É seguro usar um único switch para várias sub-redes?

Navegue suas respostas
5

Por um momento, esqueça se o seguinte é típico ou fácil de explicar, é seguro? 

 Internet
    |
ISP supplied router x.x.x.1 (public subnet)
    |
  switch-------------------------------------+
  | (public subnet)                          | (public subnet)
BVI router (switch with an access list)      NAT router
  | (public subnet)                          | (private subnet 192.168.50.1)
  +--------------------------------switch----+ (both subnets)
                                    |  |
computer with IP 192.168.50.2 ------+  +----computer with IP x.x.x.2

Eu não pretendo implementar essa configuração, mas estou curioso sobre isso.

  • O computador 50.2 pode enviar um pacote para o computador x.2, mas usará o 50.1 como roteador, já que o 50.2 sabe que a sub-rede é diferente. Isso resultaria no pacote sendo recebido duas vezes pela máquina x.2, primeiro diretamente através do switch, segundo por meio dos dois roteadores?
  • Você vê algum problema com isso além de quão confuso é, e que colocaria um switch fazendo o trabalho de duas sub-redes?

Detalhes adicionais:

  • Não haverá DHCP envolvido. (isso seria realmente confuso)
  • Estou ciente de que eliminei completamente a segurança / separação que normalmente teria entre x.x.x.* e 192.168.50.* .
  • Não estou interessado em obter um link direto entre x.x.x.* e 192.168.50.* . Estou interessado apenas em evitar loops infinitos ou entrega dupla de todos os pacotes.
  • Meus switches são switches não gerenciados / burros - exceto o roteador BVI. O "roteador" é configurado com BVI (semelhante ao bridge-route). Funciona como um switch, exceto pela queda de pacotes com base no endereço IP e na porta de origem e destino.
por George Bailey 11.06.2012 / 22:28

5 respostas

4

Would this result in the packet being received twice by the x.2 machine, first directly through the switch, second by way of the two routers?

Não, porque um switch não é um hub. Um switch envia pacotes unicast apenas para as portas que possuem o endereço MAC de destino registrado.

•Do you see any problems with this aside from how confusing it is, and that it would put one switch doing the work of two subnets?

Não, mas lembre-se de que sua segurança é tão fina quanto possível. Acesse as portas - sem segurança. Hackear uma máquina - sem segurança. Funciona melhor se o seu switch não for totalmente estúpido (não gerenciado) e você puder definir pelo menos grupos de multicast ou configurações de VLAN.

    
por 11.06.2012 / 22:39
4

Do ponto de vista técnico, não há muito o que impedir um administrador de rede de ter duas redes IP em um único domínio de broadcast L2 - alguns administradores o fazem inconscientemente e nem sabem como o proxy-arp está salvando-os.

Com o seu nó xxx2 e o nó 192.168.50.2 no mesmo domínio de broadcast L2, eles tentarão a entrega local (direta) de IPs dentro de sua rede IP e usarão um gateway configurado para endereços IP fora de sua rede IP. / p>

Embora os dois dispositivos em redes IP diferentes, mas no mesmo domínio de transmissão, normalmente não tentem a entrega local (direta) um ao outro (eles usariam seus respectivos gateways como um próximo salto), a entrega local (direta) pode ser alcançado com rotas estáticas em cada um dos nós - permitindo que eles se comuniquem em L3 sem o uso de um gateway intermediário.

Um obstáculo que surge quando há várias redes IP em um único domínio de broadcast L2 em torno do endereçamento dinâmico (DHCP / BOOTP) - como esses serviços dependem de broadcasts L2 para endereçamento.

Outro grande obstáculo, como observado em outras respostas, é a segurança. Os ataques man-in-the-middle (MITM), ARP Poison Routing (APR) e uma série de outros são possíveis.

    
por 12.06.2012 / 01:03
3

Você está procurando o que é chamado de "VLAN". A implementação exata depende do comutador. O que uma configuração baseada em VLAN faz é criar domínios de transmissão "virtuais" separados dentro do seu switch. Você pode separá-los da maneira que quiser no switch ou até mesmo criar o que é chamado de "trunk" que pode manipular várias VLANs simultaneamente em uma porta.

    
por 11.06.2012 / 22:41
0

Nada de errado, até onde eu possa ver, desde que o seu switch permita a configuração de vlans. Eu não joguei muito com switches não gerenciados e suspeito que esse tipo de configuração não funcionará neles, mas sei que isso funcionará em switches gerenciados, como o cisco 2960.

Este wiki explica detalhadamente as VLANs, mas isso pode fazer mais sentido, basicamente as VLANs dividem as portas do switch em redes separadas para que um switch possa lidar com diferentes faixas de IP, por exemplo, vlan 1 tem o intervalo 192.168.1.0/24 se cada porta no switch está na vlan 1 então todos os dispositivos conectados na vlan precisariam de IPs nessa faixa para funcionar, mas se você introduzir outra vlan com a faixa 192.168.2.0/24 e atribuí-la a metade das portas, então essa metade não receberia tráfego para o intervalo .1, apenas o .2, ainda estou tentando envolvê-los completamente, mas isso deve resumi-lo

    
por 11.06.2012 / 22:41
0

Você pode usar uma sub-rede por VLAN para criar vários domínios de broadcast para vários intervalos de IP. E se você quiser comunicação entre as virtualmente separadas vlans (intervalos de endereço IP) dentro de um switch, use o Router on stick e configure trunck para a interface que está conectada entre o roteador n switch.

    
por 15.05.2016 / 14:06

Tags

Quando o Apache relê as atualizações para os arquivos .htaccess? Melhor maneira de transferir arquivos de um servidor para outro usando um terceiro servidor