एक ही स्विच पर दो सबनेट होने के निहितार्थ क्या हैं?

36

क्या कोई मुझे बता सकता है कि एक ही स्विच पर दो अलग-अलग सबनेट होने के कुछ निहितार्थ क्या होंगे यदि वीएलएएन का उपयोग नहीं किया जा रहा है?

networking  switch  subnet 
काइल ब्रांड
स्रोत
इस मामले में, स्पूफिंग का जोखिम एक ऐसा मुद्दा नहीं है जिसके बारे में मैं चिंतित हूं।
काइल ब्रान्ड
2
यह एक नई IP रेंज के नेटवर्क पर प्रवेश करने वाले व्यवस्थापक के लिए भी उपयोगी जानकारी है।
टेरेंस जॉनसन
ध्यान देने वाली एक बात, जो नीचे के कुछ उत्तरों में थोड़ी सी हिट है, यह है कि जब तक आप अपने ग्राहकों पर वीएलएएन या स्थिर आईपी पते का उपयोग नहीं करते हैं, तब तक वे सभी डीएचसीपी को "डिफ़ॉल्ट" दायरे से खींच लेंगे।
एडम नोफ़िंगर

जवाबों:

25

आपकी अपेक्षा के अनुसार चीजें बहुत अधिक काम करेंगी। इसके दिल में, वे सिर्फ एक प्रसारण डोमेन साझा कर रहे हैं। एक दूसरे से "बात" करने के लिए अलग-अलग सबनेट में कंप्यूटर एआरपी-सबनेट को एआरपी नहीं करेंगे, इसलिए उन्हें अभी भी राउटर (या स्विच में एम्बेडेड लेयर -3 इकाई) की आवश्यकता होगी।

क्योंकि वे एक प्रसारण डोमेन साझा करते हैं, अगर आप VLANs का उपयोग कर रहे हैं, तो इससे भी कम (यकीनन, कोई भी) अलगाव नहीं है। यह सबनेट से किसी भी सबनेट में एआरपी और मैक स्पूफ होस्ट के लिए आसान होगा।

यदि आप इसे एक प्रयोगशाला परिदृश्य में कर रहे हैं तो यह संभवतः ठीक है। यदि आपको वास्तव में अलगाव की आवश्यकता होती है, हालांकि, उत्पादन परिनियोजन में, आपको वीएलएएन या अलग-अलग भौतिक स्विच का उपयोग करना चाहिए।

इवान एंडरसन
स्रोत
यह उत्पादन का माहौल है, लेकिन स्पूफिंग वास्तव में इस मामले में कोई समस्या नहीं है।
काइल ब्रैंड
1
आप कहते हैं कि जब तक यह है। या तो वीएलएएन करने वाले स्विच पर अपग्रेड करें या दूसरा स्विच खरीदें। वास्तव में।
मैट सिमंस
एक और स्विच :-) मिल गया
काइल ब्रान्ड
12

यदि आप वीएलएएन का उपयोग नहीं करते हैं, तो एक व्यक्ति आसानी से अपने इंटरफ़ेस के अनुसार केवल 2 आईपी जोड़ सकता है 192.182.0.1/24और 172.16.0.1/24ताकि वह दोनों नेटवर्क का उपयोग कर सके।

वीएलएएन का उपयोग करके आप स्विचेस को टैग कर सकते हैं ताकि केवल वीएलएएन से ट्रैफ़िक प्राप्त करने के लिए कॉन्फ़िगर किया गया कोई भी कंप्यूटर किसी भी ट्रैफ़िक को प्राप्त नहीं कर सकेगा (इसके लिए निर्देशित किए गए और सही वीएलएएन को छोड़कर) स्थानीय इंटरफ़ेस कॉन्फ़िगर किए जाने के बावजूद इंटरफ़ेस पर कितने आईपी हैं)।

संक्षेप में:

  • यदि आप अपने उपयोगकर्ताओं पर भरोसा करते हैं तो VLANs (सुरक्षा के दृष्टिकोण से) का उपयोग करने का कोई कारण नहीं है।
  • अगर आपको अपने उपयोगकर्ताओं पर भरोसा नहीं है, तो VLANs कुछ उपयोगकर्ताओं के समूह को एक दूसरे से अलग रखेगा
serverhorror
स्रोत
8
VLAN का उपयोग सुरक्षा के लिए नहीं किया जाना चाहिए। वे केवल प्रबंधन के उद्देश्य से हैं। सिस्को के पास वीएलएएन के सुरक्षा निहितार्थों पर चर्चा करने वाला एक उत्कृष्ट श्वेत पत्र है। देखें: cisco.com/en/US/products/hw/switches/ps708/…
जोसेफ
2
@ जोसेफर्न क्या आप मुझे TLDR नहीं दे सकते?
केविन व्हीलर
3
@ केविनव्हीलर वीएलएएन शून्य प्रमाणीकरण तंत्र प्रदान करता है। यहाँ एक लंबा विवरण के साथ एक SANS पेपर है: sans.org/reading-room/whitepapers/networkdevs/…
जोसेफ केर्न
3

पहले, मुझे यकीन नहीं है कि आप उपयोगकर्ताओं के लिए ऐसा क्यों करेंगे। एक परिदृश्य जो मैं सोच सकता हूं, वह यह है कि आप अपने वर्तमान उपयोगकर्ता सबनेट में आईपी से बाहर हैं और आसानी से आप वर्तमान सबनेट का विस्तार नहीं कर सकते हैं। इस मामले में मुझे लगता है कि एक और सबनेट जोड़ना ठीक रहेगा। स्पूफिंग बात एक गैर-मुद्दा बन जाती है जब आप इस तरह से आईपी का उपयोग कर रहे हैं क्योंकि दोनों सबनेट समान हैं, इसलिए आपके पास एक ही स्पूफिंग जोखिम है चाहे एकल सबनेट या मल्टीपल का उपयोग करना। एक प्रश्न मेरे यहां है कि डीएचसीपी कैसे काम करेगा। यदि आपका डीएचसीपी स्कोप्स सन्निहित नहीं हैं, और डीएचसीपी सर्वर राउटर के "हेल्पर" पते के आधार पर आईपी सेवा करता है, तो क्या सभी अनुरोध एक दायरे या दूसरे में नहीं जाएंगे? मुझे लगता है कि यह एक गैर-मुद्दा बन सकता है यदि आपका डीएचसीपी सर्वर सीधे प्रसारण डोमेन में बैठा है, लेकिन यह अभी भी पता लगाने के लिए कुछ है।

सभी ने कहा, मैं वास्तव में अपने एक ऐप के लिए उत्पादन में ऐसा करता हूं। मेरे पास एक ऐप है जिसमें भौगोलिक रूप से विविध साइलो हैं, प्रत्येक साइलो का अपना / 27 है। वे आईपी वे हैं जिन्हें मैं बुनियादी ढांचा आईपी मानता हूं। वे उन सर्वरों से संबंधित हैं। फिर मैं एक ही प्रसारण डोमेन में एक अतिरिक्त / 29 रूट करता हूं। यह सबनेट एप्लिकेशन के अंतर्गत आता है। जब मैं हार्डवेयर को अगली बार अपग्रेड करता हूं, तो मैं एक नया / 27 के साथ पूरी तरह से नया साइलो बनाऊंगा, फिर इसके लिए एप्लिकेशन / 29 के लिए रूट बदल दें। चूंकि यह / 29 नेटवर्क तत्वों के साथ संचार को संभालता है, इससे मुझे नए हार्डवेयर या नए सॉफ्टवेयर प्राप्त करने पर सभी NEs को दोबारा प्राप्त नहीं करने की अनुमति मिलती है, और उसी प्रसारण डोमेन का उपयोग करके मुझे एक समर्पित एनआईसी के बिना करने की अनुमति मिलती है।

jj33
स्रोत
'क्यों' यह है कि हमारे भद्दे पुराने पीओएस ईआरपी सिस्टम को स्थानांतरित किया जा रहा है जो हर एक क्लाइंट (और अन्य विज्ञापन समस्याओं) को पुनर्स्थापित किए बिना आईपी नहीं बदल सकता है। डीएचसीपी विचार के लिए धन्यवाद, मुझे उस मुद्दे का पता लगाना होगा।
काइल ब्रान्ड
3
  1. यदि आपके पास अविश्वासी उपयोगकर्ता हैं - तो उनमें से कुछ अन्य सबनेट से उन लोगों के आईपी पते को खराब कर सकते हैं। अगर कुछ पता नियम हैं - वे उन्हें बायपास कर सकते हैं। सबनेट 1 के कुछ उपयोगकर्ता नेटवर्क बी में राउटर का पता बिगाड़ सकते हैं - और संचार में [कम से कम] संचार में।
  2. आपके पास 'कचरा' [arp packets] अधिक प्रसारित होगा - लेकिन अगर आपके पास कुछ दर्जनों उपयोगकर्ता और 100 या 1000 Mbit / s लिंक हैं, तो यह आपकी चिंता नहीं होनी चाहिए।
pQd
स्रोत
0

हमने इसे अपने स्कूल में लागू किया क्योंकि हम आईपी पते से बाहर चल रहे थे और वायरलेस सेक्शन को एक नया सबनेट दिया था, जो 3000 उपयोगकर्ताओं के नेटवर्क पर ठीक काम करता है, एक त्वरित समाधान के लिए एक प्लस है, मैं मानता हूं कि हमें क्रम में vlans बनाने होंगे सुरक्षा बरकरार रखें।

डीएचसीपी सर्वर (विंडोज) के पास एक ही स्विच से जुड़े दो निक कार्ड होना चाहिए (हमारा वर्चुअल है इसलिए यह कोई फर्क नहीं पड़ता) वायरलेस नेटवर्क को ips देने के लिए, आपको "पुराने नेटवर्क" पर स्थिर आईपी का उपयोग करना होगा , यह एक ही स्विच पर दो dhcp स्कोप परोसने पर काम नहीं करेगा।

JCMoreno
स्रोत
-3

मैंने अभी कुछ साल बिताए हैं कि एक ही प्रबंधित स्विच पर एक poe फोन सिस्टम और कंप्यूटर नेटवर्क दोनों के साथ एक समस्या को हल करने की कोशिश कर रहा हूं। हाँ, इसे वीएलएएन के बिना काम करना चाहिए लेकिन हर महीने या तो यह स्विच को रीसेट नहीं करेगा और कनेक्टेड उपकरणों के साथ अंतहीन मुद्दों का कारण बनेगा। (फोन सिस्टम रिसेट, राउटर रिसेट और रैंडम स्विच रिसेट) यह हमारे लिए एक बुरा सपना था क्योंकि हम एक हार्डवेयर समस्या की तलाश में थे क्योंकि अधिकांश स्वीकार करते हैं कि एक स्विच इसे संभाल सकता है। एक गूंगा स्विच शायद, लेकिन एक प्रबंधित स्विच नहीं करता है। मैंने कई प्रमुख निर्माणों की कोशिश की और वे सभी एक महीने के भीतर यादृच्छिक रूप से रीसेट हो जाएंगे :(

हमेशा की तरह!

नेड
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.