主页 / server / 问题 / 397702
Accepted
700 Software
Asked: 2012-06-12 12:28:45 +0800 CST

对多个子网使用单个交换机是否安全?

  • 772

暂时忘掉以下是典型的还是容易解释的,是否安全可靠?

 Internet
    |
ISP supplied router x.x.x.1 (public subnet)
    |
  switch-------------------------------------+
  | (public subnet)                          | (public subnet)
BVI router (switch with an access list)      NAT router
  | (public subnet)                          | (private subnet 192.168.50.1)
  +--------------------------------switch----+ (both subnets)
                                    |  |
computer with IP 192.168.50.2 ------+  +----computer with IP x.x.x.2

我不打算实施此设置,但我对此很好奇。

  • 50.2 计算机可能会向 x.2 计算机发送数据包,但它将使用 50.1 作为路由器,因为 50.2 知道子网不同。这是否会导致数据包被 x.2 机器接收两次,第一次是直接通过交换机,第二次是通过两个路由器?
  • 除了它的混乱程度之外,您是否看到任何问题,并且它会让一个交换机完成两个子网的工作?

额外细节:

  • 不会涉及 DHCP。(那真的很混乱)
  • 我知道我已经完全消除了我通常在x.x.x.*和之间拥有的任何安全/分离192.168.50.*
  • 我对实现x.x.x.*和之间的直接链接不感兴趣192.168.50.*。我只是对防止无限循环或所有数据包的双重传递感兴趣。
  • 我的交换机是非托管/哑交换机——BVI 路由器除外。“路由器”是用 BVI 设置的(类似于 bridge-route)。它像交换机一样工作,除了它根据源和目标 IP 地址和端口丢弃数据包。
networking

5 个回答

  1. Best Answer

    这是否会导致数据包被 x.2 机器接收两次,第一次是直接通过交换机,第二次是通过两个路由器?

    不,因为交换机不是集线器。交换机仅将单播数据包发送到那些注册了接收 MAC 地址的端口。

    • 除了它的混乱程度之外,您是否认为它有任何问题,并且它会让一个交换机完成两个子网的工作?

    不,但请记住,您的安全性非常薄弱。访问端口 - 没有安全性。破解机器 - 没有安全性。如果您的交换机不是完全愚蠢(非托管)并且您至少可以设置多播组或 VLAN 设置,则效果会更好。

    • 4

  2. 从技术角度来看,没有什么可以阻止网络管理员在单个 L2 广播域上拥有两个 IP 网络——一些管理员在不知不觉中这样做,甚至不知道 proxy-arp 是如何保存它们的。

    如果您的 xxx2 节点和 192.168.50.2 节点位于同一 L2 广播域中,它们将尝试在其 IP 网络内本地(直接)传送 IP,并为 IP 网络外的 IP 地址使用已配置的网关。

    虽然两个设备在不同的 IP 网络中,但在同一广播域中,通常不会尝试向彼此进行本地(直接)传递(它们会使用各自的网关作为下一跳),本地(直接)传递可以通过静态实现每个节点上的路由——使它们能够在不使用中间网关的情况下在 L3 上进行通信。

    在单个 L2 广播域上运行多个 IP 网络时出现的障碍存在于动态寻址 (DHCP/BOOTP) 周围——因为这些服务依赖于 L2 广播进行寻址。

    如其他答复所述,另一个主要障碍是安全性。中间人 (MITM) 攻击、ARP 毒路由 (APR) 和大量其他攻击都是可能的。

    • 4

  3. 您正在寻找所谓的“VLAN”。确切的实现取决于开关。基于 VLAN 的设置所做的是在您的交换机中创建单独的“虚拟”广播域。您可以根据需要在交换机上将它们分开,甚至可以创建所谓的“中继”,可以在一个端口上同时处理多个 VLAN。

    • 3

  4. 据我所知,只要您的交换机允许您设置 vlan,就没有问题。我没怎么玩过非管理型交换机,我怀疑这种设置对它们不起作用,但我知道这适用于管理型交换机,例如 cisco 2960。

    This wiki article explains VLANs detailed but this may more sense, basically VLANs split the switch ports into separate networks so a switch can handle different IP ranges, example vlan 1 has the range 192.168.1.0/24 如果交换机上的每个端口在 vlan 1 上,那么连接在 vlan 上的所有设备都需要该范围内的 IP 才能工作,但是如果您引入另一个范围为 192.168.2.0/24 的 vlan 并将其分配给一半的端口,那么那一半将不会获得 . 1 范围只有 .2,我仍在努力让我的头脑完全了解它们,但这应该总结一下

    • 0

  5. 您可以为每个 VLAN 使用一个子网来为多个 IP 范围创建多个广播域。而且,如果您想在交换机内那些虚拟分离的 vlan(IP 地址范围)之间进行通信,请使用 Router on stick 并将 trunck 配置到连接在 Router n 交换机之间的接口。

    • 0

相关问题