Представьте себе одну маленькую сеть с одним коммутатором (или концентратором) и, скажем, 10 пользователями.
Возможно ли, что 5 из них будут в сети 192.168.1.0/24, а остальные 5 будут в сети 192.168.2.0/24?
Будут ли конфликты, проблемы?
Одна физическая сеть обязательно означает одну подсеть?
Вы можете разделить физическую сеть / широковещательный домен на несколько подсетей / широковещательных доменов, используя коммутаторы с поддержкой VLAN (не концентраторы).
Виртуальная локальная сеть - это технология второго уровня, поддерживаемая IEEE 802.1Q. Он добавляет тег в кадр Ethernet, который определяет VLAN ID пакета. Вам понадобится какой-то коммутатор / маршрутизатор уровня 3, чтобы VLAN могли взаимодействовать друг с другом.
Общий дизайн сети для VLAN называется роутер на палочке.
Интерфейс маршрутизатора, к которому коммутатор подключен через транкинг, может быть разделен на множество подчиненных интерфейсов, причем каждый подчиненный интерфейс служит шлюзом по умолчанию в VLAN. Затем маршрутизатор обрабатывает каждый подчиненный интерфейс как отдельный интерфейс для маршрутизации и контроля доступа.
Например, если у вас есть VLAN 2, 3 и 4, интерфейс маршрутизатора можно настроить на наличие интерфейсов fa0/0.2 , fa0/0.3 , fa0/0.4 .
Вы можете пойти дальше и использовать один и тот же коммутатор или концентратор в двух разных "логических" сетях. Один будет использовать 192.168.1.0/24, а другой - 192.168.2.0/24. Есть несколько возможных предостережений:
Вам нужно будет использовать статические IP-адреса или сложную настройку DHCP, поскольку в одной сети не может быть двух серверов DHCP.
Если бы у вас было, скажем, 100+ компьютеров, а не 10, было бы лучше разделить эти сети физически или через VLAN. Но с 10-ю трансляциями проблем не возникнет.
Вам понадобится маршрутизатор для маршрутизации между этими двумя сетями, поскольку по логике они являются отдельными (компьютер одна сеть не знает, как общаться / находить другую, несмотря на то, что они находятся в одной физической сети).
Одинаковая физическая сеть означает, что между двумя сетями нет физического разделения. Поэтому, если вы беспокоитесь о безопасности, вам нужно использовать VLAN-коммутатор (дорогой) или разделить их на две разные физические сети.
В прошлом я использовал несколько сегментов IP в одной физической сети или сегменте VLAN, когда мне хотелось иметь возможность проверить реакцию сервера на сбои локальной сети, введя ошибку, не теряя возможности собирать данные с тестируемых машин.
Вы должны быть несколько осторожны при настройке маршрутизатора, который вы будете использовать для подключения сегментов IP; если вы разрешите маршрутизатору отправлять пакеты ICMP-перенаправления, то машины постепенно поймут, что они на самом деле находятся в одной физической сети, и перестанут общаться друг с другом через маршрутизатор, который довольно быстро разрушит симуляцию глобальной сети.
Также нет смысла разделять сегменты IP для обеспечения безопасности. Пакеты, видимые в локальной сети, будут видны всем получателям в локальной сети независимо от того, находятся ли они в одном сегменте IP или нет. Чтобы обеспечить отдельную видимость, вам необходимо настроить VLAN с использованием соответствующего оборудования маршрутизатора. Конечно, интеллектуальные маршрутизаторы обычно не отправляют пакеты, которые не имеют широковещательных кадров Ethernet, на порт, отличный от того, который содержит адрес эфира назначения, но вы действительно не можете рассчитывать на это для безопасности, поскольку любой клиент может внедрить эфирные кадры, которые спутает маршрутизатор с пересылкой пакетов, предназначенных для другой машины.
