Por que eu deveria ter um switch VLAN quando apenas posso usar uma máscara de sub-rede?

4

Usando máscaras de sub-rede: O IP 10.15.1.1 com máscara 255.255.0.0 não poderá ver o IP 10.17.1.1 com máscara 255.255.0.0, correto?

Então, por que eu iria querer um switch VLAN a menos que eu precisasse separar dois servidores conectados no mesmo switch com o mesmo endereço IP?

Eu não vejo o ponto dos switches de VLAN.

    
por John 10.08.2015 / 23:16

2 respostas

3

Como os sistemas podem modificar seu IP e / ou sub-rede para ver o tráfego de broadcast em outras redes no mesmo switch.

Como um exemplo prático: Imagine que no seu cenário 10.17.0.0 é a rede de alto valor, e um atacante controla um sistema no switch que atualmente tem IP 10.15.1.96

O invasor configura um alias de rede para 10.17.1.96 e prossegue para executar um ataque de envenenamento de ARP para a MiTM em todo o seu tráfego.

Não seria possível migrar para a rede 10.17.0.0 se você tivesse usado vlans ao invés de um switch.

    
por 10.08.2015 / 23:38
3

As máquinas em cada sub-rede não poderão "ver-se" diretamente na camada 3 (IP), mas poderão ver uma a outra na camada 2 (Ethernet).

O tráfego L3 ou L2 que transborda (broadcast, multicast, unicast desconhecido) acenderá todas as portas. As máquinas em sub-redes diferentes podem não responder ao tráfego inundado, mas podem ser afetadas por ele, especialmente se houver o suficiente para congestionar uma interface. Você tem um domínio de broadcast e um maior domínio de colisão .

Uma máquina pode ter seu endereço / máscara alterado e falar com uma sub-rede para a qual não foi destinada, o que pode ter implicações de segurança.

Outros protocolos de camada 2 ou não-camada 3 passarão entre os dispositivos, mesmo se estiverem em sub-redes diferentes.

As VLANs são para quando você precisa da separação da camada 2 (alterações de nível mais baixo e impermeável pela camada 3), geralmente por motivos de desempenho ou segurança.

Se você confia em todas as máquinas da rede e não está preocupado com o fato de um domínio L2 ser inundado, basta usar sub-redes para segmentar sua rede, se achar mais simples.

    
por 10.08.2015 / 23:41