将单个交换机用于多个子网是否安全？

Question

暂时忘记以下是否典型或易于解释的内容，是否安全可靠？

 Internet
    |
ISP supplied router x.x.x.1 (public subnet)
    |
  switch-------------------------------------+
  | (public subnet)                          | (public subnet)
BVI router (switch with an access list)      NAT router
  | (public subnet)                          | (private subnet 192.168.50.1)
  +--------------------------------switch----+ (both subnets)
                                    |  |
computer with IP 192.168.50.2 ------+  +----computer with IP x.x.x.2

我不打算实施此设置，但我对此很好奇。

• 50.2 计算机可能会向 x.2 计算机发送数据包，但它将使用 50.1 作为路由器，因为 50.2 知道子网不同。这是否会导致 x.2 机器接收两次数据包，第一次直接通过交换机，第二次通过两个路由器？
• 除了它有多令人困惑之外，您是否认为这有任何问题，并且它会让一台交换机完成两个子网的工作？

额外细节：

• 不会涉及 DHCP。（那真的会令人困惑）
• 我知道我已经完全消除了我通常在x.x.x.*和之间拥有的任何安全/分离192.168.50.*。
• 我对在x.x.x.*和之间完成直接链接不感兴趣192.168.50.*。我只是对防止无限循环或所有数据包的双重交付感兴趣。
• 我的交换机是非托管/哑交换机 - 除了 BVI 路由器。“路由器”是用 BVI 设置的（类似于桥接路由）。除了根据源和目标 IP 地址和端口丢弃数据包外，它的工作方式与交换机类似。

Answer 1

\n

这是否会导致数据包被 x.2 机器接收两次，第一次直接通过交换机，第二次通过两个路由器？

\n

\n\n

不，因为交换机不是集线器。交换机仅将单播数据包发送到已注册接收 MAC 地址的端口。

\n\n

\n

\xe2\x80\xa2 除了令人困惑之外，您是否发现这有任何问题，并且它会让一个\n 交换机执行两个子网的工作？

\n

\n\n

不，但请记住，您的安全性非常薄弱。访问端口 - 没有安全性。侵入机器 - 没有安全性。如果您的交换机不是完全愚蠢的（不受管理的）并且您至少可以设置多播组或 VLAN 设置，那么效果会更好。

\n