วิธีที่ดีที่สุดในการแบ่งเซ็กเมนต์ทราฟฟิก, VLAN หรือซับเน็ต?

13

เรามีเครือข่ายขนาดกลางประมาณ 200 โหนดและขณะนี้อยู่ในขั้นตอนการแทนที่สวิตช์เดซี่ที่ถูกล่ามโซ่ด้วยสวิตช์แบบสแต็กหรือแชสซีสไตล์เก่า

ในตอนนี้เครือข่ายของเราถูกทำลายผ่านเครือข่ายย่อย: การผลิตการจัดการทรัพย์สินทางปัญญา (IP) และอื่น ๆ แต่ละเครือข่ายย่อย การสร้าง VLAN แทนที่จะเป็นซับเน็ตจะมีประโยชน์มากกว่าหรือไม่

เป้าหมายทั่วไปของเราคือการป้องกันปัญหาคอขวดการแยกทราฟฟิกเพื่อความปลอดภัยและการจัดการทราฟฟิกได้ง่ายขึ้น

networking subnet vlan

— นก
แหล่งที่มา

1

บางที vlans ที่แตกต่างกันของคุณอาจถูกใช้เพื่อมีซับเน็ตแยกในพวกเขา

— pQd

1

คุณอาจพบคำตอบของ Evan สำหรับคำถามนี้ฉันถามซักครู่แล้วมีประโยชน์: serverfault.com/questions/25907/…

— Kyle Brandt

16

VLAN s และsubnet s แก้ปัญหาต่าง ๆ VLAN ทำงานที่Layer 2ซึ่งจะเป็นการเปลี่ยนโดเมนการออกอากาศ (ตัวอย่าง) โดยที่ซับเน็ตคือเลเยอร์ 3ในบริบทปัจจุบัน

หนึ่งข้อเสนอแนะคือการใช้งานจริงทั้งสองอย่าง

ตัวอย่างเช่นมี VLAN 10 - 15 สำหรับอุปกรณ์ประเภทต่างๆของคุณ (Dev, ทดสอบ, การผลิต, ผู้ใช้ ฯลฯ )

VLAN 10, คุณอาจมีซับเน็ต 192.168.54.x / 24 VLAN 11, คุณอาจมีซับเน็ต 192.168.55.x / 24

และอื่น ๆ

สิ่งนี้ต้องการให้คุณมีเราเตอร์ภายในเครือข่ายของคุณ

มันขึ้นอยู่กับคุณว่าคุณไปทางไหน (คุณรู้ว่าเครือข่ายของคุณดีกว่าที่ฉันเคยเป็น) หากคุณคิดว่าขนาดของโดเมนการออกอากาศของคุณจะเป็นปัญหาบางประเภทให้ใช้ VLAN หากคุณคิดว่าขนาดของโดเมนการจัดการเครือข่ายของคุณ (ตัวอย่างเช่นเครือข่ายการจัดการของคุณ) ก็อาจใช้เครือข่ายที่ใกล้กับ a / 16 มากกว่า a / 24

200 โหนดของคุณจะพอดีกับ / 24 แต่ที่เห็นได้ชัดไม่ได้ให้ขอบเขตมากสำหรับการเติบโต

ด้วยเสียงของมันคุณกำลังใช้ซับเน็ตต่างกันสำหรับอุปกรณ์ประเภทต่างๆ ดังนั้นทำไมไม่ยึดติดกับสิ่งนั้น ถ้าคุณต้องการให้ผูกซับเน็ตแต่ละอันกับ VLAN การแบ่งส่วนเลเยอร์ 2 จะส่งผลให้พฤติกรรมของเครือข่ายของคุณเปลี่ยนจากพฤติกรรมในปัจจุบัน

คุณจะต้องตรวจสอบผลกระทบที่อาจเกิดขึ้นจากสิ่งนั้น

— เบ็นด่วน
แหล่งที่มา

2

+1 - พูดเกือบทุกอย่างที่ฉันต้องการ หากคุณกำลังจะทิ้งการออกแบบเครือข่ายย่อยในปัจจุบันที่คุณมีคำแนะนำเพิ่มเติมของฉันคือการสำรวจการตั้งค่าพื้นที่ที่อยู่โดยใช้ / 22 หรือ / 23 อาจจะเป็น "ลบ" บิตถ้าคุณพบว่าคุณต้องการซับเน็ตมากขึ้น ท้ายที่สุดเราไม่ได้ จำกัด เพียงแค่ / 16 หรือ / 24 อีกต่อไป จากนั้นใส่แต่ละซับเน็ตใน VLAN ของตัวเองเพื่อลดทราฟฟิกของการออกอากาศ

— romandas

13

(ฉันอยู่บนท้องถนนตลอดทั้งวันและพลาดการกระโดดบนคันนี้ ... ถึงกระนั้นสายไปที่เกมฉันจะเห็นว่าฉันสามารถทำอะไรได้)

โดยทั่วไปคุณจะสร้าง VLAN ในอีเธอร์เน็ตและจับคู่ IP ซับเน็ต 1 ต่อ 1 มีวิธีที่จะไม่ทำเช่นนี้ แต่ติดอยู่ในโลก "ธรรมดาวานิลลา" อย่างเคร่งครัดที่คุณต้องการสร้าง VLAN คิดเครือข่ายย่อย IP ที่จะใช้ใน VLAN กำหนดเราเตอร์ที่อยู่ IP ใน VLAN นั้นติดเราเตอร์นั้น VLAN (ไม่ว่าจะด้วยฟิสิคัลอินเตอร์เฟสหรือเสมือน subinterface บนเราเตอร์) เชื่อมต่อโฮสต์บางตัวกับ VLAN และกำหนดที่อยู่ IP ในซับเน็ตที่คุณกำหนดและกำหนดเส้นทางการรับส่งข้อมูลของ VLAN

คุณไม่ควรเริ่ม subnetting Ethernet LAN เว้นแต่คุณจะมีเหตุผลที่ดีที่จะทำ เหตุผลสองข้อที่ดีที่สุดคือ:

บรรเทาปัญหาด้านประสิทธิภาพ Ethernet LANs ไม่สามารถปรับขนาดได้อย่างไม่มีกำหนด การออกอากาศที่มากเกินไปหรือการท่วมเฟรมไปยังจุดหมายปลายทางที่ไม่รู้จักจะเป็นการ จำกัด ขนาดของมัน เงื่อนไขเหล่านี้อาจเกิดจากการทำให้โดเมนการออกอากาศเดียวใน Ethernet LAN ใหญ่เกินไป การรับส่งข้อมูลออกอากาศนั้นง่ายต่อการเข้าใจ แต่การหลั่งไหลของเฟรมไปยังจุดหมายปลายทางที่ไม่รู้จักนั้นค่อนข้างคลุมเครือ หากคุณได้รับอุปกรณ์จำนวนมากที่สวิตช์ MAC ของคุณกำลังโอเวอร์โฟลว์สวิตช์จะถูกบังคับให้ส่งสัญญาณเฟรมที่ไม่ได้ออกอากาศทั้งหมดออกหากพอร์ตปลายทางของเฟรมไม่ตรงกับรายการใด ๆ ในตาราง MAC หากคุณมีโดเมนออกอากาศเพียงครั้งเดียวที่มีขนาดใหญ่เพียงพอใน Ethernet LAN ที่มีโปรไฟล์การรับส่งข้อมูลที่โฮสต์พูดไม่บ่อยนัก (นั่นคือ
ความปรารถนาที่จะ จำกัด / ควบคุมปริมาณการใช้งานเคลื่อนที่ระหว่างโฮสต์ที่เลเยอร์ 3 หรือสูงกว่า คุณสามารถทำการแฮกเกอร์เพื่อตรวจสอบทราฟฟิกที่เลเยอร์ 2 (ala Linux ebtables) แต่เป็นการยากที่จะจัดการ (เนื่องจากกฎถูกเชื่อมโยงกับที่อยู่ MAC และการเปลี่ยน NICs จำเป็นต้องเปลี่ยนกฎ) อาจทำให้เกิดพฤติกรรมที่แปลกจริง ๆ HTTP proxying แบบโปร่งใสของเลเยอร์ 2 เป็นสิ่งที่ประหลาดและสนุก แต่ก็ไม่เป็นธรรมชาติและสามารถแก้ไขปัญหาได้ง่ายมากและเป็นเรื่องยากที่จะทำในเลเยอร์ที่ต่ำกว่า และหินที่เกี่ยวข้องกับความกังวลของเลเยอร์ 3+) หากคุณต้องการควบคุมปริมาณการใช้งาน IP (หรือ TCP หรือ UDP ฯลฯ ) ระหว่างโฮสต์แทนที่จะโจมตีปัญหาที่เลเยอร์ 2 คุณควร subnet และติดไฟร์วอลล์ / เราเตอร์ด้วย ACLs ระหว่างเครือข่ายย่อย

ปัญหาการหมดแบนด์วิดท์ของแบนด์วิดท์ (เว้นแต่ว่าเกิดจากการออกอากาศของแพ็กเก็ตหรือการท่วมเฟรม) จะไม่สามารถแก้ไขได้ด้วย VLANs และ subnetting โดยทั่วไป เกิดขึ้นเนื่องจากการขาดการเชื่อมต่อทางกายภาพ (มี NIC น้อยเกินไปบนเซิร์ฟเวอร์, พอร์ตน้อยเกินไปในกลุ่มการรวม, จำเป็นต้องเลื่อนไปที่ความเร็วพอร์ตที่เร็วกว่า) และไม่สามารถแก้ไขได้ด้วยการ subnetting หรือการปรับใช้ VLANs ตั้งแต่นั้นมา ไม่เพิ่มจำนวนแบนด์วิดท์ที่มีอยู่

หากคุณไม่มีอะไรที่เรียบง่ายอย่างเช่น MRTG ที่ใช้การสร้างกราฟสถิติการรับส่งข้อมูลต่อพอร์ตบนสวิตช์ของคุณนั่นเป็นลำดับแรกของธุรกิจของคุณก่อนที่คุณจะเริ่มแนะนำคอขวดที่มีเครือข่ายย่อยที่เจตนาดี แต่ไม่รู้ การนับไบต์แบบ Raw เป็นการเริ่มต้นที่ดี แต่คุณควรติดตามด้วยการดมเป้าหมายเพื่อรับรายละเอียดเพิ่มเติมเกี่ยวกับโปรไฟล์การจราจร

เมื่อคุณทราบว่าทราฟฟิกเคลื่อนย้ายไปมาบน LAN ของคุณได้อย่างไรคุณสามารถเริ่มคิดเกี่ยวกับ subnetting ด้วยเหตุผลด้านประสิทธิภาพ

เท่าที่ "ความปลอดภัย" ไปคุณจะต้องรู้มากเกี่ยวกับซอฟต์แวร์แอปพลิเคชันของคุณและวิธีการพูดคุยก่อนที่คุณจะสามารถดำเนินการต่อไป

ฉันออกแบบให้ LAN / WAN ที่มีขนาดเป็นกันเองสำหรับลูกค้าทางการแพทย์เมื่อไม่กี่ปีที่ผ่านมาและฉันถูกขอให้ใส่รายการเข้าถึงในเอนทิตีเลเยอร์ 3 (โมดูลผู้ควบคุมดูแล Cisco Catalyst 6509) เพื่อควบคุมทราฟฟิกระหว่างเครือข่ายย่อย " วิศวกร "ที่มีความเข้าใจน้อยเกี่ยวกับสิ่งที่ต้องใช้แบบดั้งเดิม แต่จริง ๆ แล้วมีความสนใจใน" ความปลอดภัย " เมื่อฉันกลับมาพร้อมข้อเสนอเพื่อศึกษาแต่ละแอปพลิเคชันเพื่อกำหนดพอร์ต TCP / UDP ที่จำเป็นและโฮสต์ปลายทางฉันได้รับการตอบสนองที่น่าตกใจจาก "วิศวกร" ที่ระบุว่าไม่น่าจะยาก ครั้งสุดท้ายที่ฉันได้ยินว่าพวกเขากำลังเรียกใช้เอนทิตีเลเยอร์ 3 ที่ไม่มีรายการเข้าถึงเนื่องจากพวกเขาไม่สามารถทำให้ซอฟต์แวร์ทั้งหมดทำงานได้อย่างน่าเชื่อถือ

คุณธรรม: หากคุณกำลังจะลองและกดปุ่มแพ็คเก็ตและการเข้าถึงระดับสตรีมระหว่าง VLANs ก็พร้อมที่จะทำสิ่งต่าง ๆ มากมายด้วยแอพพลิเคชั่นซอฟต์แวร์และการเรียนรู้ / วิศวกรรมย้อนกลับว่ามันพูดถึงสายอย่างไร การ จำกัด การเข้าถึงโดยโฮสต์ไปยังเซิร์ฟเวอร์สามารถทำได้ด้วยการกรองฟังก์ชันการทำงานบนเซิร์ฟเวอร์ การ จำกัด การเข้าถึงบน wire สามารถให้ความรู้สึกที่ผิด ๆ ของการรักษาความปลอดภัยและผู้ดูแลขับกล่อมในความพึงพอใจที่พวกเขาคิดว่า "ดีฉันไม่จำเป็นต้องกำหนดค่าแอปอย่างปลอดภัยเพราะโฮสต์ที่สามารถพูดคุยกับแอปนั้นถูก จำกัด โดย ' เครือข่าย'." ฉันขอแนะนำให้คุณตรวจสอบความปลอดภัยของการกำหนดค่าเซิร์ฟเวอร์ของคุณก่อนที่จะเริ่ม จำกัด การสื่อสารระหว่างโฮสต์กับโฮสต์

— Evan Anderson
แหล่งที่มา

2

ฉันดีใจที่เห็นเสียงของเหตุผลหลังจากคำตอบที่แนะนำให้ไป / 16

— pQd

4

คุณสามารถ subnet ลงใน subnets ขนาดใหญ่หรือขนาดเล็กโดยพลการ จำนวนโฮสต์ในโดเมน subnet / broadcast เป็นสิ่งสำคัญไม่ใช่จำนวนโฮสต์ที่เป็นไปได้ (ตราบใดที่คุณมีพื้นที่ที่อยู่เพียงพอ) นิพจน์คืออะไร - ไม่ใช่ขนาดของซับเน็ตของคุณที่สำคัญ แต่จะใช้อย่างไร > smile <

— Evan Anderson

@Evan Anderson: ฉันรู้ แต่คุณต้องยอมรับว่า 64k นั้นมากเกินไปอาจจะไม่ถูกนำมาใช้และอาจนำไปสู่ปัญหาเมื่อต้องมีการแนะนำเส้นทาง [เช่นเพื่อเชื่อมต่อ DC / สำนักงาน / ฯลฯ ระยะไกล]

— pQd

1

99% ของเวลาเครือข่ายย่อยควรจะเทียบเท่ากับ VLAN (นั่นคือการเข้าถึงแต่ละเครือข่ายย่อยควรแมปกับ VLAN หนึ่งเดียวเท่านั้น)

หากคุณมีโฮสต์จากเครือข่ายย่อย IP มากกว่าหนึ่งเครือข่ายใน VLAN เดียวกันคุณจะเอาชนะวัตถุประสงค์ของ VLAN เนื่องจากเครือข่ายย่อยที่สอง (หรือมากกว่า) จะอยู่ในโดเมนออกอากาศเดียวกัน

อีกวิธีหนึ่งถ้าคุณใส่ IP ซับเน็ตหนึ่งลงในหลาย VLANs โฮสต์บน IP ซับเน็ตจะไม่สามารถสื่อสารกับโฮสต์ใน VLAN อื่นเว้นแต่ว่าเราเตอร์ของคุณเปิดใช้งานพร็อกซี ARP

— Murali Suriar
แหล่งที่มา

-1 - VLANs แบ่งโดเมนการออกอากาศ โดเมนการชนถูกแบ่งโดยบริดจ์หรือบริดจ์แบบหลายพอร์ตที่รู้จักกันทั่วไปว่าเป็นสวิตช์ IP ซับเน็ตและโดเมน Broadcast / Collision ไม่มีส่วนเกี่ยวข้องใด ๆ ในกรณีทั่วไป ในกรณีเฉพาะของ IP over Ethernet เป็นเรื่องปกติที่ IP subnet จะถูกแมปกับโดเมนการออกอากาศเดียว (เนื่องจาก ARP โปรโตคอลที่ใช้ในการแก้ไขที่อยู่ IP ไปยังที่อยู่ฮาร์ดแวร์ Ethernet นั้นจะออกอากาศตาม) แต่เป็นไปได้ที่จะใช้กลอุบายฉลาดกับพร็อกซี่ ARP มี subnet ครอบคลุมหลายโดเมนการออกอากาศ

— Evan Anderson

@Evan: จุดดี - นั่นจะสอนให้ฉันเขียนคำตอบในเวลาเช้าตรู่ :) ฉันยืนตามจุดที่เหลือแม้ว่า; การมีเครือข่ายย่อยหลายเครือข่ายใน VLAN เดียวกันจะทำให้การรับส่งข้อมูลออกอากาศ L2 ของคุณครอบคลุมหลายเครือข่ายย่อย การมี VLAN หลายตัวสำหรับซับเน็ตเดียวกันจะใช้งานได้ แต่พร็อกซี ARP ไม่ใช่สิ่งที่คุณควรใช้หากคุณสามารถหลีกเลี่ยงได้

— Murali Suriar

-1 ลบ - ทุกอย่างที่คุณพูดมีความแม่นยำ ฉันเห็นด้วยเช่นกัน: ARP proxy ฉันจะไม่ใช้มันใน "โลกแห่งความจริง" นอกเสียจากว่าฉันจะมีเหตุผลที่น่าสนใจ

— Evan Anderson

"IP ซับเน็ตและโดเมน Broadcast / Collision ไม่มีส่วนเกี่ยวข้องกับกรณีอื่น ๆ " ไม่พวกเขาส่วนใหญ่ทำในกรณีทั่วไป แต่ละเครือข่ายย่อยมีหมายเลขเครือข่ายและที่อยู่การออกอากาศที่เกี่ยวข้อง นอกเหนือจาก ARP แล้วคุณยังมีแพ็คเกจออกอากาศอื่น ๆ มันจะผิดที่จะทำให้คำสั่งนี้ไม่ทราบว่าพวกเขามีการรับส่งข้อมูลแบบหลายผู้รับบนเครือข่ายของพวกเขา ไคลเอ็นต์ DHCP ใช้การกระจาย IP เพื่อเรียนรู้เซิร์ฟเวอร์ DHCP

— กิโล

1

@Evan Anderson ฉันคิดถึงอะไรที่นี่ คุณถอน -1 การชนกันของโดเมนนั้นเกิดขึ้นโดยสวิตช์ต่างๆ การบอกว่า 2 หรือ subnets ในโดเมน collisionเป็นเรื่องไร้สาระ ผมคิดว่าเขาหมายความว่า 2 หรือมากกว่าเครือข่ายย่อยในโดเมนออกอากาศ

— JamesBarnett

-5

ฉันเห็นด้วยกับDavid Pashley :

ฉันใช้เพียงครั้งเดียว / 16 สำหรับทุกสิ่ง
- แต่แบ่งเป็นส่วนบน VLAN หลายตัวโดยเชื่อมต่อกับบริดจ์ซอฟต์แวร์บนเครื่อง Linux
- บนสะพานนี้ฉันมีกฎ iptables หลายอย่างเพื่อกรองการเข้าถึงระหว่างกลุ่ม
- ไม่ว่าคุณจะแบ่งกลุ่มใช้ช่วง IP สำหรับการจัดกลุ่มมันทำให้การปรับโครงสร้างและกรณีพิเศษง่ายขึ้น

— ฮาเวียร์
แหล่งที่มา

2

ฟังดูเหมือนฝันร้ายที่จะจัดการกับ!

— Evan Anderson

2

-1 คุณไม่ได้พูดถึงเครือข่ายขนาดใหญ่ที่คุณดูแลอยู่ถ้าคุณกำลังพูดถึงโครงการวิจัยฉันไม่สามารถใช้ชีวิตของฉันคิดว่ามีเหตุผลที่จะใช้โครงแบบนั้น โดย subnets ความหมายคือ "ช่วง IP" ที่ใช้สำหรับการจัดกลุ่ม ดูเหมือนว่าคุณกำลังสร้างเลเยอร์ 3 ใหม่โดยใช้กล่อง Linux เพื่อกำหนดเส้นทางของคุณที่เลเยอร์ 2 มีแนวโน้มที่จะสร้างปัญหาที่ซ่อนอยู่โดยความซับซ้อนที่ไม่จำเป็น สิ่งนี้สร้างสิ่งที่ยากสำหรับคนอื่น ๆ ที่จะคิดแก้ปัญหาโดยลำพัง

— Rik Schneider