Найкращий спосіб сегментувати трафік, VLAN або підмережу?

У нас є мережа середнього розміру, що становить близько 200 вузлів, і в даний час відбувається заміна старих вимикачів з ланцюжком ромашки на перемикачі в стилі або шасі.

Зараз наша мережа розбита через підмережі: виробництво, управління, інтелектуальна власність (IP) тощо, кожна в окремій підмережі. Чи було б створення VLAN замість підмереж більш вигідним?

Наша загальна мета - запобігання вузьких місць, роздільний трафік для безпеки та управління трафіком з більшою легкістю.

VLAN s та підмережа вирішують різні проблеми. VLAN працюють на рівні 2 , тим самим змінюючи домени широкомовної передачі (наприклад). Тоді як підмережі є 3 рівнем у поточному контексті

Одне із пропозицій було б реально реалізувати обидва

Наприклад, VLAN 10 - 15 для різних типів пристроїв (Dev, Test, Production, Users тощо)

VLAN 10, у вас може бути підмережа 192.168.54.x / 24 VLAN 11, у вас може бути підмережа 192.168.55.x / 24

І так далі

Для цього потрібно мати маршрутизатор у вашій мережі

Це залежить від вас, яким маршрутом ви їдете (Ви знаєте свою мережу краще, ніж я коли-небудь буду). Якщо ви думаєте, що розмір вашого широкомовного домену буде певною проблемою, тоді використовуйте VLAN. Якщо ви думаєте, що розмір ваших доменів управління мережею (наприклад, вашої мережі управління), можливо, використовуйте мережу, ближчу до / 16 над a / 24

Ваші 200 вузлів впишуться в / 24, але це очевидно не дає вам великих можливостей для зростання

За звучанням ви вже використовуєте різні підмережі для різних типів пристроїв. Отже, чому б не дотримуватися цього? Ви можете, якщо хочете, прив’язати кожну підмережу до VLAN. Сегментація другого рівня призведе до того, що поведінка вашої мережі зміниться від того, як вона поводиться в даний час

Вам доведеться дослідити потенційний вплив цього

(Я цілий день був у дорозі і пропустив стрибки на цьому ... Все-таки, пізно до гри я побачу, що я можу зробити.)

Зазвичай ви створюєте VLAN в Ethernet і наносите на них IP-підмережі 1 на 1. Існують способи цього не робити, але, дотримуючись чітко "простого ванільного" світу, ви створили б VLAN, придумайте IP-підмережу для використання у VLAN, призначте якомусь маршрутизатору IP-адресу в цій VLAN, приєднайте цей маршрутизатор до VLAN (з фізичним інтерфейсом або віртуальним підінтерфейсом на маршрутизаторі), підключіть деякі хости до VLAN та призначте їм IP-адреси в визначеній вами підмережі, а також направляйте їх трафік в і поза VLAN.

Не слід починати підмережу Ethernet LAN, якщо у вас є вагомі причини. Найкращі дві причини:

• Пом'якшення проблем у роботі. Локальні мережі Ethernet не можуть масштабуватись нескінченно. Надмірна трансляція або затоплення кадрів до невідомих напрямків обмежать їх масштаб. Будь-яке з цих умов може бути спричинене тим, що єдиний домен широкомовної передачі в Ethernet LAN занадто великий. Трансляцію трафіку легко зрозуміти, але затоплення кадрів до невідомих напрямків дещо незрозуміліше. Якщо у вас так багато пристроїв, що таблиці ваших перемикачів MAC переповнюються, комутатори будуть змушені переливати непередавані кадри з усіх портів, якщо призначення кадру не відповідає жодним записам у таблиці MAC. Якщо у вас є достатньо великий одиночний домен в локальній мережі Ethernet з профілем трафіку, який розміщує розмови нечасто (тобто

• Бажання обмежити / контролювати рух, що рухається між хостами на рівні 3 або вище. Ви можете зробити хакерство, вивчаючи трафік на рівні 2 (ala Linux ebtables), але цим важко керувати (оскільки правила прив’язані до MAC-адрес, а зміна NIC вимагає змін правил) може призвести до того, що, як видається, насправді, дуже дивне поведінку (робити Наприклад, прозоре розміщення HTTP на рівні 2 є химерним і веселим, але вкрай неприродним і може бути дуже неінтуїтивним для усунення несправностей), і це, як правило, важко зробити на нижчих шарах (тому що інструменти другого шару схожі на палички і скелі при вирішенні проблем 3+). Якщо ви хочете керувати трафіком між хостами IP (або TCP, або UDP тощо), а не атакувати проблему на рівні 2, вам слід підмережу та наклеювати між мережами міжмережі брандмауери / маршрутизатори з ACL.

Проблеми з виснаженням пропускної здатності (якщо вони не спричинені трансляцією пакетів або затопленням кадрів) зазвичай не вирішуються за допомогою VLAN та підмережі. Вони трапляються через відсутність фізичного підключення (занадто мало NIC на сервері, занадто мало портів у групі агрегації, необхідність перейти до більш швидкої швидкості порту) і їх неможливо вирішити шляхом підмережі або розгортання VLAN з моменту виграшу не збільшити доступну кількість пропускної здатності.

Якщо у вас немає навіть чогось простого, як-от MRTG, що веде статистику трафіку графіків на порти на ваших комутаторах, це справді ваш перший порядок бізнесу, перш ніж починати потенційно впроваджувати вузькі місця з цілеспрямованою, але неінформованою підмережею. Підрахунок необроблених байтів - це гарний початок, але слід дотримуватися цілеспрямованого обнюхування, щоб отримати детальнішу інформацію про профілі трафіку.

Як тільки ви дізнаєтесь, як рухається трафік у вашій локальній мережі, ви можете почати думати про підмережу з міркувань продуктивності.

Що стосується "безпеки", вам потрібно буде знати багато про ваше прикладне програмне забезпечення та про те, як він працює, перш ніж продовжувати.

Я кілька років тому створив проект локальної мережі / WAN для медичного замовника, і мене попросили поставити списки доступу на об'єкті рівня 3 (контрольний модуль Cisco Catalyst 6509) для управління трафіком, що рухається між підмережами " інженер ", який мало розумів, яка саме робота з ніг справді потребуватиме, але дуже зацікавлена ​​в" безпеці ". Коли я повернувся із пропозицією вивчити кожну програму, щоб визначити необхідні порти TCP / UDP та хости призначення, я отримав шоковану відповідь від "інженера", заявивши, що це не повинно бути таким складним. Останнє, що я почув, вони працюють із об'єктом рівня 3 без списків доступу, оскільки вони не змогли надійно працювати з усім своїм програмним забезпеченням.

Мораль: Якщо ви дійсно збираєтеся спробувати обмежити доступ до пакетів та потокового рівня між VLAN, будьте готові виконати багато роботи з прикладним програмним забезпеченням та навчанням / реверсінг-інженерією, як він спілкується по дроту. Обмеження доступу хостів до серверів часто може бути здійснено за допомогою функцій фільтрації на серверах. Обмеження доступу на провід може забезпечити помилкове почуття безпеки та затишшя адміністраторів у поступливості, коли вони думають: "Ну, мені не потрібно налаштовувати додаток. Безпечно, оскільки господарі, які можуть спілкуватися з додатком. Обмежені" мережа '. " Я б радив вам перевірити безпеку конфігурації вашого сервера, перш ніж я почати обмежувати зв’язок між хостом і хостом.

У 99% часу підмережа повинна бути еквівалентною VLAN (тобто кожна підмережа доступу повинна відображатись на одну і лише одну VLAN).

Якщо у вас є хости з декількох підмереж IP в одній VLAN, ви перемагаєте цілі VLAN, оскільки дві (або більше) підмережі будуть знаходитися в одному домені широкомовної передачі.

Крім того, якщо ви розмістите одну підмережу IP у кількох VLAN, хости в підмережі IP не зможуть спілкуватися з хостами в іншій VLAN, якщо у вашому маршрутизаторі не включений проксі-сервер ARP .

Я здебільшого згоден з Девідом Пашлі :

1. Я використовую сингл / 16 для всього.
   • але він сегментований на декілька VLAN, об'єднаних програмним мостом на машині Linux.
   • на цьому мості у мене є кілька правил iptables для фільтрування доступу між групами.
   • незалежно від того, як сегментувати, використовувати діапазони IP для групування, це спрощує реструктуризацію та особливі випадки.