Quelqu'un peut-il me dire quelles seraient les implications d'avoir deux sous-réseaux différents sur le même switch si les VLAN ne sont pas utilisés?
Réponses
Trop de publicités?
Un hôte enverra des requêtes ARP pour des adresses dans le(s) sous-réseau(s) local(aux) à ses interface(s). Typiquement, il s'agirait du sous-réseau (ou des sous-réseaux, si plusieurs adresses sont assignées aux interfaces) dans lequel se trouvent les adresses IP des interfaces. Vous pouvez ajouter des entrées dans la table de routage pour rendre d'autres sous-réseaux apparents locaux aux interfaces de l'hôte également.
Deux hôtes, chacun configuré avec une seule adresse IP assignée, et chacun dans des sous-réseaux différents, ne feront pas de requêtes ARP pour l'adresse IP de l'autre.
En supposant que les hôtes aient un routeur spécifié (soit un routeur par défaut soit un routeur spécifique pour l'autre sous-réseau) ils feront des requêtes ARP pour le routeur approprié et enverront le trafic pour l'autre sous-réseau à ce routeur pour le routage.
Configurer deux hôtes de cette manière fournira une isolation logique. Cependant, parce que les hôtes partagent un domaine de diffusion, aucune isolation (comme ce serait le cas avec l'utilisation de VLAN) n'est réellement obtenue. Il serait facile d'effectuer du spoofing ARP et MAC sur des hôtes dans l'un ou l'autre sous-réseau à partir des hôtes connectés.
Si vous faites cela dans un scénario de laboratoire, c'est une configuration correcte. Si vous avez vraiment besoin d'isolation, cependant (comme dans un déploiement en production), vous devriez utiliser des VLAN ou des commutateurs physiques séparés.
Martin M.
Points
6418
Si vous n'utilisez pas de VLAN, une personne pourrait facilement ajouter 2 adresses IP à son interface, par exemple 192.182.0.1/24 et 172.16.0.1/24, afin de pouvoir accéder aux deux réseaux.
En utilisant des VLAN, vous pouvez étiqueter les ports du commutateur de telle sorte que tout ordinateur configuré pour ne recevoir que du trafic du VLAN ne pourra pas recevoir de trafic (à l'exception de celui qui lui est adressé et qui a le VLAN correct) indépendamment de la configuration de l'interface locale (le nombre d'adresses IP sur l'interface).
En essence:
- si vous faites confiance à vos utilisateurs, il n'y a aucune raison d'utiliser des VLAN (d'un point de vue sécurité).
- si vous ne faites pas confiance à vos utilisateurs, les VLAN permettront de maintenir certains groupes d'utilisateurs séparés les uns des autres
pQd
Points
29251
- Si vous avez des utilisateurs non fiables - certains d'entre eux pourraient falsifier les adresses IP de ceux d'un autre sous-réseau. S'il y a des règles d'adresse spécifiques - ils pourraient les contourner. Certains utilisateurs du sous-réseau1 pourraient falsifier l'adresse du routeur dans le réseau b - et écouter [au moins une partie de] la communication.
- Vous aurez plus de 'garbage' de diffusion [paquets ARP] - mais cela ne devrait pas être votre préoccupation si vous avez quelques dizaines d'utilisateurs et un lien de 100 ou 1000 Mbit/s.
Curt Hagenlocher
Points
12432
Tout d'abord, je ne suis pas sûr pourquoi vous feriez cela pour les utilisateurs. Le seul scénario auquel je peux penser est que vous êtes à court d'adresses IP dans votre sous-réseau utilisateur actuel et que vous ne pouvez pas facilement étendre votre sous-réseau actuel. Dans ce cas, je pense qu'il serait bien d'ajouter un autre sous-réseau. La contrefaçon devient un non-sujet lorsque vous utilisez les adresses IP de cette manière car les deux sous-réseaux sont égaux, vous avez donc le même risque de contrefaçon que vous utilisiez un seul sous-réseau ou plusieurs. Une question que je me pose ici est de savoir comment fonctionnerait le DHCP. Si vos étendues DHCP ne sont pas contiguës et que le serveur DHCP attribue des adresses IP en fonction de l'adresse "helper" du routeur, toutes les demandes iraient-elles à une étendue ou à une autre? Je suppose que cela pourrait devenir un non-sujet si votre serveur DHCP est directement dans le domaine de diffusion, mais c'est quand même quelque chose à explorer.
Tout cela dit, je le fais effectivement en production pour l'une de mes applications. J'ai une application qui possède des silos géographiquement divers, chaque silo a son propre /27. Ces adresses IP sont ce que je considère comme des adresses IP d'infrastructure. Elles appartiennent à ces serveurs. Ensuite, je fais passer un /29 supplémentaire dans le même domaine de diffusion. Ce sous-réseau appartient à l'application. Lorsque je mettrai à niveau le matériel, je construirai un tout nouveau silo avec un nouveau /27, puis je changerai la route pour l'application /29 dessus. Comme ce /29 gère la communication avec les éléments du réseau, cela me permet de ne pas avoir à reprogrammer tous les éléments du réseau si nous obtenons un nouveau matériel ou un nouveau logiciel, et en utilisant le même domaine de diffusion, je peux le faire sans une carte réseau dédiée.
JCMoreno
Points
11
Nous avons mis en place cette solution dans notre école car nous commencions à manquer d'adresses IP et avons attribué un nouveau sous-réseau à la section sans fil, cela fonctionne bien sur un réseau de 3000 utilisateurs, pour une solution rapide c'est un avantage, je suis d'accord que nous devons créer des VLAN pour préserver la sécurité.
Le serveur DHCP (Windows) doit avoir deux cartes réseau connectées au même commutateur (le nôtre est virtuel donc cela n'a pas d'importance) afin de distribuer des adresses IP au réseau sans fil, vous devrez utiliser des adresses IP statiques sur l'"ancien réseau", cela ne fonctionnera pas si vous servez deux étendues de DHCP sur le même commutateur.
