Quelqu'un peut-il me dire quelles seraient les conséquences d'avoir deux sous-réseaux différents sur le même commutateur si les réseaux VLAN n'étaient pas utilisés?
Quelqu'un peut-il me dire quelles seraient les conséquences d'avoir deux sous-réseaux différents sur le même commutateur si les réseaux VLAN n'étaient pas utilisés?
Réponses:
Les choses vont marcher à peu près comme vous le souhaitiez. Au cœur de cela, ils ne font que partager un domaine de diffusion. Les ordinateurs des différents sous-réseaux n'ARP pas entre sous-réseaux, ils auront donc toujours besoin d'un routeur (ou d'une entité de couche 3 intégrée dans le commutateur) pour pouvoir se "parler" les uns aux autres.
Comme ils partagent un domaine de diffusion, l'isolation est beaucoup moins (sans doute discutable) que si vous utilisiez des VLAN. Il serait facile d'arborer des hôtes ARP et MAC dans l'un ou l'autre sous-réseau de l'un ou l'autre sous-réseau.
Si vous ne faites que cela dans un scénario de laboratoire, c'est probablement bien. Si vous avez réellement besoin d'isolement dans le déploiement en production, vous devez utiliser des VLAN ou des commutateurs physiques distincts.
Si vous n'utilisez pas de VLAN, une personne peut facilement ajouter 2 adresses IP à son interface 192.182.0.1/24
, 172.16.0.1/24
afin de pouvoir accéder aux deux réseaux.
En utilisant des VLAN, vous pouvez baliser les switchports de sorte que tout ordinateur configuré pour recevoir uniquement du trafic du VLAN ne puisse obtenir aucun trafic (sauf celui qui lui est destiné et qui possède le bon VLAN), quelle que soit la configuration de l'interface locale ( combien d’adresses IP sur l’interface).
En substance:
Premièrement, je ne suis pas sûr de savoir pourquoi vous feriez cela pour les utilisateurs. Le seul scénario auquel je puisse penser est que vous n’avez plus d’IP dans votre sous-réseau utilisateur actuel et que vous ne pouvez pas facilement étendre votre sous-réseau actuel. Dans ce cas, je pense que ce serait bien d'ajouter un autre sous-réseau. Le problème d'usurpation d'identité ne pose plus aucun problème lorsque vous utilisez les adresses IP de cette manière, car les deux sous-réseaux sont égaux. Vous avez donc le même risque d'usurpation d'identité, que vous utilisiez un seul ou plusieurs sous-réseaux. Une question que j'ai ici est de savoir comment DHCP fonctionnerait. Si vos portées DHCP ne sont pas contiguës et que le serveur DHCP gère les adresses IP en fonction de l'adresse "auxiliaire" du routeur, toutes les demandes ne vont-elles pas à une portée ou à une autre? Je suppose que cela pourrait ne pas poser de problème si votre serveur DHCP est situé directement dans le domaine de la diffusion, mais cela reste une piste à explorer.
Cela dit, je le fais en production pour l'une de mes applications. J'ai une application qui a des silos géographiquement diversifiés, chaque silo a son propre / 27. Ces IP sont ce que je considère être des IP d’infrastructure. Ils appartiennent à ces serveurs. Ensuite, je route un / 29 supplémentaire vers le même domaine de diffusion. Ce sous-réseau appartient à l'application. Lors de la prochaine mise à niveau du matériel, je construirai un silo entièrement nouveau avec un nouveau / 27, puis changerai le chemin pour l'application / 29. Puisque ceci / 29 gère la communication avec les éléments de réseau, cela me permet de ne pas avoir à reprogrammer tous les NE si nous obtenons un nouveau matériel ou un nouveau logiciel, et utiliser le même domaine de diffusion me permet de le faire sans carte réseau dédiée.
Nous avons implémenté cela dans notre école parce que nous manquions d'adresses IP et avons créé un nouveau sous-réseau pour la section sans fil, fonctionne parfaitement sur un réseau de 3 000 utilisateurs, car une solution rapide est un avantage, je suis d'accord pour dire que nous devons créer préserver la sécurité.
Le serveur DHCP (Windows) doit avoir deux cartes réseau connectées au même commutateur (virtuel donc peu importe) pour pouvoir transmettre des ips au réseau sans fil, vous devrez utiliser des adresses IP statiques sur le "vieux réseau". , cela ne fonctionnera pas en desservant deux portées DHCP sur le même commutateur.
Je viens de passer quelques années à essayer de résoudre un problème avec un système téléphonique Poe et un réseau informatique sur le même commutateur géré. Oui, il devrait fonctionner sans VLAN, mais tous les mois environ, il ne le ferait pas et réinitialiserait le commutateur, ce qui causerait de nombreux problèmes avec les équipements connectés. (réinitialisation du système téléphonique, réinitialisation du routeur et réinitialisation aléatoire du commutateur). C’était un cauchemar pour nous, car nous recherchions un problème matériel, car la plupart acceptent qu’un commutateur puisse le gérer. Un commutateur bête peut-être, mais pas un commutateur géré. J'ai essayé plusieurs grands fabricants et ils seraient tous réinitialiser au hasard dans un mois :(
TOUJOURS VLAN TOUJOURS!