一会儿,忘记以下是典型的还是容易解释的,安全吗?
Internet | ISP supplied router xxx1 (public subnet) | switch-------------------------------------+ | (public subnet) | (public subnet) BVI router (switch with an access list) NAT router | (public subnet) | (private subnet 192.168.50.1) +--------------------------------switch----+ (both subnets) | | computer with IP 192.168.50.2 ------+ +----computer with IP xxx2 我不打算执行这个设置,但我很好奇。
额外细节:
xxx*和192.168.50.*之间通常会有的安全/分离。 xxx*和192.168.50.*之间的直接链接不感兴趣。 我只是有意防止无限循环,或双重传递所有的数据包。 这是否会导致数据包被x.2机器接收两次,第一次直接通过交换机,第二次通过两台路由器?
不,因为交换机不是集线器。 交换机仅将单播数据包发送到已经注册了接收MAC地址的端口。
•除了这个问题有多混淆之外,您是否还会看到有任何问题,并且会让一台交换机执行两个子网的工作?
不,但请记住,您的安全性如此薄。 访问端口 – 没有安全性。 砍一台机器 – 没有安全性。 如果您的交换机不是完全愚蠢的(不受pipe理的),并且您至less可以设置多播组或VLAN设置,则效果会更好。
从技术angular度来说,阻止networkingpipe理员在单个L2广播域上拥有两个IPnetworking并不多 – 有些pipe理员在不知不觉中执行此操作,甚至不知道proxy-arp如何保存它们。
在同一个L2广播域中,您的xxx2节点和192.168.50.2节点将尝试本地(直接)交付其IPnetworking中的IP,并使用configuration的网关为其IPnetworking之外的IP地址执行操作。
尽pipe在不同的IPnetworking中但是在同一个广播域中的两个设备通常不会尝试本地(直接)传送到彼此(它们将使用它们各自的网关作为下一跳),但是本地(直接)传送可以通过静态每个节点上的路由 – 使它们能够在不使用中间网关的情况下在L3进行通信。
在dynamic寻址(DHCP / BOOTP)周围存在一个在单个L2广播域上运行多个IPnetworking时出现的障碍 – 这些服务依靠L2广播进行寻址。
正如其他答复所指出的另一个主要障碍是安全。 中间人(MITM)攻击,ARP毒性路由(APR)以及其他一些攻击都是可能的。
你正在寻找所谓的“VLAN”。 确切的实现取决于交换机。 基于VLAN的设置所做的是在交换机中创build单独的“虚拟”广播域。 你可以在交换机上分离出来,甚至可以在一个端口上创build一个可以同时处理多个VLAN的“trunk”。
据我所知,只要你的开关允许你设置vlan,那就没什么问题。 我还没有玩过非托pipe交换机,并怀疑这种设置不会对他们工作,但我知道这将工作在pipe理交换机,如思科2960。
这篇wiki文章详细解释了VLANS,但这可能更有意义,基本上VLAN将交换机端口分成单独的networking,因此一个交换机可以处理不同的IP范围,例如,如果交换机上的每个端口都是vlan 1,则范围为192.168.1.0/24是在vlan 1上,那么连接在vlan上的所有设备都需要该范围内的IP才能工作,但是如果引入另一个范围为192.168.2.0/24的vlan,并将其分配给端口的一半,则该端口不会获得stream量。 1范围只有.2,我仍然试图让我的头完全,但这应该总结起来
您可以使用每个VLAN的一个子网为多个IP范围创build多个广播域。 如果你想在一个交换机内的虚拟分隔的vlan(ip地址范围)之间进行通信,使用Router上的棍子并configurationTrunck连接到Router n交换机之间的接口。