Quais são as implicações de ter duas sub-redes no mesmo comutador?

As coisas funcionam como você espera. No centro disso, eles estão apenas compartilhando um domínio de transmissão. Os computadores nas diferentes sub-redes não irão atravessar a sub-rede, de forma que ainda precisarão de um roteador (ou da entidade da camada 3 incorporada no switch) para "conversar" uns com os outros.

Como eles compartilham um domínio de broadcast, há muito menos (sem dúvida, nenhum) isolamento do que se você estivesse usando VLANs. Seria fácil para os hosts de falsificação ARP e MAC em qualquer sub-rede da sub-rede.

Se você está fazendo isso apenas em um cenário de laboratório, provavelmente está tudo bem. Se você realmente precisa de isolamento, na implantação de produção, deve usar VLANs ou switches físicos separados.

Se você não usa VLANs, uma pessoa pode facilmente adicionar 2 IPs à sua interface, digamos 192.182.0.1/24 e 172.16.0.1/24 , para que ele possa acessar ambas as redes.

Usando VLANs, você pode marcar as portas de switch para que qualquer computador configurado para receber tráfego da VLAN não consiga obter nenhum tráfego (exceto aquele direcionado a ele e com a VLAN correta), independentemente de como a interface local está configurado (quantos IPs existem na interface).

Em essência:

• se você confia em seus usuários, não há motivo algum para usar VLANs (do ponto de vista da segurança).
• se você não confiar em seus usuários, as VLANs manterão determinados grupos de usuários separados um do outro

Primeiro, não sei por que você faria isso para os usuários. O único cenário em que consigo pensar é que você está fora de IPs na sua sub-rede de usuário atual e não pode estender sua sub-rede atual com facilidade. Neste caso, acho que seria bom adicionar outra sub-rede. O spoofing se torna um problema quando você está usando os IPs dessa maneira, porque as duas sub-redes são iguais, então você tem o mesmo risco de falsificação, seja usando uma única sub-rede ou várias. Uma pergunta que tenho aqui é como o DHCP funcionaria. Se os escopos DHCP não forem contíguos e o servidor DHCP atender aos IPs com base no endereço "auxiliar" do roteador, todas as solicitações não serão enviadas para um escopo ou para o outro? Suponho que isso possa se tornar um problema se o servidor DHCP estiver localizado diretamente no domínio de broadcast, mas ainda é algo a ser explorado.

Tudo o que disse, eu realmente faço isso em produção para um dos meus apps. Eu tenho um aplicativo que tem silos geograficamente diversificados, cada silo tem seu próprio / 27. Esses IPs são o que considero ser IPs de infraestrutura. Eles pertencem a esses servidores. Então eu roteio um adicional / 29 para o mesmo domínio de broadcast. Esta sub-rede pertence ao aplicativo. Quando eu atualizar o hardware, eu construirei um silo inteiramente novo com um novo / 27, então mude a rota para o aplicativo / 29 para ele. Como isso / 29 lida com a comunicação com elementos de rede, isso me permite não ter que reprogramar todos os NEs se tivermos novos hardwares ou novos softwares, e usar o mesmo domínio de broadcast me permite fazê-lo sem uma NIC dedicada.

1. se você tiver usuários não confiáveis - alguns deles podem falsificar endereços IP daqueles de outra sub-rede. se houver algumas regras de endereço, elas podem ignorá-las. alguns usuários da subnet1 podem falsificar o endereço do roteador na rede b - e espionar [pelo menos parte da comunicação].
2. você terá mais 'lixo' de transmissão [pacotes arp] - mas isso não deve ser sua preocupação se você tiver poucas dúzias de usuários e um link de 100 ou 1000 Mbit / s.

Implementamos isso em nossa escola porque estávamos ficando sem endereços IP e fornecemos uma nova sub-rede para a seção sem fio, funciona bem em uma rede de 3.000 usuários, pois uma solução rápida é uma vantagem, concordo que temos que criar vlans a fim de preservar a segurança.

O servidor DHCP (Windows) deve ter dois cartões nic conectados ao mesmo switch (o nosso é virtual, então não importa) para distribuir ips à rede sem fio, você terá que usar IPs estáticos no " rede antiga ", não funcionará servindo dois escopos dhcp no mesmo switch.

Acabei de passar alguns anos tentando resolver um problema com um sistema telefônico de telefone e uma rede de computadores no mesmo switch gerenciado. Sim, ele deve funcionar sem uma VLAN, mas a cada mês isso não acontece e redefiniria o switch, causando inúmeros problemas nos equipamentos conectados. (reinicializações do sistema telefônico, redefinições do roteador e redefinições de interrupções aleatórias) Este foi um pesadelo para nós, como estávamos à procura de um problema de hardware, como a maioria aceita que um switch pode lidar com isso. Um switch mudo, talvez, mas um switch gerenciado não. Eu tentei vários fabricantes principais e todos eles redefinir aleatoriamente dentro de um mês: (

ALWAYS VLAN SEMPRE!