Найкращий спосіб сегментувати трафік, VLAN або підмережу?


13

У нас є мережа середнього розміру, що становить близько 200 вузлів, і в даний час відбувається заміна старих вимикачів з ланцюжком ромашки на перемикачі в стилі або шасі.

Зараз наша мережа розбита через підмережі: виробництво, управління, інтелектуальна власність (IP) тощо, кожна в окремій підмережі. Чи було б створення VLAN замість підмереж більш вигідним?

Наша загальна мета - запобігання вузьких місць, роздільний трафік для безпеки та управління трафіком з більшою легкістю.


1
ймовірно, ваші різні влани будуть використовуватися, щоб мати в них окремі підмережі.
pQd

1
Ви можете знайти відповідь Евана на це запитання, і я поцікавився тим часом корисним: serverfault.com/questions/25907/…
Kyle Brandt

Відповіді:


16

VLAN s та підмережа вирішують різні проблеми. VLAN працюють на рівні 2 , тим самим змінюючи домени широкомовної передачі (наприклад). Тоді як підмережі є 3 рівнем у поточному контексті

Одне із пропозицій було б реально реалізувати обидва

Наприклад, VLAN 10 - 15 для різних типів пристроїв (Dev, Test, Production, Users тощо)

VLAN 10, у вас може бути підмережа 192.168.54.x / 24 VLAN 11, у вас може бути підмережа 192.168.55.x / 24

І так далі

Для цього потрібно мати маршрутизатор у вашій мережі

Це залежить від вас, яким маршрутом ви їдете (Ви знаєте свою мережу краще, ніж я коли-небудь буду). Якщо ви думаєте, що розмір вашого широкомовного домену буде певною проблемою, тоді використовуйте VLAN. Якщо ви думаєте, що розмір ваших доменів управління мережею (наприклад, вашої мережі управління), можливо, використовуйте мережу, ближчу до / 16 над a / 24

Ваші 200 вузлів впишуться в / 24, але це очевидно не дає вам великих можливостей для зростання

За звучанням ви вже використовуєте різні підмережі для різних типів пристроїв. Отже, чому б не дотримуватися цього? Ви можете, якщо хочете, прив’язати кожну підмережу до VLAN. Сегментація другого рівня призведе до того, що поведінка вашої мережі зміниться від того, як вона поводиться в даний час

Вам доведеться дослідити потенційний вплив цього


2
+1 - Сказав майже все, що я хотів. Якщо ви збираєтеся перенести поточний дизайн підмережі, моя єдина додаткова пропозиція - вивчити налаштування адресного простору за допомогою / 22 або / 23. Можливо, "вилучіть" біти, якщо виявите, що вам потрібно більше підмереж. Зрештою, ми вже не просто обмежені / 16 або / 24. Потім введіть кожну підмережу у власну VLAN, щоб зменшити трансляційний трафік.
romandas

13

(Я цілий день був у дорозі і пропустив стрибки на цьому ... Все-таки, пізно до гри я побачу, що я можу зробити.)

Зазвичай ви створюєте VLAN в Ethernet і наносите на них IP-підмережі 1 на 1. Існують способи цього не робити, але, дотримуючись чітко "простого ванільного" світу, ви створили б VLAN, придумайте IP-підмережу для використання у VLAN, призначте якомусь маршрутизатору IP-адресу в цій VLAN, приєднайте цей маршрутизатор до VLAN (з фізичним інтерфейсом або віртуальним підінтерфейсом на маршрутизаторі), підключіть деякі хости до VLAN та призначте їм IP-адреси в визначеній вами підмережі, а також направляйте їх трафік в і поза VLAN.

Не слід починати підмережу Ethernet LAN, якщо у вас є вагомі причини. Найкращі дві причини:

  • Пом'якшення проблем у роботі. Локальні мережі Ethernet не можуть масштабуватись нескінченно. Надмірна трансляція або затоплення кадрів до невідомих напрямків обмежать їх масштаб. Будь-яке з цих умов може бути спричинене тим, що єдиний домен широкомовної передачі в Ethernet LAN занадто великий. Трансляцію трафіку легко зрозуміти, але затоплення кадрів до невідомих напрямків дещо незрозуміліше. Якщо у вас так багато пристроїв, що таблиці ваших перемикачів MAC переповнюються, комутатори будуть змушені переливати непередавані кадри з усіх портів, якщо призначення кадру не відповідає жодним записам у таблиці MAC. Якщо у вас є достатньо великий одиночний домен в локальній мережі Ethernet з профілем трафіку, який розміщує розмови нечасто (тобто

  • Бажання обмежити / контролювати рух, що рухається між хостами на рівні 3 або вище. Ви можете зробити хакерство, вивчаючи трафік на рівні 2 (ala Linux ebtables), але цим важко керувати (оскільки правила прив’язані до MAC-адрес, а зміна NIC вимагає змін правил) може призвести до того, що, як видається, насправді, дуже дивне поведінку (робити Наприклад, прозоре розміщення HTTP на рівні 2 є химерним і веселим, але вкрай неприродним і може бути дуже неінтуїтивним для усунення несправностей), і це, як правило, важко зробити на нижчих шарах (тому що інструменти другого шару схожі на палички і скелі при вирішенні проблем 3+). Якщо ви хочете керувати трафіком між хостами IP (або TCP, або UDP тощо), а не атакувати проблему на рівні 2, вам слід підмережу та наклеювати між мережами міжмережі брандмауери / маршрутизатори з ACL.

Проблеми з виснаженням пропускної здатності (якщо вони не спричинені трансляцією пакетів або затопленням кадрів) зазвичай не вирішуються за допомогою VLAN та підмережі. Вони трапляються через відсутність фізичного підключення (занадто мало NIC на сервері, занадто мало портів у групі агрегації, необхідність перейти до більш швидкої швидкості порту) і їх неможливо вирішити шляхом підмережі або розгортання VLAN з моменту виграшу не збільшити доступну кількість пропускної здатності.

Якщо у вас немає навіть чогось простого, як-от MRTG, що веде статистику трафіку графіків на порти на ваших комутаторах, це справді ваш перший порядок бізнесу, перш ніж починати потенційно впроваджувати вузькі місця з цілеспрямованою, але неінформованою підмережею. Підрахунок необроблених байтів - це гарний початок, але слід дотримуватися цілеспрямованого обнюхування, щоб отримати детальнішу інформацію про профілі трафіку.

Як тільки ви дізнаєтесь, як рухається трафік у вашій локальній мережі, ви можете почати думати про підмережу з міркувань продуктивності.

Що стосується "безпеки", вам потрібно буде знати багато про ваше прикладне програмне забезпечення та про те, як він працює, перш ніж продовжувати.

Я кілька років тому створив проект локальної мережі / WAN для медичного замовника, і мене попросили поставити списки доступу на об'єкті рівня 3 (контрольний модуль Cisco Catalyst 6509) для управління трафіком, що рухається між підмережами " інженер ", який мало розумів, яка саме робота з ніг справді потребуватиме, але дуже зацікавлена ​​в" безпеці ". Коли я повернувся із пропозицією вивчити кожну програму, щоб визначити необхідні порти TCP / UDP та хости призначення, я отримав шоковану відповідь від "інженера", заявивши, що це не повинно бути таким складним. Останнє, що я почув, вони працюють із об'єктом рівня 3 без списків доступу, оскільки вони не змогли надійно працювати з усім своїм програмним забезпеченням.

Мораль: Якщо ви дійсно збираєтеся спробувати обмежити доступ до пакетів та потокового рівня між VLAN, будьте готові виконати багато роботи з прикладним програмним забезпеченням та навчанням / реверсінг-інженерією, як він спілкується по дроту. Обмеження доступу хостів до серверів часто може бути здійснено за допомогою функцій фільтрації на серверах. Обмеження доступу на провід може забезпечити помилкове почуття безпеки та затишшя адміністраторів у поступливості, коли вони думають: "Ну, мені не потрібно налаштовувати додаток. Безпечно, оскільки господарі, які можуть спілкуватися з додатком. Обмежені" мережа '. " Я б радив вам перевірити безпеку конфігурації вашого сервера, перш ніж я почати обмежувати зв’язок між хостом і хостом.


2
Я радий бачити якийсь голос розуму після відповідей, що радять їхати / 16.
pQd

4
Ви можете підмережу в довільно великі або малі підмережі. Число хостів у домері підмережі / широкомовного телевізора - це важливе значення, а не кількість можливих хостів (якщо у вас є достатньо адресного простору). Який вираз - значення має не розмір вашої підмережі, а скоріше, як ви ним користуєтесь? > усмішка <
Еван Андерсон

@ Еван Андерсон: я це знаю. але ви повинні визнати, що 64k занадто багато, ймовірно, вони ніколи не будуть використані і можуть призвести до проблем, коли потрібно ввести маршрутизацію [наприклад, для підключення віддалених DC / офісів / тощо].
pQd

1

У 99% часу підмережа повинна бути еквівалентною VLAN (тобто кожна підмережа доступу повинна відображатись на одну і лише одну VLAN).

Якщо у вас є хости з декількох підмереж IP в одній VLAN, ви перемагаєте цілі VLAN, оскільки дві (або більше) підмережі будуть знаходитися в одному домені широкомовної передачі.

Крім того, якщо ви розмістите одну підмережу IP у кількох VLAN, хости в підмережі IP не зможуть спілкуватися з хостами в іншій VLAN, якщо у вашому маршрутизаторі не включений проксі-сервер ARP .


-1 - VLAN розбиті домени широкомовного зв'язку. Домени зіткнення розділені мостами або багатопортовими мостами, більш відомими як комутатори. IP-підмережі та домени широкомовного / зіткнення в загальному випадку не мають нічого спільного. У конкретному випадку IP через Ethernet звичайно, щоб IP-підмережу було відображено на єдиний домен широкомовної передачі (оскільки ARP, протокол, який використовується для вирішення IP-адрес на адреси апаратних засобів Ethernet, транслюється на основі), але можливо використовувати хитру хитрість із проксі ARP, щоб мати підмережу, що охоплює кілька широкомовних доменів.
Еван Андерсон

@Evan: хороший момент - це навчить мене писати відповіді в ранкові години ранку. :) Я залишаюсь осторонь, що залишився; наявність кількох підмереж в одній VLAN призведе до того, що ваш трафік трансляції L2 охоплюватиме кілька підмереж; наявність декількох VLAN для однієї підмережі буде працювати, але проксі ARP насправді не те, що вам слід використовувати, якщо ви можете цього уникнути.
Муралі Суріар

-1 вилучено - все інше, що ви сказали, безумовно, точне. Я погоджуюсь також із питанням: proxy ARP-- я б не використовував це в "реальному світі", якби у мене не було дуже сильної вагомої причини.
Еван Андерсон

"IP-підмережі та домени широкомовного / зіткнення не мають нічого спільного між собою в загальному випадку." Ні, вони, безумовно, роблять у загальному випадку. Кожна підмережа має номер мережі та пов’язану з нею адресу широкомовної інформації. Крім ARP, у вас є інші пакети широкомовної інформації. Було б неправильно робити це твердження, не знаючи, чи є у них мережевий трафік. Клієнти DHCP використовують IP-мовлення для вивчення DHCP-серверів.
Кіло

1
@ Еван Андерсон Що я тут пропустив. Ви знімаєте -1. Домени зіткнення розсипаються портами комутаторів. Говорити 2 або підмережі в дотику зіткнення - це нісенітниця. Я думаю, що він має на увазі 2 або більше підмереж у широкомовному домені .
JamesBarnett

-5

Я здебільшого згоден з Девідом Пашлі :

  1. Я використовую сингл / 16 для всього.
    • але він сегментований на декілька VLAN, об'єднаних програмним мостом на машині Linux.
    • на цьому мості у мене є кілька правил iptables для фільтрування доступу між групами.
    • незалежно від того, як сегментувати, використовувати діапазони IP для групування, це спрощує реструктуризацію та особливі випадки.

2
Це звучить як кошмар, щоб розібратися!
Еван Андерсон

2
-1 Ви не сказали, яку велику мережу ви підтримуєте, якщо ви говорите про дослідницький проект, я не можу при житті придумати причину використовувати таку конфігурацію. За визначенням підмережі - це "діапазони IP", які використовуються для групування. Це здається, що ви відновлюєте рівень 3, використовуючи вікно Linux, щоб здійснювати маршрутизацію на рівні 2. Це, ймовірно, може створити проблеми, приховані непотрібною складністю. Це створює щось, що комусь іншому буде важко розібратися, не кажучи вже про усунення несправностей.
Рік Шнайдер
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.