,您认为这还有什么问题吗?
不,但请记住,您的安全性已经薄弱到无以复加的程度。访问端口 - 没有安全性。入侵机器 - 没有安全性。如果您的交换机不是完全愚蠢的(不受管理的),并且您至少可以设置多播组或 VLAN 设置,那么效果会更好。
答案2
从技术角度来看,没有什么可以阻止网络管理员在单个 L2 广播域上拥有两个 IP 网络——一些管理员在不知情的情况下这样做,甚至不知道代理 arp 是如何拯救他们的。
当您的 xxx2 节点和 192.168.50.2 节点位于同一个 L2 广播域时,它们将尝试在其 IP 网络内进行本地(直接)传送 IP,并使用已配置的网关来传送其 IP 网络之外的 IP 地址。
虽然两个设备位于不同的 IP 网络中,但在同一个广播域中,通常不会尝试相互进行本地(直接)传输(它们会使用各自的网关作为下一跳),但可以通过每个节点上的静态路由实现本地(直接)传输 - 使它们无需使用中间网关即可在 L3 上进行通信。
在单个 L2 广播域上运行多个 IP 网络时出现的障碍在于动态寻址(DHCP/BOOTP)——因为这些服务依赖 L2 广播进行寻址。
另一个主要障碍是安全性,正如其他回复中提到的那样。中间人 (MITM) 攻击、ARP 毒药路由 (APR) 以及许多其他攻击都有可能出现。
答案3
您正在寻找所谓的“VLAN”。确切的实现取决于交换机。基于 VLAN 的设置的作用是在交换机内创建单独的“虚拟”广播域。您可以在交换机上随意分离这些广播域,甚至可以创建所谓的“中继”,可以在一个端口上同时处理多个 VLAN。
答案4
您可以为每个 VLAN 使用一个子网,从而为多个 IP 范围创建多个广播域。如果您想要在交换机内这些虚拟分离的 VLAN(IP 地址范围)之间进行通信,请使用 Router on stick 并将 trunck 配置为连接 Router n 交换机之间的接口。