Khi nào / tại sao để bắt đầu chia mạng?


37

Trong những điều kiện nào người ta bắt đầu xem xét việc thuê lại một mạng?

Tôi đang tìm kiếm một vài quy tắc chung hoặc kích hoạt dựa trên các số liệu có thể đo lường được để tạo ra một thứ gì đó cần được xem xét.

Câu trả lời:


33

Câu hỏi thú vị.

Trong lịch sử, trước khi các mạng được chuyển đổi hoàn toàn, việc xem xét chính để phá vỡ mạng thành các mạng con phải thực hiện với việc giới hạn số lượng nút trong một miền va chạm. Đó là, nếu bạn có quá nhiều nút, hiệu suất mạng của bạn sẽ đạt đến đỉnh điểm và cuối cùng sẽ sụp đổ dưới tải nặng do va chạm quá mức. Số lượng nút chính xác có thể được triển khai phụ thuộc vào nhiều yếu tố, nhưng nói chung, bạn không thể thường xuyên tải miền va chạm vượt quá 50% tổng băng thông có sẵn và vẫn luôn ổn định mạng. 50 nút trên mạng là rất nhiều nút trong những ngày đó. Với người dùng sử dụng nhiều, bạn có thể đã đứng đầu ở 20 hoặc 30 nút trước khi cần bắt đầu chia nhỏ mọi thứ.

Tất nhiên, với các mạng con song công hoàn toàn được chuyển đổi hoàn toàn, các xung đột không còn là vấn đề đáng lo ngại nữa và giả sử người dùng loại máy tính để bàn điển hình, bạn có thể triển khai hàng trăm nút trong một mạng con duy nhất mà không gặp vấn đề gì. Có rất nhiều lưu lượng phát sóng, như các câu trả lời khác đã ám chỉ, có thể là mối quan tâm tùy thuộc vào giao thức / ứng dụng nào bạn đang chạy trên mạng. Tuy nhiên, hãy hiểu rằng việc chia mạng con không nhất thiết giúp bạn giải quyết vấn đề lưu lượng phát sóng. Nhiều giao thức sử dụng phát sóng vì một lý do - đó là khi tất cả các nút trên mạng thực sự cần phải xem lưu lượng như vậy để thực hiện (các) tính năng cấp ứng dụng mong muốn. Đơn giản là mạng con không thực sự mua cho bạn bất cứ thứ gì nếu gói được phát cũng sẽ cần phải chuyển tiếp sang mạng con khác và phát lại.

Nói chung, ngày nay, những lý do chính cho các mạng lưới con có liên quan nhiều đến các cân nhắc về ranh giới tổ chức, hành chính và an ninh hơn bất cứ điều gì khác.

Câu hỏi ban đầu yêu cầu các số liệu có thể đo lường được kích hoạt xem xét chia nhỏ. Tôi không chắc chắn có bất kỳ về số lượng cụ thể. Điều này sẽ phụ thuộc đáng kể vào 'ứng dụng' có liên quan và tôi không nghĩ thực sự có bất kỳ điểm kích hoạt nào thường áp dụng.

Liên quan đến quy tắc của ngón tay cái trong việc lên kế hoạch cho các mạng con:

  • Hãy xem xét các mạng con cho từng bộ phận / bộ phận tổ chức khác nhau, đặc biệt là khi chúng có kích thước không tầm thường (hơn 50 nút!?).
  • Xem xét các mạng con cho các nhóm nút / người dùng bằng cách sử dụng một bộ ứng dụng chung khác với các loại người dùng hoặc loại nút khác (Nhà phát triển, Thiết bị VoIP, sàn sản xuất)
  • Xem xét các mạng con cho các nhóm người dùng có các yêu cầu bảo mật khác nhau (bảo vệ bộ phận kế toán, Bảo mật Wifi)
  • Xem xét các mạng con từ sự bùng phát virus, vi phạm an ninh và quan điểm ngăn chặn thiệt hại. Có bao nhiêu nút bị lộ / vi phạm - mức phơi sáng chấp nhận được đối với tổ chức của bạn là bao nhiêu? Việc xem xét này giả định các quy tắc định tuyến hạn chế (tường lửa) giữa các mạng con.

Với tất cả những gì đã nói, việc thêm mạng con sẽ thêm một số mức phí quản trị và có khả năng gây ra sự cố liên quan đến việc hết địa chỉ nút trong một mạng con và có quá nhiều mạng trong nhóm khác, v.v. Việc thiết lập định tuyến và tường lửa và vị trí của các máy chủ phổ biến trong mạng và như vậy được tham gia nhiều hơn, loại điều đó. Chắc chắn, mỗi mạng con nên có một lý do tồn tại vượt xa chi phí để duy trì cấu trúc liên kết logic tinh vi hơn.


7

Nếu đó là một trang web duy nhất, đừng bận tâm trừ khi bạn có hơn vài chục hệ thống, và thậm chí sau đó có lẽ không cần thiết.

Những ngày này với tất cả mọi người sử dụng ít nhất 100 Mbps chuyển mạch và thường xuyên hơn 1 Gbps, lý do duy nhất liên quan đến hiệu suất để phân chia mạng của bạn là nếu bạn chịu lưu lượng phát quá mức (tức là> 2%, ngoài đỉnh đầu của tôi)

Lý do chính khác là bảo mật, ví dụ DMZ cho các máy chủ đối mặt công khai, một mạng con khác cho tài chính hoặc một Vlan / mạng con riêng cho các hệ thống VoIP.


Vài chục nghĩa 50+? Ngoài ra, hoạt động phát sóng - đó là một số liệu tốt, dễ đo lường. Bao nhiêu hoạt động phát sóng mà bạn nghĩ là chấp nhận được?
Adam Davis

vâng, 50+ là những gì tôi đã nghĩ, nhưng ngay cả khi đó bảo mật vẫn là lý do có khả năng nhất.
Alnitak

7

Phạm vi giới hạn cho bất kỳ yêu cầu tuân thủ nào bạn có thể có (ví dụ: PCI) là chất xúc tác khá tốt để phân chia một số phần trong mạng của bạn. Phân chia hệ thống chấp nhận / xử lý và tài chính thanh toán của bạn có thể tiết kiệm tiền. Nhưng nói chung, việc chia nhỏ một mạng nhỏ sẽ không giúp bạn đạt được nhiều hiệu suất.


4

Một lý do khác sẽ là Chất lượng dịch vụ liên quan. Chúng tôi chạy các vlans thoại và dữ liệu riêng biệt để có thể dễ dàng áp dụng QoS cho lưu lượng voip.

Bạn biết đấy, tôi đã suy nghĩ về câu hỏi này nhiều hơn. Có rất nhiều lý do chính đáng để thiết kế một mạng mới bằng cách sử dụng các mạng riêng biệt (hiệu suất, bảo mật, QoS, giới hạn phạm vi DHCP, hạn chế lưu lượng phát sóng (có thể liên quan đến bảo mật và hiệu suất).

Nhưng khi nghĩ đến một số liệu để thiết kế lại chỉ là mạng con và nghĩ về các mạng mà tôi phải xử lý trong quá khứ, tất cả những gì tôi có thể nghĩ là "wow, đó phải là một mạng thực sự gây rối để khiến tôi thiết kế lại hoàn toàn nó cho subnetting ". Có rất nhiều lý do khác - băng thông, việc sử dụng cpu của các thiết bị được cài đặt, v.v.


3

Bảo mật và chất lượng là chủ yếu (miễn là phân khúc mạng được đề cập có thể hỗ trợ các nút trong câu hỏi). Một mạng riêng cho lưu lượng máy in, thoại / điện thoại, các bộ phận biệt lập như IT Ops và tất nhiên là các phân khúc máy chủ, phân khúc truy cập internet (một dịch vụ đối mặt với internet là phổ biến hiện nay, không chỉ là "một dmz sẽ làm"), v.v.


3

Nếu bạn muốn mở rộng quy mô (bạn đang xây dựng một mạng, không chỉ 5 máy chủ và chúng tôi sẽ bắt đầu định tuyến càng sớm càng tốt. Cách quá nhiều mạng không ổn định và khó phát triển vì chúng phát triển hữu cơ và có quá nhiều thứ 2 lớp.

Ví dụ:

  • bạn có hai máy chủ tên trên cùng một phân khúc mạng. Bây giờ bạn không thể di chuyển một trong số họ đến một thành phố khác, vì sau đó bạn sẽ phải phân chia cái hay / 24 đó hoặc đánh số lại DNS. Dễ dàng hơn nhiều nếu chúng ở trên các mạng khác nhau. Tôi không nói nhất thiết về việc trở thành những phần chú thích BGP riêng biệt với thế giới. Ví dụ này sẽ dành cho một ISP toàn quốc. Cũng lưu ý rằng một số điều trong khu vực nhà cung cấp dịch vụ không dễ dàng như "chỉ cần đăng ký DNS mới tại nhà đăng ký".
  • Lớp 2 vòng hút ass. Cũng như cây bao trùm (và VTP). Khi cây bao trùm không thành công (và có nhiều trường hợp xảy ra), nó sẽ làm hỏng mọi thứ do tràn ngập CPU chuyển đổi / bộ định tuyến. Khi OSPF hoặc IS-IS không thành công (hoặc các giao thức định tuyến khác), nó sẽ không sập toàn bộ mạng và bạn có thể sửa một đoạn tại một thời điểm. Lỗi cô lập.

Vì vậy, trong ngắn hạn: khi bạn mở rộng quy mô đến nơi bạn nghĩ rằng bạn cần cây bao trùm, vui lòng xem xét việc định tuyến thay thế.


3

Cá nhân, tôi muốn phân đoạn lớp 3 càng gần các công tắc truy cập càng tốt, bởi vì

  • Tôi không thích Spanning Tree (bạn có thể khiến nó làm những điều rất buồn cười nếu bạn xấu xa)
  • Đặc biệt trên các mạng Windoze, phát sóng là một vấn đề thực sự.
  • Trên các mạng riêng, bạn có rất nhiều dung lượng IP để lãng phí :)
  • Ngay cả các thiết bị chuyển mạch rẻ hơn cũng có khả năng định tuyến tốc độ dây - tại sao không sử dụng chúng?
  • Làm cho cuộc sống dễ dàng hơn khi nói đến bảo mật (ví dụ: Auth và ACL tại egde, v.v.)
  • Khả năng QoS tốt hơn cho VoIP và công cụ thời gian thực
  • Bạn có thể cho biết vị trí của một khách hàng từ IP của nó

Nếu nói đến các mạng lan rộng lớn hơn / rộng hơn trong đó hai công tắc / bộ chuyển đổi lõi không đủ, các cơ chế dự phòng thông thường như VRRP có rất nhiều nhược điểm (lưu lượng truy cập truyền lên nhiều lần, ...) OSPF không có.

Có lẽ có rất nhiều lý do khác để hỗ trợ cho việc sử dụng tên miền nhỏ phát sóng -approach.


2

Tôi nghĩ rằng phạm vi của tổ chức rất nhiều vấn đề. Nếu có tổng số 200 máy chủ hoặc ít hơn trên một mạng và lưu lượng truy cập không cần phải được phân đoạn vì bất kỳ lý do nào, tại sao lại thêm độ phức tạp của Vlan và mạng con? Nhưng phạm vi càng lớn, nó càng có ý nghĩa.

Việc chia tách các mạng mà thông thường không cần phải có thể làm cho một số điều dễ dàng hơn mặc dù. Chẳng hạn, các PDU của chúng tôi cung cấp năng lượng cho các máy chủ nằm trong cùng Vlan hoặc mạng con như các máy chủ. Điều này có nghĩa là hệ thống quét lỗ hổng của chúng tôi được sử dụng trên phạm vi máy chủ của chúng tôi cũng quét PDU. Không phải là một vấn đề lớn, nhưng chúng tôi không cần quét PDU. Ngoài ra, sẽ rất tốt cho DHCP các PDU vì chúng rất khó cấu hình, nhưng vì chúng ở cùng Vlan với các máy chủ ngay bây giờ, điều đó không khả thi.

Mặc dù chúng tôi không cần một Vlan khác cho các PDU, nhưng nó có thể làm cho một số thứ dễ dàng hơn. Và điều này đi vào toàn bộ cuộc tranh cãi nhiều hơn so với Vlan sẽ tiếp tục mãi mãi.

Tôi, tôi chỉ nghĩ rằng có Vlan nơi nó có ý nghĩa. Ví dụ, nếu chúng tôi cung cấp cho PDU Vlan của riêng họ, điều đó không có nghĩa là chúng tôi luôn phải cung cấp cho các nhóm thiết bị nhỏ Vlan của riêng họ. Nhưng trong trường hợp này nó có thể có ý nghĩa. Nếu một nhóm thiết bị không cần phải có Vlan của riêng nó và không có lợi thế nào để làm như vậy, thì bạn có thể muốn xem xét chỉ để lại mọi thứ như hiện tại.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.