Quelles sont les implications d'avoir deux sous-réseaux sur le même commutateur?

Si vous n'utilisez pas de VLAN, une personne pourrait facilement ajouter 2 adresses IP à son interface, par exemple 192.182.0.1/24 et 172.16.0.1/24 afin qu'il puisse accéder aux deux réseaux.

En utilisant des VLAN, vous pouvez étiqueter les ports de commutation de sorte que tout ordinateur configuré pour recevoir uniquement le trafic provenant du VLAN ne pourra pas obtenir de trafic (sauf celui qui lui est destiné et qui possède le VLAN correct) quelle que soit la configuration de l'interface locale (combien d'IP y a-t-il sur l'interface).

En substance:

• si vous faites confiance à vos utilisateurs, il n'y a aucune raison d'utiliser des VLAN (du point de vue de la sécurité).
• si vous ne faites pas confiance à vos utilisateurs, les VLAN garderont certains groupes d'utilisateurs séparés les uns des autres

1. si vous avez des utilisateurs non fiables - certains d'entre eux peuvent usurper les adresses IP de ceux d'autres sous-réseaux. s'il existe des règles d'adresse, elles peuvent les contourner. certains utilisateurs de subnet1 peuvent usurper l'adresse du routeur dans le réseau b - et espionner [au moins une partie de] la communication.
2. vous aurez plus de "déchets" de diffusion [paquets arp] - mais cela ne devrait pas vous préoccuper si vous avez quelques dizaines d'utilisateurs et un lien à 100 ou 1000 Mbit/s.

Tout d'abord, je ne sais pas pourquoi vous le feriez pour les utilisateurs. Le seul scénario auquel je peux penser est que vous n'avez plus d'adresse IP dans votre sous-réseau utilisateur actuel et que vous ne pouvez pas facilement étendre votre sous-réseau actuel. Dans ce cas, je pense qu'il serait bien d'ajouter un autre sous-réseau. L'usurpation d'identité ne pose plus de problème lorsque vous utilisez les adresses IP de cette manière, car les deux sous-réseaux sont égaux, vous avez donc le même risque d'usurpation, que vous utilisiez un seul sous-réseau ou plusieurs. Une question que j'ai ici est de savoir comment DHCP fonctionnerait. Si vos étendues DHCP ne sont pas contiguës et que le serveur DHCP sert des adresses IP en fonction de l'adresse "d'assistance" du routeur, toutes les demandes ne vont-elles pas dans une étendue ou dans l'autre? Je suppose que cela pourrait devenir un non-problème si votre serveur DHCP est assis directement dans le domaine de diffusion, mais c'est toujours quelque chose à explorer.

Cela dit, je le fais en production pour l'une de mes applications. J'ai une application qui a des silos géographiquement divers, chaque silo a son propre/27. Ces IP sont ce que je considère comme des IP d'infrastructure. Ils appartiennent à ces serveurs. Ensuite, j'achemine un/29 supplémentaire vers le même domaine de diffusion. Ce sous-réseau appartient à l'application. Lors de la prochaine mise à niveau du matériel, je construirai un tout nouveau silo avec un nouveau/27, puis changerai l'itinéraire pour l'application/29 dessus. Étant donné que ce/29 gère la communication avec les éléments du réseau, cela me permet de ne pas avoir à reprogrammer tous les éléments NE si nous obtenons un nouveau matériel ou un nouveau logiciel, et l'utilisation du même domaine de diffusion me permet de le faire sans carte réseau dédiée.

Nous avons implémenté cela dans notre école parce que nous manquions d'adresses IP et avons donné un nouveau sous-réseau à la section sans fil, fonctionne très bien sur un réseau de 3000 utilisateurs, pour une solution rapide est un plus, je suis d'accord que nous devons créer des vlans afin de préserver la sécurité.

Le serveur DHCP (Windows) doit avoir deux cartes nic connectées au même commutateur (notre est virtuel donc cela n'a pas d'importance) afin de donner des ips au réseau sans fil, vous devrez utiliser des IP statiques sur "l'ancien réseau" , cela ne fonctionnera pas en servant deux étendues DHCP sur le même commutateur.