(Я цілий день був у дорозі і пропустив стрибки на цьому ... Все-таки, пізно до гри я побачу, що я можу зробити.)
Зазвичай ви створюєте VLAN в Ethernet і наносите на них IP-підмережі 1 на 1. Існують способи цього не робити, але, дотримуючись чітко "простого ванільного" світу, ви створили б VLAN, придумайте IP-підмережу для використання у VLAN, призначте якомусь маршрутизатору IP-адресу в цій VLAN, приєднайте цей маршрутизатор до VLAN (з фізичним інтерфейсом або віртуальним підінтерфейсом на маршрутизаторі), підключіть деякі хости до VLAN та призначте їм IP-адреси в визначеній вами підмережі, а також направляйте їх трафік в і поза VLAN.
Не слід починати підмережу Ethernet LAN, якщо у вас є вагомі причини. Найкращі дві причини:
Пом'якшення проблем у роботі. Локальні мережі Ethernet не можуть масштабуватись нескінченно. Надмірна трансляція або затоплення кадрів до невідомих напрямків обмежать їх масштаб. Будь-яке з цих умов може бути спричинене тим, що єдиний домен широкомовної передачі в Ethernet LAN занадто великий. Трансляцію трафіку легко зрозуміти, але затоплення кадрів до невідомих напрямків дещо незрозуміліше. Якщо у вас так багато пристроїв, що таблиці ваших перемикачів MAC переповнюються, комутатори будуть змушені переливати непередавані кадри з усіх портів, якщо призначення кадру не відповідає жодним записам у таблиці MAC. Якщо у вас є достатньо великий одиночний домен в локальній мережі Ethernet з профілем трафіку, який розміщує розмови нечасто (тобто
Бажання обмежити / контролювати рух, що рухається між хостами на рівні 3 або вище. Ви можете зробити хакерство, вивчаючи трафік на рівні 2 (ala Linux ebtables), але цим важко керувати (оскільки правила прив’язані до MAC-адрес, а зміна NIC вимагає змін правил) може призвести до того, що, як видається, насправді, дуже дивне поведінку (робити Наприклад, прозоре розміщення HTTP на рівні 2 є химерним і веселим, але вкрай неприродним і може бути дуже неінтуїтивним для усунення несправностей), і це, як правило, важко зробити на нижчих шарах (тому що інструменти другого шару схожі на палички і скелі при вирішенні проблем 3+). Якщо ви хочете керувати трафіком між хостами IP (або TCP, або UDP тощо), а не атакувати проблему на рівні 2, вам слід підмережу та наклеювати між мережами міжмережі брандмауери / маршрутизатори з ACL.
Проблеми з виснаженням пропускної здатності (якщо вони не спричинені трансляцією пакетів або затопленням кадрів) зазвичай не вирішуються за допомогою VLAN та підмережі. Вони трапляються через відсутність фізичного підключення (занадто мало NIC на сервері, занадто мало портів у групі агрегації, необхідність перейти до більш швидкої швидкості порту) і їх неможливо вирішити шляхом підмережі або розгортання VLAN з моменту виграшу не збільшити доступну кількість пропускної здатності.
Якщо у вас немає навіть чогось простого, як-от MRTG, що веде статистику трафіку графіків на порти на ваших комутаторах, це справді ваш перший порядок бізнесу, перш ніж починати потенційно впроваджувати вузькі місця з цілеспрямованою, але неінформованою підмережею. Підрахунок необроблених байтів - це гарний початок, але слід дотримуватися цілеспрямованого обнюхування, щоб отримати детальнішу інформацію про профілі трафіку.
Як тільки ви дізнаєтесь, як рухається трафік у вашій локальній мережі, ви можете почати думати про підмережу з міркувань продуктивності.
Що стосується "безпеки", вам потрібно буде знати багато про ваше прикладне програмне забезпечення та про те, як він працює, перш ніж продовжувати.
Я кілька років тому створив проект локальної мережі / WAN для медичного замовника, і мене попросили поставити списки доступу на об'єкті рівня 3 (контрольний модуль Cisco Catalyst 6509) для управління трафіком, що рухається між підмережами " інженер ", який мало розумів, яка саме робота з ніг справді потребуватиме, але дуже зацікавлена в" безпеці ". Коли я повернувся із пропозицією вивчити кожну програму, щоб визначити необхідні порти TCP / UDP та хости призначення, я отримав шоковану відповідь від "інженера", заявивши, що це не повинно бути таким складним. Останнє, що я почув, вони працюють із об'єктом рівня 3 без списків доступу, оскільки вони не змогли надійно працювати з усім своїм програмним забезпеченням.
Мораль: Якщо ви дійсно збираєтеся спробувати обмежити доступ до пакетів та потокового рівня між VLAN, будьте готові виконати багато роботи з прикладним програмним забезпеченням та навчанням / реверсінг-інженерією, як він спілкується по дроту. Обмеження доступу хостів до серверів часто може бути здійснено за допомогою функцій фільтрації на серверах. Обмеження доступу на провід може забезпечити помилкове почуття безпеки та затишшя адміністраторів у поступливості, коли вони думають: "Ну, мені не потрібно налаштовувати додаток. Безпечно, оскільки господарі, які можуть спілкуватися з додатком. Обмежені" мережа '. " Я б радив вам перевірити безпеку конфігурації вашого сервера, перш ніж я почати обмежувати зв’язок між хостом і хостом.