동일한 스위치에 두 개의 서브넷이 있다는 것은 무엇을 의미합니까?


36

VLAN을 사용 하지 않는 경우 동일한 스위치에 두 개의 서로 다른 서브넷이있는 경우 어떤 영향을 줄 수 있습니까?


이 경우 스푸핑의 위험은 내가 걱정하는 문제가 아닙니다.
Kyle Brandt

2
또한 네트워크를 새로운 IP 범위로 마이그레이션하는 관리자에게 유용한 정보입니다.
Terence Johnson

한가지 주목할 점은, 아래의 답변 중 일부에 약간의 영향을 미칩니다. 클라이언트에서 VLAN 또는 고정 IP 주소를 사용하지 않으면 "기본"범위에서 DHCP를 가져옵니다.
Adam Nofsinger

답변:


25

예상대로 작동합니다. 핵심은 브로드 캐스트 도메인을 공유하는 것입니다. 서로 다른 서브넷에있는 컴퓨터는 서브넷 전체에서 ARP를 수행하지 않으므로 서로 "대화"하려면 라우터 (또는 스위치에 내장 된 계층 3 엔티티)가 필요합니다.

이들은 브로드 캐스트 도메인을 공유하기 때문에 VLAN을 사용하는 경우보다 격리 수준이 훨씬 낮습니다 (아마도 없음). 어느 서브넷에서든 어느 서브넷의 호스트 나 ARP 및 MAC 스푸핑도 쉽습니다.

랩 시나리오 에서이 작업을 수행하는 경우 아마도 좋습니다. 그러나 실제 배포 환경에서 격리가 필요한 경우 VLAN을 사용하거나 별도의 물리적 스위치를 사용해야합니다.


프로덕션 환경이지만이 경우 스푸핑은 실제로 문제가되지 않습니다.
Kyle Brandt

1
그 때까지 그렇게 말합니다. VLAN을 수행하는 스위치로 업그레이드하거나 다른 스위치를 구입하십시오. 정말.
매트 시몬스

다른 스위치를 얻었다 :-)
Kyle Brandt

12

당신은 VLAN을 사용하지 않는 경우 사람이 쉽게 그들의 인터페이스 말에이 개 IP를 추가 할 수 있습니다 192.182.0.1/24172.16.0.1/24그래서 그 또는 그녀는 두 네트워크에 액세스 할 수있다.

VLAN을 사용하면 스위치 포트에 태그를 지정하여 VLAN에서 트래픽 만 수신하도록 구성된 모든 컴퓨터가 로컬 인터페이스 구성 방식에 관계없이 트래픽을 가져올 수 없습니다 (향한 트래픽을 제외하고 올바른 VLAN이있는 컴퓨터 제외). 인터페이스에 몇 개의 IP가 있는지).

본질적으로:

  • 사용자를 신뢰하는 경우 보안 관점에서 VLAN을 사용할 이유가 없습니다.
  • 사용자를 신뢰할 수없는 경우 VLAN은 특정 사용자 그룹을 서로 분리시킵니다.

8
보안을 위해 VLAN을 사용해서는 안됩니다. 관리 목적으로 만 사용됩니다. Cisco는 VLAN의 보안 영향에 대해 설명하는 훌륭한 백서를 보유하고 있습니다. 참조 : cisco.com/en/US/products/hw/switches/ps708/...
조셉 컨

2
@JosephKern 왜 TLDR을 제공 할 수 있습니까?
Kevin Wheeler

3
@KevinWheeler VLAN은 제로 인증 메커니즘을 제공합니다. 여기 더 자세한 설명이있는 SANS 논문이 있습니다 : sans.org/reading-room/whitepapers/networkdevs/…
Joseph Kern

3

첫째, 왜 당신이 사용자를 위해 이것을 할 것인지 잘 모르겠습니다. 내가 생각할 수있는 한 가지 시나리오는 현재 사용자 서브넷에 IP가없고 현재 서브넷을 쉽게 확장 할 수 없다는 것입니다. 이 경우 다른 서브넷을 추가하는 것이 좋습니다. 두 서브넷이 동일하므로 IP를 이런 방식으로 사용하면 스푸핑이 문제가되지 않으므로 단일 서브넷을 사용하든 여러 서브넷을 사용하든 동일한 스푸핑 위험이 있습니다. 내가 가진 질문 중 하나는 DHCP가 작동하는 방식입니다. DHCP 범위가 연속적이지 않고 DHCP 서버가 라우터의 "도우미"주소를 기반으로 IP를 제공하는 경우 모든 요청이 한 범위 또는 다른 범위로 이동하지 않습니까? DHCP 서버가 브로드 캐스트 도메인에 직접 앉아 있으면 이것이 문제가 아닌 것으로 생각되지만 여전히 탐색해야 할 부분입니다.

사실, 나는 실제로 내 앱 중 하나를 위해 프로덕션 에서이 작업을 수행합니다. 지리적으로 다양한 사일로가있는 앱이 있으며 각 사일로에는 자체 / 27이 있습니다. 이러한 IP는 인프라 IP로 간주됩니다. 이들은 해당 서버에 속합니다. 그런 다음 추가 / 29를 동일한 브로드 캐스트 도메인으로 라우팅합니다. 이 서브넷은 응용 프로그램에 속합니다. 다음에 하드웨어를 업그레이드 할 때 새로운 / 27을 사용하여 완전히 새로운 사일로를 구축 한 다음 / 29 응용 프로그램의 경로를 변경합니다. 이 / 29는 네트워크 요소와의 통신을 처리하므로 새 하드웨어 나 새 소프트웨어를 얻는 경우 모든 NE를 다시 프로그래밍 할 필요가 없으며 동일한 브로드 캐스트 도메인을 사용하면 전용 NIC없이이를 수행 할 수 있습니다.


'이유'는 이동중인 우리의 낡은 pos ERP 시스템이 모든 단일 클라이언트 (및 기타 AD 문제)를 다시 설치하지 않고 IP를 변경할 수 없기 때문입니다. DHCP 아이디어에 감사드립니다. 그 문제를 탐구해야합니다.
Kyle Brandt

3
  1. 신뢰할 수없는 사용자가있는 경우 일부는 다른 서브넷의 IP 주소를 스푸핑 할 수 있습니다. 일부 주소 규칙이있는 경우이를 무시할 수 있습니다. 서브넷 1의 일부 사용자는 네트워크 b에서 라우터의 주소를 스푸핑하고 통신의 [적어도 일부]로 도청 할 수 있습니다.
  2. 더 많은 브로드 캐스트 '쓰레기'[arp 패킷]를 갖게 되겠지만 수십 명의 사용자와 100 또는 1000 Mbit / s 링크가 있다면 걱정할 필요가 없습니다.

0

우리는 우리 학교에서 IP 주소가 부족하고 무선 섹션에 새로운 서브넷을 제공하고 3000 명의 사용자 네트워크에서 잘 작동하며 빠른 솔루션이 플러스이기 때문에 학교에서 이것을 구현했습니다. 보안 유지.

무선 네트워크에 IP를 제공하려면 DHCP 서버 (Windows)에 동일한 스위치에 연결된 두 개의 nic 카드가 있어야합니다 (우리의 가상은 중요하지 않습니다). 동일한 스위치에서 두 개의 dhcp 범위를 제공하지 않습니다.


-3

방금 동일한 관리 스위치에서 poe 전화 시스템과 컴퓨터 네트워크의 문제를 해결하기 위해 몇 년을 보냈습니다. 예. VLAN없이 작동하지만 매월 또는 스위치가 재설정되지 않고 스위치를 재설정하여 연결된 장비에 끝없는 문제가 발생합니다. (전화 시스템 재설정, 라우터 재설정 및 임의 스위치 재설정) 스위치가이 문제를 처리 할 수 ​​있다는 점을 가장 잘 받아들이는 하드웨어 문제를 찾고 있었기 때문에 이것은 악몽이었습니다. 멍청한 스위치 일 수도 있지만 관리되는 스위치는 그렇지 않습니다. 몇 가지 주요 제조 업체를 시도했지만 한 달 안에 모두 임의로 재설정됩니다.

항상 VLAN!

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.